漏洞管理是 IT 风险管理领域中的一个子领域,旨在持续发现组织的 IT 基础架构和软件中存在的安全漏洞,划分漏洞的优先级并加以解决。
安全漏洞是指网络或联网资产的结构、功能或实施中存在的任何缺陷或弱点,黑客可以利用它们发起网络攻击,未经授权即访问系统或数据,或者以其他方式对组织造成损害。 常见漏洞的示例包括防火墙错误配置,这可能会允许某些类型的恶意软件进入网络,还包括操作系统的远程桌面协议中未修补的错误,这些错误可能会允许黑客接管设备。
由于当今的企业网络如此分散,每天都会发现数不胜数的新漏洞,因此几乎不可能进行有效的手动或临时漏洞管理。 网络安全团队通常依赖漏洞管理解决方案来实现流程自动化。
互联网安全中心 (CIS) 将持续漏洞管理列为其关键安全控制措施(链接位于 ibm.com 外部)之一,旨在防御最常见的网络攻击。 通过漏洞管理,IT 安全团队可以赶在漏洞遭到利用之前及早识别并解决这些漏洞,从而建立更主动的安全态势。
由于新漏洞随时都可能出现,安全团队将漏洞管理视为一个连续的生命周期,而不是一个离散的事件。 这个生命周期包括五个持续且重叠的工作流程:发现、分类和划分优先级、解决、重新评估和报告。
1. 发现
发现工作流程以漏洞评估为中心,这是一个检查组织的所有 IT 资产是否存在已知和潜在漏洞的过程。 通常情况下,安全团队会使用漏洞扫描软件自动执行此过程。 一些漏洞扫描程序会按照计划定期执行全面的网络扫描,而另一些漏洞扫描程序则会使用笔记本电脑、路由器和其他终端上安装的代理来收集每台设备上的数据。 安全团队还可以使用不定期的漏洞评估(例如渗透测试)来定位扫描程序可能扫描不到的漏洞。
2. 分类和划分优先级
一旦识别了漏洞,就会将它们按类型(例如,设备配置错误、加密问题、敏感数据暴露)进行分类,并按严重程度划分优先级,即对每个漏洞的严重性、可利用性和导致攻击的可能性进行估计。
为确定严重性,漏洞管理解决方案通常会利用威胁情报来源,例如通用漏洞评分系统 (CVSS),这是一种开放的网络安全行业标准,它以 0 到 10 的等级对已知漏洞的严重性进行评分;MITRE 的常见漏洞和暴露 (CVE) 列表;以及 NIST 的国家漏洞数据库 (NVD)。
3. 解决
一旦确定了漏洞的优先级,安全团队就可以通过以下三种方式之一解决这些漏洞:
4. 重新评估
当漏洞得到解决时,安全团队通常会开展新一轮漏洞评估,确保他们的缓解或补救工作有效,且没有引入任何新的漏洞。
5. 报告
漏洞管理平台通常会提供仪表板,用于报告平均检测时间 (MTTD) 和平均响应时间 (MTTR) 等指标。 许多解决方案还维护已识别漏洞的数据库,允许安全团队跟踪已识别漏洞的解决情况,并对过去的漏洞管理工作加以审计。
借助这些报告功能,安全团队能够为正在进行的漏洞管理活动建立基线,并长期监控项目绩效。 报告还可用于在安全团队和其他 IT 团队之间共享信息,这些 IT 团队可能负责管理资产,但并不直接参与漏洞管理流程。
基于风险的漏洞管理 (RBVM) 是一种相对较新的漏洞管理方法。 RVBM 将利益相关方特定的漏洞数据与人工智能和机器学习能力相结合,从三个重要方面加强漏洞管理。
借助更多上下文可更有效地划分优先级。 如上所述,传统的漏洞管理解决方案使用 CVSS 或 NIST NVD 等行业标准资源来确定严重性。 这些资源所依赖的笼统概述,可用来确定所有组织中一般情况下漏洞的严重性。 但它们缺乏利益相关方特定的漏洞数据,这可能导致面对特定公司对某个漏洞的严重程度估计不足或过高。
例如,由于没有安全团队花费时间或资源来解决其网络中的每个漏洞,因此许多人在划分漏洞优先级时,会优先给予“高”(7.0-8.9) 或“严重”(9.0-10.0) 级别的 CVSS 分数。 但是,如果存在“严重”漏洞的资产并不存储或处理任何敏感信息,也不提供通往网络高价值部分的途径,那么采取补救措施可能就是对安全团队宝贵的时间进行的一次错误分配。 另一方面,与其他组织相比,CVSS 分数较低的漏洞对某些组织造成的威胁可能更大。 2014 年发现的 Heartbleed 漏洞依照 CVSS 等级被评为“中等”(5.0)(链接位于 ibm.com 外部),但黑客却利用它发动了大规模攻击,例如,从美国最大的连锁医院之一窃取了 450 万患者的数据(链接位于 ibm.com 外部)。
RBVM 使用利益相关方特定的漏洞数据来补充评分信息,即受影响资产的数量和重要性、这些资产与其他资产的连接方式,以及漏洞利用可能导致的潜在损害,此外还提供了现实世界中网络犯罪分子如何与漏洞交互的数据。 它使用机器学习来制定风险评分,从而更准确地反映每个漏洞对于该组织的具体风险。 这使 IT 安全团队能够优先考虑数量较少的关键漏洞,而不会牺牲网络安全性。
实时探索。 在 RBVM 中,漏洞扫描通常是实时进行的,而不是定期进行。 此外,RBVM 解决方案可以监控更广泛的资产。传统的漏洞扫描程序通常仅限于直接连接到网络的已知资产,而 RBVM 工具通常则可以扫描本地和远程移动设备、云资产、第三方应用和其他资源。
自动重新评估。 在 RBVM 流程中,可以通过持续的漏洞扫描自动进行重新评估。 在传统的漏洞管理中,重新评估可能要求有意识地进行网络扫描或渗透测试。
漏洞管理与攻击面管理 (ASM) 密切相关。 ASM 是指持续发现、分析、补救和监控构成组织攻击面的漏洞和潜在攻击途径。 ASM 和漏洞管理之间的核心区别之一就是范围。 虽然这两个过程都监控和解决组织资产中存在的漏洞,但 ASM 采用了更全面的网络安全方法。
ASM 解决方案包括资产发现功能,用于识别和监控连接到网络的所有已知资产、未知资产、第三方资产、子公司资产和恶意资产。 ASM 还扩展到 IT 资产之外,能够识别组织的物理和社会工程攻击面中存在的漏洞。 然后,它会从黑客的角度分析这些资产和漏洞,了解网络犯罪分子如何利用它们来渗透网络。
随着基于风险的漏洞管理 (RBVM) 的兴起,漏洞管理和 ASM 之间的界限变得越来越模糊。 组织经常会在 RBVM 解决方案中部署 ASM 平台,因为 ASM 提供了比单独的漏洞管理更全面的攻击面视图。