如何管理 CVE 不斷上升的趨勢

中科天齐软件原生安全發表於2024-11-12

隨著漏洞的數量和複雜性的增加,組織正在努力管理和緩解安全缺陷。

MOVEit檔案傳輸服務、Log4Shell 和 Citrix Bleed 中的軟體缺陷是近年來被利用的最引人注目的漏洞之一,但它們只佔造成廣泛損害的 CVE 總數的一小部分。

CVE的數量每年都在穩步增長,SecurityScorecard 在 2023 年記錄了 29,000 個漏洞,今年已經跟蹤了近 27,500 個漏洞。根據 Coalition 的 2024 年網路威脅指數報告,預計到 2024 年,這一數字將達到 34,888,增長 25%。這強調了組織在持續管理漏洞和加強對潛在漏洞的防禦方面所面臨的挑戰。

根據SANS 2022年漏洞管理調查,雖然四分之三的組織採用正式的計劃來管理漏洞,但有許多組織正在努力解決無法修復的積壓問題,並且越來越多的問題需要透過供應商或開源社群來修復。網路安全研究人員表示,CVE 的數量之多使得跟蹤所有潛在漏洞變得困難。尤其當許多漏洞被認為很嚴重時,企業需要考慮在當前組織環境中被利用的可能性,並對優先修復的漏洞進行評級。

CVE 識別符號幫助漏洞排名

CVE編號是一種常用的識別符號,安全團隊可以根據一系列資料來源對漏洞進行排名,並使用漏洞檢測工具或入侵檢測系統來查詢漏洞。

CVE已成為許多其他安全標準的基礎,包括國際標準化組織、支付卡行業和醫療保健資訊信任聯盟安全框架。CVE用於合規性、風險管理和網路安全協議,提供了一種標準化方法,用於識別和引用特定漏洞,併為世界各地的安全團隊使用提供通用識別符號。

安全研究人員指出,隨著漏洞的增加,解決所有風險是不可行的。排名意味著每個CVE都有一個風險權重,這對於確定修補和漏洞管理的優先順序至關重要,尤其是在 CVE 的範圍不斷擴大的情況下。引入的每一行新程式碼都可能為更多 CVE 提供新的機會。

採用安全檢測工具解決 CVE 問題

雖然CVE的總體數量在增加,但鑑於單個 CVE 編號通常可以引用不止一段程式碼,因此還有更多內容。當CVE嵌入在非常普遍的程式碼中時,一個CVE可能會影響多個不同版本的軟體或軟體包。並非每個 CVE 都帶有修復程式,甚至帶有概念驗證,表明它是一個可以在野外利用的真實問題。如果有必要,釋出修復程式或宣告漏洞,以便安全團隊和掃描工具及時發現並修復。

在消除CVE時,安全掃描工具很重要,當前多數情況下組織會選擇在軟體開發生命週期中即進行安全檢測,通常結合使用靜態測試、動態測試、滲透測試等方法。隨著對開源庫的依賴增加,目前開源元件分析也逐漸成為重要的方式。

參讀連結:

https://www.cybersecuritydive.com/news/cyber-security-vulnerability-management-CVE/726710/

相關文章