Kevin Flynn Tenable
過去兩年,漏洞數量幾乎翻了一倍。然而,會被利用的漏洞數量只佔漏洞總數的一小部分。若能掌握整個攻擊面的準確視圖,就能協助您有效應對那些會對您企業構成最大威脅的漏洞,而這需要一種全新的安全風險管理方法。
網路風險的高低取決於您是否能準確回答以下四個問題的能力:
• 我們有哪些地方存在風險?
• 我們該如何基於風險來排序修補的優先順序?
• 隨著時間推移,我們如何才能降低安全風險?
• 我們與競爭產品相比如何?
首先,安全管理員必須掌握整個攻擊面的準確視圖後再進一步探查。如何排序漏洞回應策略的優先順序。由於各企業的情況差異很大,因此我們需要瞭解每個漏洞對特定企業的關鍵資產所造成的業務威脅等級。例如,您遭遇一個被 CVSS 評分為「嚴重」的漏洞。然而,當您開始調查其真正的威脅時卻發現,此漏洞並不會對您的業務帶來多大的風險。也許因為有某些特徵,但它對於廣大的犯罪分子卻缺乏吸引力。也許它會影響到對您的日常營運不太重要的應用程式或資產。或需要增加某個有效的網路隔離應用程式才能避免它造成的威脅。只有您才能準確地對漏洞進行基
於風險的評估,以真正改善您的回應流程。
評估風險:從數量來看
考慮到每年都有成千上萬個漏洞被揭露的事實,若要對每個漏洞都進行以威脅為中心的評估似乎令人生畏。在 2018 年,我們共發現了約 16,500個新漏洞,但其中只有 7% 可能會被公開利用,而被網路攻擊者當成武器利用的漏洞則更少。Tenable 資料科學團隊估計,駭客真正會利用的漏洞專注於真正的安全風險基於大數據分析超過 10 萬個漏洞,區別實際會造成風險的漏洞和理論風險從 7 個不同緯度來評估漏洞嚴重性等級:過去攻擊模式、攻擊劇本、CVSS、可利用性等洞察駭客正積極利用哪些漏洞,且已產生大量實質性的威脅降低需要在攻擊面上修復或處理的風險數量預測優先等級分析只有 3%。換言之,這表示在每年揭露的成千上萬個漏洞中,只有一小部分會構成真正的威脅。
各種規模的企業都面臨著網路安全團隊人力不足的挑戰,因此,排序漏洞回應策略的優先順序重要性不可言喻。根據 Ponemon Institute 代表Tenable 編製的報告《衡量和管理網路風險的商業成本》,大多數企業表示,安全部門缺乏可即時掃描漏洞的足夠人力。若無法有效地排序漏洞回應的優先順序,您從何而知有限的資源和人員怎樣投入才能保護您企業最重要的資產?
排序有效的漏洞優先順序的 5 個步驟
需要先充分瞭解攻擊面才能有效進行優先順序的排序。當充分瞭解攻擊面後,即可可採取五個步驟來開始您的優先順序排序工作:
-
基於預測性概率分析,根據目前被利用的漏洞(或者您所預期,會在不久的將來被利用的漏洞),判斷威脅回應的優先順序排序。您需要持續掌握態勢感知和威脅環境才能進行這項評估。
-
讓資料來推動您的決策。對漏洞進行量化分析時,攻擊者處於領先的漏洞顯然就是您需要優先回應的地方。
-
持續有效地維護回應優先順序清單,才能納入新出現的威脅,並進行正確的排序。
-
掌握關鍵資產的最新清單,才能準確瞭解有哪些處於風險中以及攻擊者最可能攻擊的對象。由此還可協助您改善備份和復原計畫。
-
以持續的安全評估和回應優先順序模式取代現有的啟停模式和離散週期。調整營運流程,支援快速回應。確保支援臨時補救和緩解請求,而不是僅關注於源自一般維護和修補程式視窗的請求。請記住,每天的最大威脅和企業內部安全狀態等資料會不斷變化,因此您的優先順序排序也會經常變化。制訂有效的流程,讓風險優先順序排序成為網路風險管理實務一個不可或缺的環節。
在我們關於如何改善網路安全策略的六篇部落格文章的第一篇中,我們探討了每個網際網路安全中心負責人都應準備好回答的四大網路安全問題。
在第二篇文章中,我們談到探查企業網路漏洞的三個技巧。在第四篇文章中,我們將探討如何隨著時間的推移,降低企業網路風險。
瞭解更多:
• 請按一下這裡,閱讀有關網路風險的更多資訊
https://www.tenable.com/cyber-exposure
• 從 Tenable Research 下載漏洞情報報告
https://www.tenable.com/cyber-exposure/vulnerability-intelligence
• 觀賞網路研討會內容:利用預測性優先順序排序來消除漏洞溢出問題
https://www.tenable.com/webinars/emea-eliminate-vulnerability-o
verload-with-predictive-prioritization
聯絡我們