安全團(tuán)隊(duì)每天都會(huì)被越來(lái)越多的漏洞所淹沒(méi),但通過(guò)改變漏洞的優(yōu)先級(jí)�����,可以極大地減少修補(bǔ)工作量�����。
大多數(shù)企業(yè)都會(huì)關(guān)注通用漏洞評(píng)分系統(tǒng)(CVSS)框架中對(duì)缺陷的評(píng)分���,評(píng)分范圍從0到10����,并根據(jù)漏洞的特點(diǎn)�,分為低、中����、高和極危。一般而言����,企業(yè)會(huì)從被視為“極��!钡穆┒撮_(kāi)始補(bǔ)救工作�����,然后再高中低逐級(jí)往下解決����。
但現(xiàn)實(shí)情況是��,對(duì)于許多企業(yè)來(lái)說(shuō)����,大多數(shù)漏洞都不會(huì)對(duì)它們構(gòu)成威脅。安全公司Rezilion在5月發(fā)布的一項(xiàng)研究報(bào)告顯示��,組織中約85%的漏洞并沒(méi)有加載到內(nèi)存��,也就意味著不能夠真正被利用�����。(Rezilion成立于2018年���,專注方向?yàn)樽詣?dòng)化的攻擊面管理)
在這項(xiàng)研究中�,Rezilion的研究人員檢查了Docker Hub上20種流行的容器鏡像�����,這些鏡像總共被下載和部署了數(shù)十億次�,包括MariaDB、WordPress�、Memcached、MongoDB����、Nginx和MySQL。此外�����,他們還研究了來(lái)自AWS����、Azure和GCP的基本操作系統(tǒng)鏡像,以確定有多少漏洞不適用���,又有哪些漏洞構(gòu)成了實(shí)際風(fēng)險(xiǎn)����。
在Rezilion研究人員分析的21種容器鏡像中,有4347多個(gè)已知漏洞��,但經(jīng)測(cè)試后發(fā)現(xiàn)���,只有平均15%的CVE漏洞曾加載到內(nèi)存中并構(gòu)成威脅�����。研究人員還在分析的12個(gè)基本操作系統(tǒng)鏡像中發(fā)現(xiàn)了6167個(gè)已知漏洞���,其中約有20%加載到內(nèi)存中。
因此報(bào)告得出結(jié)論��,容器和主機(jī)中發(fā)現(xiàn)的所有漏洞�����,有85%從未加載到內(nèi)存��,因此不可利用�。如果使用傳統(tǒng)的漏洞管理方法,人們將花費(fèi)85%以上的時(shí)間和精力來(lái)修補(bǔ)對(duì)環(huán)境沒(méi)有實(shí)際風(fēng)險(xiǎn)的漏洞���。
不僅如此�,在實(shí)際的漏洞修補(bǔ)工作中,許多補(bǔ)丁是手動(dòng)打上的�����,更為糟糕的是�,有些漏洞的性質(zhì)很難快速進(jìn)入修補(bǔ)流程����,時(shí)間長(zhǎng)的可能需要幾個(gè)月,往往還需要系統(tǒng)停機(jī)���。
一方面���,組織在處理漏洞和補(bǔ)丁管理方面的資源和能力十分有限。另一方面漏洞發(fā)現(xiàn)和披露的數(shù)量逐年增加��。因?yàn)橹灰藗兙帉懘a����,漏洞就會(huì)出現(xiàn),修補(bǔ)工作就跟不上�。因此,一個(gè)看上去比較合理化的建議是,首先處理實(shí)際加載到內(nèi)存中的漏洞���,如果再有額外的時(shí)間或資源再處理其他的漏洞��。因?yàn)橹挥羞@些能夠進(jìn)入到內(nèi)存中的漏洞�����,才是真正重要的����,真正構(gòu)成威脅的漏洞���。
但問(wèn)題是���,那些從未加載到內(nèi)存的漏洞真得沒(méi)有風(fēng)險(xiǎn)嗎?誰(shuí)能保證這些漏洞以后不會(huì)加載到內(nèi)存���?理論上而言�,存在漏洞的軟件����,即使沒(méi)有運(yùn)行�,仍然存在風(fēng)險(xiǎn)���。因此�,一個(gè)非常有效且簡(jiǎn)便易行的方法就是����,刪除那些執(zhí)行指定任務(wù)時(shí)系統(tǒng)不需要的軟件���。
方法論有了�,但最大的問(wèn)題在于����,現(xiàn)實(shí)中的大多數(shù)組織缺乏對(duì)其所有信息資產(chǎn)的了解,也不知道哪些軟件程序的哪些部分會(huì)加載到內(nèi)存中��。所以���,一切又回到了對(duì)企業(yè)資產(chǎn)環(huán)境的充分了解上���。
不清楚保護(hù)對(duì)象,何談保護(hù)���?
不管怎樣�����,組織面臨的風(fēng)險(xiǎn)永遠(yuǎn)存在�,修補(bǔ)能力也永遠(yuǎn)趕不上漏洞的增長(zhǎng)�;貧w到最佳實(shí)踐上,那就是合理利用現(xiàn)有的資源�、工具和預(yù)算,將工作重點(diǎn)放在與自身更相關(guān)的漏洞上�。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
