2018 rsa大会 ,企业网络 安全运营 需要在自身资产面临的漏洞威胁上更有针对性和聚焦式的管理,而消除资产识别盲点的方法,包括主动扫描、代理扫描、镜像注册、被动监测等。除大家通常采用的主动扫描和被动监测外,代理扫描、镜像注册也是企业可以考虑采用的资产识别管理手段。
随着近年来类似 Wannacry 等 网络安全 重要事件的不断频发,对于事件的及时预防和检测成为当今安全的关注重点,在预防和检测方式上除了TI 威胁情报 、AI 人工智能 、ML 机器学习 等新技术的应用以外,漏洞管理重新获得了安全业界关注,同时企业对自身网络安全运营的重视也由此进一步强化。
在今年的RSA大会上,有些厂商从资产漏洞管理深化的视角进一步,比如业内知名的Tenable就分享了一个通过强化风险暴露来减少网络安全风险的演讲“Cyber Exposure: A New Discipline for Reducing Cyber-Risks”…
数据 仍然持续增加的危险漏洞
2017上半年的Wannacry事件再次震动了全球,而且这次更深程度上影响了原先不太关注安全的普通电脑用户,这也是笔者认为本届大会主题“ Now Matters ”的由来之一。但来自Tenable的数据显示,近五年来每天平均暴露的高危/严重漏洞的数量从4.8个/天到如今11.8个/天,同比增长约2.5倍。更进一步的数据表明,已广为人知的Wannacry漏洞并不是大家认为最严重的,超过这一级别的严重漏洞达到CVSS已知全部漏洞的30%,反映出我们面临的威胁无处不在,只是企业和用户还没有重视起来。
漏洞是什么及漏洞如何产生的?
advisera发布的文章称,ISO 27000概述了ISO信息安全管理系统及词汇表,规定漏洞为资产或安全措施中存在的可由一个或多个威胁利用的缺陷。同时,ISO 27000将威胁定义为可对系统或组织造成损害的意外事件的可能原因。
因此,若威胁发现可利用的缺陷,就出现了漏洞。然而,缺陷来自何处?一般来说,缺陷是资产或安全措施在设计、实施、配置或运行过程中存在的不足之处。疏忽大意或故意行为均可导致缺陷。有些缺陷很容易识别、纠正和利用,而有些则需要投入时间、精力和资源。
资产 首先要消除识别盲点 这至少有4种方法
那么面临如此多的威胁,我们首要的应该做些什么?Tenable认为首先要做的是消除资产识别盲点。企业内网有哪些重要资产,包括服务器、网络设备、云虚机、PC、webAPP、中间件/容器、IoT设备、网络架构等等,对于这些“家底”要做到清楚、详细。
如何做到?至少可以有四种方法: 主动扫描、代理扫描、镜像注册、被动监测 等。除大家通常采用的主动扫描和被动监测外,代理扫描、镜像注册也是企业可以考虑采用的资产识别管理手段。
应该要利用威胁情报信息,深度解读漏洞利用细节、利用热度、利用难度等技术细节,为企业安全运维人员提供详实的漏洞细节,便于他们结合企业实际情况分析漏洞影响,为漏洞修复提供决策依据,有利于真正实现漏洞管理的闭环操作。绿盟威胁和漏洞管理平台在这方面作出了不懈努力。
绿盟科技关注全球范围安全漏洞情报,与安全厂商广泛合作,建立起绿盟科技的威胁情报系统(NTI),成为TVM方案的重要情报来源。TVM在企业本地部署管理平台,从绿盟云端威胁情报中心获取漏洞情报数据,也可导入企业首发漏洞情报,打通威胁情报到管理流程之间的通道,实现安全厂商到安全运维人员、以及情报和本地管理流程的结合,由情报触发预警,结合对本地网络资产的深度发现和持续监控,对资产细致梳理完善管理,推动人员和漏洞管理流程运转,帮助建立快速响应机制。
漏洞需要结合企业自身情况进行针对性和聚焦式管理
漏洞是企业的“痛”,但企业在漏洞管理安全运营过程中还感受的一个痛点,就是不断被扫描器扫出存在所谓“高危/严重漏洞”,而企业觉得其中一些漏洞并不重要或者不好修复。产生这一问题的根源在于,市场上标准化的漏洞扫描工具与企业自身情况匹配度不相适应。站在企业立场来看,企业网络安全运营需要在自身资产面临的漏洞威胁上更有针对性和聚焦式的管理。以最具标准化评级代表的CVSS为例,企业需要立足自身IT系统情况结合CVSS聚焦于对企业更为相关的严重/高危漏洞,然后把安全手段和资源投入到对应防护中。
从信息安全的角度来看,对于企业所存在的安全漏洞的重视度和修复优先级本身就需要立足“资产-漏洞/威胁-脆弱性”的方法模型来评估。对于这一点,Tenable也指出做好企业的漏洞评级安全诊断需要结合企业情况进行“翻译”,需要考虑的方面包括企业面临哪类外部漏洞/威胁、对相关漏洞/威胁的修复方式及成本、修复时间如何等等。
你知道你的战场吗?不要被漏洞打败
去年在在 美国家网络安全意识月,IBM提醒到 ,在制定全面战略之前,需要了解您所在组织中皇冠宝石(重要资产)的位置。暴露哪里的数据,会影响职业、商业声誉和底线?
由于市场需要更快速的软件交付及更多特性,将会有更多漏洞出现。因此,为确保您的信息资产安全、维护企业形象以及保持竞争力,制定漏洞发现和处理计划非常重要。您会发现,通过对ISO 27001和27002推荐的漏洞控制措施进行调整,使其与您的业务需求相匹配会省掉很多麻烦和不必要的工作,尽量减小对公司信誉的损失和影响。