漏洞管理走向何方?
一、漏洞管理的由來:軟件更新
最早的漏洞管理并沒有漏洞的概念,只是單純的補丁管理,并不是網絡安全工作,而是IT工作。一直到了2001年“紅色代碼”出現之后,微軟才開始常態化的發布安全補丁。之后,沖擊波、震蕩波等跨地域感染整個網絡的大規模攻擊變得越來越普遍,業界開始建立平臺系統來記錄和跟蹤這些漏洞。第一個漏洞平臺是由美國聯邦機構根據國家標準與技術研究所(NIST)的建議于1999年創建,并于2002年發布了CVE漏洞命名方法,之后于2011年進行更新。一直到了2011年,隨著第一個國家漏洞數據庫(NVD)的建立,CVE才得到廣泛普及和應用。
NVD是一個全面的網絡安全漏洞數據庫,集成了所有公開的美國政府漏洞資源,提供了行業資源的參考。它與CVE列表同步并基于CVE列表,CVE列表使用評分系統對風險的嚴重程度進行評分。NVD成為安全組織追蹤漏洞并根據風險評分確定優先順序的有效工具。
可以說從2011年開始,漏洞管理才成為開始成為安全行業的最佳實踐。然而,隨著漏洞的數量持續增長,以及IT基礎設施的復雜性增加,漏洞管理變得越來越艱難。與它的前身軟件更新不同,許多時候業務系統不允許中斷,而且很多機構也沒有安排專門的預算或團隊來定期進行測試、部署和安裝補丁。
NVD的建立是安全行業在漏洞管理方面的巨大進步。然而,有兩個新問題的出現導致漏洞管理的艱難。第一個問題是與時間賽跑,從漏洞被披露的那一刻起,到發布并應用補丁,以確保漏洞不會被壞人利用,這一段時間窗口從過去的數月到現在的數天,甚至是數小時。而且,并非每個漏洞都有補丁。有一種常見的誤解,即每個漏洞都可以通過補丁修復,但事實并非如此。數據顯示,補丁管理只能覆蓋10%的已知漏洞。這意味著其他90%的已知漏洞無法修補,于是只剩下兩個解決方案,要么找替代方法,要么從頭開始修復源代碼。
第二個問題是,NVD的建立目的本來是幫助機構抵御攻擊者,但很不幸,壞人也一樣可以參考NVD上的漏洞。尤其是近年來自動化和機器學習令網絡犯罪更加的方便和低成本,攻擊者根據NVD中的漏洞數據,可快速、輕松地掃描未修補的系統,并確定目標系統正在使用哪些軟件版本,以及哪些軟件尚未修補。
網絡攻防的雙方是不對等的,正如上文中說到的,補丁是滯后的,而攻擊者只需找到一個脆弱點就可能把整個防御體系突破。這就是為什么漏洞管理是安全工作的一個基本底線(數世咨詢的能力圖譜將“漏洞管理”列入基礎與通用技術的分類)。然而,面對層出不窮的漏洞,IT和安全團隊捉襟見肘,根本無法跟上任務的進度,迫切需要一種更加有效的方式來做好漏洞管理。
二、基于風險的管理:漏洞優先級
在漏洞管理方面,有三個主要角色:安全分析師、IT人員和攻擊者。
安全分析人員不斷地對網絡安全威脅和攻擊進行甄別和響應。他們通過各種安全工具和威脅來源來評估和理解風險,而且經常面臨安全事件處理的壓力。他們常常位于可能對組織產生負面影響的威脅情報、政府預警和安全事件的風頭浪尖。
IT團隊則肩負著系統可用性和響應能力的任務,這使得他們在實施補丁時猶豫不決,除非能夠清楚風險的優先級。他們必須在業務系統連續性和實施安全補丁兩者之間取得平衡,這些補丁往往是非計劃內的,如果未經測試或審查,可能會對系統性能和可靠性產生負面影響。這些IT人員還經常各自為崗,管理其職責范圍內的IT運維和風險。
不幸的是,安全團隊和IT團隊之間通常存在很多配合不順的障礙,使他們無法協同抵御攻擊者。這是一種不對稱的威脅,攻擊者只需要知道一個弱點或漏洞就可以破防,而防御者必須知道并堵上每一個弱點或漏洞才能做好防御。不僅如此,攻擊者越來越多地利用網絡犯罪即服務(CaaS)來實施網絡攻擊。以當今最大的勒索軟件團伙之一Conti為例,就以典型的勒索軟件即服務模式運作。
為了有效防御網絡犯罪,安全和IT團隊必須通力合作,縮短漏洞修補時間。但不管是出于漏洞數量太多,還是漏洞的危害程度不同等原因,IT和安全團隊不應該也不可能打上所有的補丁。鑒于此,一種基于風險的漏洞管理理念開始受到業界認可,即漏洞優先級處理。
據粗略統計,目前有約有20萬個漏洞,其中2.2萬漏洞有補丁。另一個數據是,在這20萬個漏洞里,被惡意軟件武器化的有2.5萬個漏洞中,但這些被武器化的漏洞里,只有2000個漏洞有補丁。這意味著IT和安全團隊必須確定構成高風險的武器化漏洞。
例如,6000個武器化漏洞能夠遠程執行代碼,有589個補丁可用。但在這6000個武器化漏洞中,只有130個漏洞正在被利用,而且這130個漏洞,只有68個補丁可用。IT和安全團隊則必須優先實施打上這68個補丁。這就是基于風險的方法來識別和優先考慮哪些漏洞需要盡快補救。美國白宮在2021年6月發布了一份備忘錄,鼓勵各機構使用基于風險的評估策略來推動補丁管理,并加強網絡安全以抵御勒索軟件攻擊。
總而言之,機構必須專注于修補高風險的漏洞。要做到這一點,則需要了解每個漏洞和相關的補丁。哪些漏洞是已經有了利用代碼,已經被武器化的,或是與勒索軟件相連,以確保根據威脅風險對補丁進行優先排序。
三、未來:超自動化
網絡安全左移和右移的理念已經得到業內的廣泛認可,但除了應用安全,無處不在且不斷快速增長的網絡空間資產更是令打補丁這項工作成為了不可能的任務。似乎只剩下一條路可走,自動化,或者說智能化更加準確些。因為,不僅是實時性,前瞻和預測也同樣重要。只有機器速度的識別、理解和響應,安全團隊才能夠在幾乎不需要人工干預的情況下,主動、快速地解決問題。自動化將完成大部分工作,人只是最終的仲裁者,根據機器提供的智能分析采取適當的行動決策。這個過程區別于傳統的自動化,可稱之為超自動化。
在接下來的五年里,我們將看到超自動化在漏洞補丁管理中的廣泛應用。如果說漏洞管理時代開始于2011年,基于風險的漏洞管理開始于2017年(Wanncry和Nopetya),那么從2023年至2025年將是從基于風險的漏洞管理過渡到超自動化管理的時期。
到2025年,我們應該看到更多的安全控制以代碼的形式編寫并嵌入到軟件中,比如將策略作為代碼,將安全作為代碼,將開發作為代碼。同樣,我們將補丁作為代碼,暴露面作為代碼,漏洞枚舉作為代碼。“作為一種代碼”(as a code)將成為未來十年的流行語。隨著它成為熱門話題,我們將在“自動化技術嵌入軟件”方面取得巨大進展。
漏洞管理的未來將集中于自動化,尤其是漏洞掃描過程的自動化。隨著企業IT環境繼續變得越來越復雜,現在是時候考慮自動化工具的時候了。
