漏洞管理：亡羊補牢，未為遲也

重大軟件漏洞是不可避免的生活現實，看各大軟件公司每年放出的補丁數據就知道了：微軟今年每月修復55到110個漏洞，其中7%到17%的漏洞是關鍵漏洞。

5月漏洞數量最少，總數55個漏洞當中僅4個評級為關鍵漏洞。但問題在于，這些關鍵漏洞是伴隨我們多年的老面孔了，比如遠程代碼執行漏洞和提權漏洞。

經常修補重大漏洞的軟件巨頭不止微軟一家，蘋果、Adobe、谷歌、思科等業界翹楚也每月推出安全更新。

新與舊是相對的

鑒于如此之多的應用中都存在重大漏洞，那我們還有沒有希望迎來安全的未來？答案當然是肯定的，但并不意味著通往安全的路上沒有困難和挑戰。

經年奮戰在防御第一線的安全從業人員或許跟漏洞是老相識了，但對手的戰術不停在變。

將合法資源用于邪惡目的的做法并不罕見，而我們在構建應用時無法為此類濫用規劃好萬全之策。

權限痛點

80%的安全事件涉及特權賬戶，提權類漏洞利用只會愈演愈烈。勒索軟件運營者和其他惡意黑客常會在系統上利用提權漏洞，從而合法化其操作，成功訪問敏感數據。

如果信息竊賊擁有跟當前用戶一樣的權限，滲漏敏感數據的機會就顯著增加了。同時，管理員權限幾乎可以保證入手極具價值的數據。

除了保持軟件更新，零信任倡議和數據流監測在防御提權漏洞方面也十分關鍵。至少，零信任意味著應該應用最小權限原則，并且任何地方都要應用多因素身份驗證。

基本上，零信任可以確保不需要訪問系統或文件的用戶就沒有這樣的權限，而確實需要此類權限的用戶必須證明自己是所聲稱的身份。數據流監測也有助于早期捕獲數據泄露事件，限制被盜數據總量。

遠程控制

遠程代碼執行（RCE）短期內都不會消失。此類攻擊占據2020年所有攻擊的27%，遠高于上一年的7%。只要能夠找到在你系統上遠程執行任意代碼的方法，攻擊者能獲取的控制權就遠超僅僅讓用戶無意中運行帶有預定義功能的惡意軟件。

如果攻擊者能遠程執行任意代碼，他們就具有了在系統內或網絡上四處逡巡的能力，能夠根據自己所找的的東西更改攻擊目標和戰術。

行為監測是檢測系統上RCE的最佳方式之一。如果應用程序開始運行不屬于其正常行為的命令和進程，那你就可以準備早點兒阻止攻擊了。RCE如此普遍的事實也意味著，用戶應該保持安全補丁更新，從而將諸多此類攻擊防患于未然。

誰還需要惡意軟件？

如今，備受歡迎的攻擊方式是利用合法進程和可信應用來實現惡意目的。這種無文件，或者不需落地的攻擊，因為不用安裝惡意軟件而非常難以檢測。

PowerShell是最容易遭遇此類利用方式的常見應用之一。因為PowerShell本來就是用于編寫腳本和執行系統命令的強大應用。

無文件攻擊的例子也證明了監視應用和進程的行為是快速阻止攻擊的關鍵。于是，PowerShell真的需要禁用安全功能嗎？

大多數情況下，未必。這種行為是可以被監測到的，即使行為出自PowerShell這樣的可信應用。監測與高級機器學習和AI相結合，就可以提取網絡上正常行為的特征，對不正常行為實施自動化響應。

繼續前行

盡管常見攻擊類型不會改變太多，但應用或代碼的任何改動卻可能引入新的漏洞。這并不意味著我們應該放棄抵抗而讓對手長驅直入，而是意味著現在就是加倍努力挫敗對手的好時機。

我們需要實現補丁管理策略，監測網絡，采用行為檢測，并避免自滿。主流軟件供應商定期修復重大漏洞的事實實際上是件好事，既然攻擊者都不放棄作亂，那我們也不應該放棄防御。