Gartner 表示：

“ 到 2022 年，使用基於風險的漏洞管理方法的組織，會減少 80% 的被攻擊可能” ^【1 ^】

傳統的漏洞管理方法無法適應當今的數字時代

不管您在網路安全領域工作了多久，您都一定知道漏洞管理對於識別和降低網路風險至關重要。為什麼呢？因為在每一次重大的網路攻擊的背後，都有一個未被解決的漏洞。

但是，有一個大問題：在過去的 20 年裡，攻擊面在不斷演變，漏洞管理人員卻未能跟上演變的步伐。

當今的IT 環境正在不斷變化。在數字轉型的推動下，現在我們的世界使用程式碼來編寫的，充斥著新技術、新平臺和新裝置。聯想雲、物聯網、可移動的、網路應用程式 —— 甚至連工業裝置也能連線到這個混亂的景觀中。

不同型別的資產不斷的進入和離開企業當中。最重要的是，有些資產是短暫的 —— 只持續幾秒鐘或幾分鐘。

再多的資產，再多的漏洞，事情也不會更復雜了。

考慮到不斷迅速演變膨脹的攻擊面，漏洞數量的增長也就不足為奇了。事實上，這個數字已經完全令人生畏了。從 2016 年到 2018 年，新發布的漏洞從每年 9,837 ^【2 ^】激增到每年 16,500 個。 ^【3 ^】平均而言，這意味著企業每天會在 960 個IT 資產中發現 870 個漏洞。 ^【4 ^】

除了挑戰之外，漏洞的嚴重成都似乎還在增加。由於行業標準的常見漏洞評分系統（ CVSS ）發生了變化，大多數的漏洞現在被歸類為高危或嚴重漏洞。根據CVSSv 3 評級，60% 的漏洞被認為是高危或者嚴重等級，而CVSSv 2 為 31% （見圖 1 ）。 ^【5 ^】

圖 1 :CVSSv 2 與CVSSv 3 的分類

因此，安全團隊正在處理的漏洞數量超過了他們可以處理的。太過於分散這些有限且有價值的資源會迅速導致低效率和工作過度勞累。由於CVSS 是沒有風險區分的，你最不需要做的就是浪費寶貴的時間來修復那些幾乎沒有風險的漏洞。

與攻擊者的競爭仍在繼續 ， 並且他們處於領先

三個月期間，在分析了大約 20 萬個漏洞評估掃描中最常見的 50 個嚴重和高危漏洞後， Tenable 研究發現，攻擊者比防禦者領先了 7 天的時間。 ^【6 ^】駭客在安全團隊意識到他們面臨風險之前就已經搶先開始利用漏洞。

如果不能不間斷的瞭解困擾組織的漏洞，就不可能知道自己的弱點在哪裡。傳統的漏洞管理主要是以遵從法規為導向，旨在證明遵守法規遵並檢查所有制定專案。這意味著漏洞掃描和補救計劃通常是間斷性的，被審計週期打斷，使安全人員痛苦地意識不到重大的漏洞。幸運的是，有一種方法可以克服這些危險 —— 從本質上改變了攻擊者的優勢。

利用基於風險的漏洞管理來抓住這個機會

每個安全行業的從業者都知道不可能完全躲避攻擊。但是積極防禦的方法是接下來最好的選擇。最簡單的實現方法是什麼呢？就是基於風險的漏洞管理。

透過進行基於風險的漏洞管理，您可以自信地回答這三個關鍵問題：

1 、業務暴露點在哪裡？

2 、基於可被利用性，我們應該優先考慮哪些問題？

3 、如果漏洞被利用了，會對業務產生什麼影響？

基於風險的漏洞管理可以幫助您減少大量的漏洞，為您提供快速、有效地採取修復行動所需的準確關注點。

“開始將其作為一個關鍵指標進行監控：您有多少可被利用的漏洞在外網”

—— Gartner ^【7 ^】

首先， 解決基本的可見性問題

您無法保護您看不見的東西，也無法解決您不知道的問題。然而，在整個不斷擴充套件的攻擊面上獲得全面的可見性並不是一件容易的事情。

攻擊面和威脅環境都在不斷變化，所以不及時的評估為錯誤的資訊決策留下了很大的空間。基於風險的漏洞管理遠遠超出了傳統漏洞管理提供的靜態、分散的可見性，並提供了總體動態檢視 —— 新增雲、容器、 web 應用程式、物聯網、操作技術以及任何計算機平臺上的任何資產（見圖 2 ）。

無法使用傳統的漏洞管理攻擊來有效地檢視和分析紅色圈中的資產：

圖 2 : 透過進行基於風險的漏洞管理來消除所有盲點

透過實施基於風險的漏洞管理，您可以準確地檢視組織中的所有潛在風險。

然後， 回答優先順序問題

基於風險的漏洞管理也回答了以下問題： “ 我們首先應該解決什麼？ ” 僅使用CVSS 來確定優先順序還不足夠，因為它僅限於漏洞可能引入的風險的理論觀點，因此將大多數漏洞歸類為高危或嚴重等級。 CVSS 不考慮該漏洞是否正在網際網路上被利用。它也不考慮該漏洞是否存在於關鍵業務或系統上。

例如， CVSSv 2 和CVSSv 3 優先考慮遠端可利用漏洞，不需要使用者互動。但是，攻擊者更喜歡使用經過驗證的、能夠持續利用的漏洞。他們通常利用客戶端漏洞，透過網路釣魚攻擊、惡意軟體驅動器、惡意轉換等方式執行。如果僅基於CVSS 確定優先順序（例如，修補所有評分為 9 及以上的漏洞），最終會浪費時間和精力去修復永遠也不會被利用的和攻擊者不喜歡利用的漏洞。要有效地確認優先順序，您需要一種風險驅動的方法，對攻擊者關注的關鍵資產和漏洞進行優先順序排序。

透過基於風險的漏洞管理，您可以縮小嚴重漏洞的範圍，並從理論中提取實際風險（參見圖3 ）。它使用機器學習的方法自動分析、關聯漏洞的嚴重性、威脅程度和資產重要性，基於風險為您提供明確的重點修復指導。

圖 3 : 使用 CVSS 與基於風險的優先順序排序對比

鑑於當今攻擊面產生的海量資料，資源緊張的團隊不可能全部手動處理。讓機器學習進行分析和關聯，這樣您就可以與 IT 團隊合作修復重要的漏洞。

“隨著我們組織的有機發展，從傳統系統轉移到雲環境，如 GCP 、亞馬遜雲和微軟 Azure ，我們的攻擊面正在迅速擴大。我們有巨大數量的漏洞。最初檢測到大約 25 萬個漏洞，由於傳統應用程式的存在，其中一些漏洞被歸類嚴重漏洞和可利用漏洞。我的團隊必須有效地對我們的漏洞進行優先順序排序以降低我們的網路風險，並領先威脅一步。

——邁克·科斯 (Mike Koss) ， NBrown 集團的 IT 安全和風險主管

基於風險與傳統漏洞管理

將不可能變為可實現（並消除與 IT 團隊之間的摩擦）

Ponemon Institute 最近的一項調查發現， 51% 的安全團隊花在研究人工流程上的時間多於響應漏洞，導致不可避免的響應阻塞 ^【8 ^】。再加上行業內嚴重的技能短缺，很容易就能理解為什麼團隊效率至關重要。

基於風險的漏洞管理為您提供指導團隊所要關注的重點，同時向您展示您目前積極降低網路風險的工作成果。您會知道您正在採取的管理風險措施是正確的，因為您專注於可能被利用並造成最大傷害的少數漏洞。您還需要定期跟蹤這兩個KPI ：

l 評估時間：從漏洞釋出到您的團隊評估漏洞需要多長時間？

l 修復時間：您的團隊需要多長時間來響應並與 IT 團隊合作修復關鍵漏洞——這些漏洞在網際網路上被大量利用後，所造成的最大風險是什麼？

“我們不能向 IT 團隊提供一份包含 10,000 個“漏洞”的清單，並期望他們與我們合作。如果我給他們一份幾百個漏洞的清單，他們才會參與。”

– Dan Bowden ， CISO ， Sentara Healthcare

透過監控這些指標，您可以真實地瞭解哪些指標有效，哪些指標無效。這種新發現的清晰的漏洞優先順序，將使您更好地與IT 團隊對話。您將與 IT 團隊合作修復真正需要注意的一小部分漏洞，而不是向他們扔一個包含成百上千個需要解決的漏洞的電子表格。在確定工作中的差距並朝著共同目標取得的進展時，擁有可以依賴的資料會大有不同。

衡量和管理業務系統的風險

透過基於風險的漏洞管理，您將獲得保護業務系統所需的洞察力。如果業務系統的網路風險是不可被接受的，您可以快速確定將其他的安全重心集中在可以降低風險地方。

您還可以輕鬆地將攻擊面的網路風險傳達給業務領導。管理基於風險的漏洞管理計劃所依賴的資料會自動轉換為業務領導能夠理解的基於風險的指標。

想要將您的工作量直接減少97% 嗎？嘗試預測優先順序。

預測優先順序結合了研究結果、威脅情報和漏洞評級，將需要立即修復的漏洞數量減少了 97% 。看看它是如何工作的——檢視互動式演示。

明確您的優先順序——立即嘗試基於風險的漏洞管理

大多數安全團隊表示，他們有X 多人在處理 Y 數量的案例，或者他們的公司有 Z 數量的開放的嚴重漏洞。這些數字如何轉化才能使公司被攻擊的可能性降到最低？他們不知道。

僅減少數量並不能降低您的風險。消除造成直接危險的漏洞才是關鍵所在。

想了解基於風險的漏洞管理如何為您的安全團隊提供最大的幫助嗎？從今天開始吧。

資料來源：

1. 選擇脆弱性評估解決方案的指南， Gartner ， 2019 年 4 月

2. 脆弱性情報報告， Tenable 研究報告， 2018

3. 美國國家漏洞庫（ NVD ）

4. Tenable 研究報告

5. 脆弱性情報報告， Tenable 研究報告， 2018

6. 量化攻擊者的先發優勢， Tenable 研究報告， 2018

7. “ Gartner 的脆弱性管理戰略遠景”， Craig Lawson; Gartner 安全與風險管理峰會演講， 2019 年 8 月，澳大利亞，悉尼

8. 衡量和管理商業運營的網路風險， Ponemon Institute, 2018

文章內容譯自Tenable ：

《Focus on the vulnerabilities that pose the greatest risk 》

Gartner VPT技術原理 ——Tenable：專注於構成風險最大的漏洞

傳統的漏洞管理方法無法適應當今的數字時代

相關文章