如今,威胁和漏洞管理比以往任何时候都更加重要,60% 的数据泄露中涉及未修补的漏洞。各种漏洞工具比比皆是,但就其所有功能而言,很少有工具提供明确的行动途径。对于跨国界和跨行业的组织来说,识别最具影响力的补丁是一项挑战。根据独立网络安全研究人员Ponemon研究所的数据,57%的企业不知道哪些漏洞构成最高风险。没有这一关键见解,就不可能确定优先顺序。
漏洞管理工具依靠各种来源来确定常见漏洞和暴露 (CVE) 的优先级。其中包括 CVSS 分数、漏洞利用的状态、漏洞利用的年龄等。包含这些数据点的工具提供了重要的上下文,但它们忽略了一个明显的问题。如果应用程序未运行、过去未运行和/或将来不会运行,则这些数据点无关紧要。
应用程序使用情况会创建由应用程序内容(可执行文件、服务和库)组成的攻击面。应用程序的内容在运行时在内存中可用,从而为知道如何利用它们的攻击者提供了入口点。(阅读《为什么要关注内存攻击?)几乎没有任何应用程序能够幸免。Bit防御者报告说,76%的应用程序至少有一个漏洞。
但是,如果应用程序不运行,则其引擎盖下的组件将不可用于良性和恶意目的。换句话说,未使用的应用程序几乎不会带来任何风险。
事实上,显示未使用的应用程序的漏洞报告实际上会增加风险。如何?通过将注意力从真正需要您关注的最关键的修补工作上转移开来。这些是构成最大攻击面的最常用的应用程序,这是您的组织所独有的。
决定打什么补丁
CVE是当今一些最具破坏性的威胁的门户,包括许多勒索软件的菌株。(阅读《如何解决勒索软件的安全漏洞》)虽然打补丁是全面的第一道防线,但打正确的补丁,而不是打所有的补丁,是有效安全的关键。
由于要实施的补丁清单太多,大多数网络安全团队不可能解决每一个漏洞,甚至是每一个高严重度的漏洞。
不可见的漏洞无法被优先处理和修补,因此漏洞可见性是网络卫生的基础。一旦漏洞被发现,时间就是关键。然而,打补丁的时间仍然慢得像冰一样。Heimdal Security报告说,打补丁的平均时间是67天。
其结果是:攻击者有足够的时间利用未打补丁的弱点进行恶意攻击,如窃取数据、加密文件或拒绝服务。
有什么危险?
不幸的是,创建一个补丁并不能将一个应用程序从攻击者的目标列表中消除。这是因为平均而言,企业需要60到150天的时间来修补一个漏洞,这就给漏洞的暴露留下了潜在的灾难性缺口。事实上,由于补丁通常是逆向工程,攻击者往往更容易在补丁发布后和实施前创造一个漏洞。
尽管漏洞是勒索软件实施的首要方式,但在2019年,60%的漏洞是由于未修补的漏洞造成的。安全漏洞的平均成本徘徊在400万美元左右,鉴于大多数漏洞本可以通过补丁来预防,这一点尤其令人痛心。
第三方应用程序需要专门监测
一个环境的各个层面都需要打补丁–硬件、操作系统和网络。但在管理组织端点上安装的数百个不同的第三方应用程序(如Slack、Zoom、Python和Docker)的漏洞方面,存在着固有的特殊挑战。
2019年Okta的一项研究发现,近10%的企业平均安装了超过200个应用程序,而大型企业部署的应用程序数量在过去四年中增加了68%。企业需要对第三方应用程序进行集中查看,以确保正确的东西得到修补,而错误的东西没有安装。
漏洞评估的重中之重是臭名昭著的 “神圣三位一体 “的应用程序,大量的漏洞往往来自于此。Acrobat Reader、Chrome和Java。这些应用程序不仅是漏洞的频繁来源,而且还经常被使用,使它们成为每个组织的安全态势中的薄弱环节。
威胁和漏洞管理需要可见性
那么,你如何才能获得你所需要的应用程序使用情况的可见性,以有效地确定补丁的优先次序?虹科Morphisec Scout的技术显示了安装在你的环境中的第三方Windows应用程序,提供了数百个最常用的应用程序的漏洞可见性,因此你可以改善你的IT卫生。
在市场上独一无二的是,Scout根据CVE的严重程度以及应用程序的使用情况来确定哪些应用程序需要修补。这反映了每天对你的特定组织构成的真正风险。Scout提供了一个明确的补丁优先级的路径,使你省去了从一般数据点推断风险的工作。它通过消除风险因素,如未使用的、过时的或不符合政策的应用程序,促进了更健康的安全态势。这使您能够将修补工作集中在能够对您的组织的风险产生最大影响的应用程序上。
