調(diào)查發(fā)現(xiàn),軟件漏洞數(shù)量正在增加,僅在2020年,漏洞數(shù)據(jù)庫(NVD)就發(fā)現(xiàn)了400多個新漏洞。對于大多數(shù)企業(yè)而言,快速修復(fù)這些漏洞的能力仍然是一個挑戰(zhàn)。根據(jù)調(diào)研機構(gòu)發(fā)布的《2019年DevOps狀態(tài)報告》(SODOR),只有32%的受訪者表示,能夠在一小時至不到一天的時間內(nèi)修復(fù)嚴(yán)重的安全漏洞;只有7%的受訪者表示,能夠在不到一小時的時間內(nèi)對其進行修復(fù)。這是一個大問題,因為長時間不修復(fù)關(guān)鍵漏洞將使黑客有時間獲得更多具有價值的信息。
對于管理人員和工作人員來說,對已知漏洞的安全性和緩解風(fēng)險的關(guān)注應(yīng)該成為更大的優(yōu)先事項。問題在于,漏洞管理工作流程(從安全團隊運行的漏洞報告到IT運營商完成的漏洞修復(fù))是分散且人工實施的,這使得漏洞修復(fù)速度很慢,并使IT基礎(chǔ)設(shè)施暴露于外部攻擊的時間過長。仍然有很多企業(yè)允許安全團隊將敏感數(shù)據(jù)發(fā)送給IT團隊,以修復(fù)他們在系統(tǒng)中發(fā)現(xiàn)的所有漏洞。根據(jù)調(diào)研機構(gòu)波洛蒙公司的研究,IT運營部門平均每周花費320個小時來進行一次漏洞修復(fù)。
隨著人們進入一個以軟件為中心的世界,網(wǎng)絡(luò)攻擊數(shù)量將會繼續(xù)增長,并且企業(yè)生產(chǎn)和使用的軟件漏洞數(shù)量將會增加。如果沒有針對企業(yè)如何主動、大規(guī)模地修復(fù)已知漏洞的計劃,那么企業(yè)聲譽和財務(wù)受損的機會就會增加。
那么,企業(yè)如何才能增強其安全性配置文件,使其免受漏洞攻擊并應(yīng)對日益增長的威脅?
運營環(huán)境的標(biāo)準(zhǔn)化和自動化
隨著技術(shù)的發(fā)展,IT領(lǐng)域變得越來越復(fù)雜,導(dǎo)致ITOpps的工作量要比人工完成的還要多,尤其是在技術(shù)人才短缺的情況下。解決此問題的一種方法是采用DevOps實踐,以盡可能少的技術(shù)實現(xiàn)標(biāo)準(zhǔn)化,這也對提高安全性有好處。使用更少的操作系統(tǒng),企業(yè)再也不需要查看影響選擇刪除的操作系統(tǒng)的漏洞,而且可以處理的漏洞數(shù)量也更少。
使用標(biāo)準(zhǔn)化技術(shù),使企業(yè)的環(huán)境自動化是管理其不斷增長的資產(chǎn)的有效方法,并允許在發(fā)現(xiàn)漏洞時更快地進行補救。DevOps的另一項原則(在可能的情況下進行自動化)有利于提高安全性,因為自動化執(zhí)行人工實施的安全性流程(例如補丁和更新)通常是重復(fù)和耗時的,并且可能會被遺忘,從而消除了人為錯誤的風(fēng)險。一旦發(fā)現(xiàn)漏洞,解決問題的速度便是最重要的,而自動化則是快速和大規(guī)模反應(yīng)的一種方法。在日常工作中,基本的網(wǎng)絡(luò)安全檢查非常適合于機器操作,使安全專家有時間尋找威脅和漏洞,而這正是人類擅長的事情,可以發(fā)現(xiàn)看起來很奇怪或不合適的事物并找出存在的漏洞。
遵循基于風(fēng)險的方法來確定首先要修復(fù)的內(nèi)容
信息安全和信息技術(shù)專業(yè)人員以嚴(yán)重程度為基礎(chǔ)處理漏洞的日子已經(jīng)一去不復(fù)返了?,F(xiàn)代專業(yè)人士現(xiàn)在面臨著一項艱巨的任務(wù),即決定不進行補救的內(nèi)容。實際上,只有那些可能對企業(yè)造成實質(zhì)性損害的漏洞才能得到解決。因此,現(xiàn)代專業(yè)人員必須采用基于風(fēng)險的優(yōu)先權(quán)。
基于風(fēng)險的方法考慮了漏洞的嚴(yán)重性以及服務(wù)器或計算機的場景和嚴(yán)重性。可能會問這個漏洞容易被利用嗎?這個漏洞是否已廣為人知?是否有廣泛可用的漏洞攻擊工具包?暗網(wǎng)上是否有關(guān)于該漏洞的討論?該漏洞是否會影響業(yè)務(wù)基礎(chǔ)設(shè)施的關(guān)鍵部分?如果對這些問題的答案是肯定的,那么企業(yè)現(xiàn)在就應(yīng)該進行補救。
通過使用自動化和一致的信息作為安全性和IT之間的通用語言,企業(yè)可以更好地了解其系統(tǒng)中最容易受到攻擊的部分,從而可以相應(yīng)地確定優(yōu)先級。遵循基于風(fēng)險的方法,可以糾正可能對企業(yè)造成最大影響和傷害的漏洞,例如任何種類的財務(wù)軟件、健康記錄甚至客戶數(shù)據(jù)庫。
縮小差距
如今,軟件為IT世界提供了強大的動力,這意味著許多使用軟件的企業(yè)都面臨潛在的安全漏洞。此外,通常存在的軟件漏洞是由人為錯誤引起的,盡管它們可能不是惡意的,但如果被利用,則會嚴(yán)重損害企業(yè)的運營和發(fā)展。企業(yè)需要確保早日消除軟件漏洞并盡快解決問題,這對其運營非常有利。當(dāng)企業(yè)盡早減輕安全風(fēng)險時,IT Ops可以大規(guī)模地減少漏洞數(shù)量。
但是,很多公司仍在嘗試通過人工修復(fù)漏洞,鑒于可能存在一些隱秘的漏洞,這種做法幾乎是不可能的,因此很容易受到網(wǎng)絡(luò)攻擊。一個良好的解決方案是自動化漏洞修復(fù),從而消除漏洞管理工作流程中的重復(fù)性和容易出錯的步驟,例如,消除在信息安全和IT Ops之間進行人工數(shù)據(jù)移交的潛在錯誤。
如果企業(yè)基礎(chǔ)設(shè)施中重要的部分存在大量漏洞,那么需要采用更有效的網(wǎng)絡(luò)安全防御措施?,F(xiàn)在建立強大的漏洞管理實踐,可以幫助企業(yè)避免可能導(dǎo)致慘重損失的錯誤。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號