不可利用漏洞造成漏洞管理疲勞
責(zé)編:gltian |2022-09-28 15:34:30鑒于及時(shí)修復(fù)困難重重,需要修復(fù)或緩解的新漏洞又層出不窮,漏洞管理公司Rezilion委托波耐蒙研究所調(diào)查研究漏洞管理狀況。
波耐蒙研究所主席Larry Ponemon稱:“調(diào)查收到了634名IT和安全從業(yè)人員的回復(fù)。受訪者主要位于北美,其所屬企業(yè)均制定了有效的DevSecOps計(jì)劃。從技術(shù)上講,調(diào)查結(jié)果的誤差約為3.5%。”
Ponemon最為關(guān)切的是,不到一半的受訪者(47%)認(rèn)為自己的開發(fā)團(tuán)隊(duì)“能夠提供增強(qiáng)的客戶體驗(yàn)和安全的應(yīng)用程序”。
問題可能源于該研究的主要發(fā)現(xiàn)之一:公司面對(duì)的是系統(tǒng)中積壓的10萬個(gè)漏洞。不是所有漏洞都可以利用:事實(shí)上,其中85%都無法實(shí)際利用。話雖如此,仍有1.5萬個(gè)漏洞需要修復(fù),工作量大到可怕。
Rezilion首席執(zhí)行官Liran Tancman稱:“問題的根源在于檢測(cè)、確定優(yōu)先級(jí)和修復(fù)每個(gè)漏洞所需的時(shí)間。超過半數(shù)的受訪者(77%)稱每個(gè)漏洞需要21分鐘。”
算一下就可以知道,即使僅檢測(cè)可利用漏洞,此后也需要花費(fèi)430天每天12小時(shí)的人工,才能清除這些積壓的漏洞。而且每天還有源源不斷的新漏洞出現(xiàn),這種方法明顯不可持續(xù)。
Tancman表示,研究呈現(xiàn)的所有統(tǒng)計(jì)數(shù)據(jù)的重點(diǎn)在于,受訪者認(rèn)為自己缺乏足夠的工具來解決問題,唯一真正的解決方案是自動(dòng)化。
他表示:“僅僅梳理企業(yè)積壓的大量漏洞,就會(huì)耗費(fèi)無數(shù)時(shí)間和金錢。如果積壓了超過10萬個(gè)漏洞,想想人工檢測(cè)、排序和修復(fù)這些漏洞花費(fèi)的分鐘數(shù),可不就是意味著每年要花幾千小時(shí)在積存漏洞管理上?這些數(shù)字清楚表明,如果沒有適當(dāng)?shù)墓ぞ哌M(jìn)行自動(dòng)檢測(cè)、排序和修復(fù),就不可能有效管理積存的漏洞。”
只依賴第三方關(guān)鍵漏洞列表于事無補(bǔ)。Tancman以CISA KEV(已知被利用漏洞)列表為例。“當(dāng)然,這是個(gè)很好的起點(diǎn)。”他說道,“但是,就拿KEV列表中的Log4J(CVE-2021-44228)來說。我們從客戶處得知,他們大概有1萬個(gè)Log4J事件,但他們的環(huán)境中只有100個(gè)是可利用的。漏洞確實(shí)存在,但易受攻擊的特定功能它沒運(yùn)行啊。”
Tancman的觀點(diǎn)是,此類漏洞列表是不錯(cuò)的起點(diǎn)。“但是,接下來,了解環(huán)境中哪些程序真正運(yùn)行,哪些只是躺那兒啥都不干,是過濾漏洞列表的一種方法。”他隨后提到了“影子軟件”——存在于系統(tǒng)中但由于其打包方式而無法被傳統(tǒng)掃描器檢測(cè)到的軟件,這種軟件會(huì)造成進(jìn)一步的麻煩。
檢查應(yīng)用中包含哪些組件時(shí),可以從軟件物料清單(SBOM)著手。“但是SBOM的幫助有限。”Tancman說道,“例如,你看不到容器里的東西,而且很多時(shí)候還是嵌套的。所以,我們Rezilion不僅查看文件系統(tǒng),還檢查內(nèi)存。我們查看執(zhí)行的一切,細(xì)致到函數(shù)級(jí)別。即使采用了特殊打包方式,我們?nèi)詴?huì)看到。”
Rezilion的自動(dòng)化漏洞解決方案主要做三件事。“首先,我們創(chuàng)建動(dòng)態(tài)的軟件物料清單,你可以將之插入自己的環(huán)境里,立即就能查看環(huán)境中的所有軟件。”Tancman表示,“你可以搜索Log4J,馬上就能知道都在哪兒。”
第二件事是漏洞驗(yàn)證。“使用我們的運(yùn)行時(shí)智能,我們不僅了解你環(huán)境中有些什么,而且知道這些東西都在干什么,怎么執(zhí)行的。”而這種方法通常表明,大約85%的漏洞都不需要修復(fù),因?yàn)榫退愦嬖谟诃h(huán)境中,但這些漏洞既不可攻擊,又不可利用。
“所以,我們拿到10萬個(gè)積壓的漏洞,縮減到1.5萬個(gè)待處理的漏洞。然后,我們用智能修復(fù)幫助客戶處理這些漏洞。我們經(jīng)常遇到的是,如果按軟件組件對(duì)這些漏洞進(jìn)行分組,你可以創(chuàng)建策略,只需觸及100個(gè)組件,就可以排除1萬個(gè)漏洞。于是,我們創(chuàng)建出能夠減少必做事項(xiàng)數(shù)量的智能修復(fù)策略,還幫你自動(dòng)化應(yīng)用這一策略。我們會(huì)自動(dòng)檢測(cè)、排序和修復(fù)這些漏洞。如今,我們能夠幫助每位客戶大幅減少積壓的漏洞,削減幅度達(dá)85%~95%。”
《lDevSecOps漏洞管理狀況》
https://www.rezilion.com/wp-content/uploads/2022/09/Ponemon-Rezilion-Report-Final.pdf
來源:數(shù)世咨詢
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!