Morphisec的首席技術(shù)官兼惡意軟件研究主管Michael Gorelik討論了監(jiān)管框架、不完整的資產(chǎn)清點(diǎn)和手動(dòng)方法帶來的挑戰(zhàn)，同時(shí)還探討了自動(dòng)化系統(tǒng)的作用、面對(duì)不斷變化的網(wǎng)絡(luò)威脅時(shí)漏洞優(yōu)先級(jí)的未來，以及公司在建立有效的補(bǔ)救策略時(shí)應(yīng)考慮的關(guān)鍵因素。

了解漏洞的業(yè)務(wù)影響如何幫助確定它們的優(yōu)先順序?你能舉個(gè)例子說明這在現(xiàn)實(shí)世界中是如何有效運(yùn)作的嗎?

修復(fù)漏洞是一項(xiàng)艱巨的任務(wù)。截至2023年12月，已發(fā)布超過4540個(gè)關(guān)鍵漏洞(CVSS排名為9+)，然而，這些漏洞中被利用的不到2%。

使用CVSS評(píng)分推動(dòng)修補(bǔ)工作的公司可能跟不上新漏洞的速度，因?yàn)椴渴鸢踩a(bǔ)丁需要測(cè)試、兼容性檢查和風(fēng)險(xiǎn)評(píng)估，導(dǎo)致修補(bǔ)漏洞需要4-6周(或更長(zhǎng)時(shí)間)，這一漫長(zhǎng)的過程是因?yàn)樾枰苊庥捎诎惭b軟件更新可能導(dǎo)致兼容性問題而造成的業(yè)務(wù)中斷，這對(duì)公司來說是一個(gè)重大風(fēng)險(xiǎn)。因此，必須根據(jù)公司的業(yè)務(wù)上下文確定優(yōu)先順序，并與它們面臨的最嚴(yán)重的漏洞保持一致——這將導(dǎo)致可持續(xù)的補(bǔ)救過程。

公司應(yīng)該了解哪些漏洞有可能在其獨(dú)特的環(huán)境中被利用，以及哪些漏洞可能構(gòu)成最高的業(yè)務(wù)風(fēng)險(xiǎn)，例如，與駐留在保護(hù)良好的環(huán)境中的未使用的應(yīng)用程序中的漏洞相比，存在于活動(dòng)的面向互聯(lián)網(wǎng)的業(yè)務(wù)應(yīng)用程序中的具有已證實(shí)可利用性的漏洞或存在高概率利用的漏洞可能具有更高的優(yōu)先級(jí)。

遵守GDPR這樣的監(jiān)管框架在哪些方面有助于確定漏洞的優(yōu)先順序，這與維護(hù)公司的可信度有何關(guān)系?

漏洞管理是許多合規(guī)和監(jiān)管框架的關(guān)鍵組成部分，如NIST CSF、PCIDSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))、NERC CIP(北美電氣可靠性公司關(guān)鍵基礎(chǔ)設(shè)施保護(hù))、CIS(互聯(lián)網(wǎng)安全中心)關(guān)鍵安全控制、GDPR(通用數(shù)據(jù)保護(hù)法規(guī))等。

監(jiān)管框架包括數(shù)據(jù)保護(hù)和隱私的組成部分，這些組成部分通過要求公司實(shí)施安全措施來保護(hù)個(gè)人數(shù)據(jù)，間接解決了漏洞管理問題。個(gè)人數(shù)據(jù)的丟失可能導(dǎo)致信譽(yù)喪失，并被美國(guó)證券交易委員會(huì)(Securities And Exchange Commission)等監(jiān)管機(jī)構(gòu)處以違反監(jiān)管規(guī)定的罰款。由業(yè)務(wù)上下文確定優(yōu)先級(jí)和驅(qū)動(dòng)的漏洞管理實(shí)踐可以將處理PII的資產(chǎn)定義為關(guān)鍵資產(chǎn)，這可以極大地減少公司受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)和受保護(hù)數(shù)據(jù)的外泄。

你對(duì)漏洞優(yōu)先排序的自動(dòng)化系統(tǒng)有何看法?他們?nèi)绾螒?yīng)對(duì)手動(dòng)方法的挑戰(zhàn)?

系統(tǒng)應(yīng)持續(xù)運(yùn)行并收集實(shí)時(shí)數(shù)據(jù)，以根據(jù)實(shí)際使用情況確定漏洞優(yōu)先級(jí)，另一方面，傳統(tǒng)的漏洞系統(tǒng)通常會(huì)定期收集信息——按需、每周甚至每月，然而，缺乏當(dāng)前的暴露環(huán)境可能會(huì)導(dǎo)致資源分配和安全漏洞，這會(huì)造成巨大的人力資源開銷，并造成安全漏洞，因?yàn)檫@些信息不會(huì)顯示公司暴露的當(dāng)前地圖。

自動(dòng)和連續(xù)的優(yōu)先順序適應(yīng)動(dòng)態(tài)變化的攻擊面，反過來，團(tuán)隊(duì)獲得了更高的準(zhǔn)確性，減少了對(duì)手動(dòng)數(shù)據(jù)收集和分析的依賴。自動(dòng)化系統(tǒng)允許更大的容量來消化更多(和更高優(yōu)先級(jí))的數(shù)據(jù)，并更好地利用現(xiàn)有資源。

同時(shí)，在部署補(bǔ)丁之前，公司應(yīng)考慮部署無補(bǔ)丁保護(hù)，以減少其受攻擊面。無補(bǔ)丁保護(hù)能夠保護(hù)尚未打補(bǔ)丁的已知漏洞，同時(shí)防止未知漏洞造成損害。

不完整的資產(chǎn)清單和數(shù)據(jù)如何影響確定脆弱性優(yōu)先順序的過程，以及可以采用哪些戰(zhàn)略來克服這些挑戰(zhàn)?

影子IT資產(chǎn)或公司無法輕松訪問的資產(chǎn)上的漏洞無法補(bǔ)救。不是所有資產(chǎn)都可以完全映射，也不是所有資產(chǎn)——例如，運(yùn)行任務(wù)關(guān)鍵型流程的資產(chǎn)——都可以更新。在這種情況下，公司需要一個(gè)清晰的地圖來定義哪些應(yīng)用程序和資產(chǎn)構(gòu)成最高風(fēng)險(xiǎn)，以便能夠分配資源來為整個(gè)公司繪制地圖并創(chuàng)建更廣泛的庫存。同時(shí)，公司應(yīng)考慮應(yīng)用補(bǔ)償性控制，例如自動(dòng)移動(dòng)目標(biāo)防御，以保護(hù)運(yùn)行無法修補(bǔ)的應(yīng)用程序的系統(tǒng)。

公司在構(gòu)建漏洞優(yōu)先級(jí)排序公式時(shí)應(yīng)考慮哪些關(guān)鍵因素?這些因素如何相互作用來決定補(bǔ)救工作的緊迫性?

沒有兩個(gè)公司是相同的，每個(gè)公司都可能希望根據(jù)不同的戰(zhàn)略確定優(yōu)先順序。為此，漏洞管理系統(tǒng)應(yīng)提供多種選項(xiàng)來推動(dòng)工作，包括按業(yè)務(wù)環(huán)境對(duì)計(jì)算資產(chǎn)進(jìn)行分組、考慮整個(gè)主機(jī)(計(jì)算設(shè)備)的暴露、聚合應(yīng)用程序上的漏洞以及展示漏洞的可利用性和潛在可利用性。

因此，公司應(yīng)確定其關(guān)鍵的優(yōu)先級(jí)驅(qū)動(dòng)點(diǎn)，例如，將重點(diǎn)放在業(yè)務(wù)關(guān)鍵型應(yīng)用程序上，并根據(jù)該戰(zhàn)略推動(dòng)補(bǔ)救流程。現(xiàn)代漏洞補(bǔ)救技術(shù)應(yīng)該很容易適應(yīng)公司選擇的戰(zhàn)略。

你認(rèn)為漏洞優(yōu)先排序的未來走向如何，特別是隨著網(wǎng)絡(luò)威脅和技術(shù)進(jìn)步的演變?

由CVSS評(píng)分驅(qū)動(dòng)的標(biāo)準(zhǔn)漏洞管理實(shí)踐已演變?yōu)榛陲L(fēng)險(xiǎn)的漏洞優(yōu)先排序。下一步將是向風(fēng)險(xiǎn)暴露管理的范式轉(zhuǎn)變，這是一個(gè)更寬泛的術(shù)語，涵蓋了越來越多的元素，這些元素是代表公司風(fēng)險(xiǎn)的關(guān)鍵類別。

例如，除了應(yīng)用程序漏洞外，公司還將深化對(duì)特定于公司的錯(cuò)誤配置、權(quán)限和資產(chǎn)的識(shí)別和基于風(fēng)險(xiǎn)的評(píng)估，這些要素將構(gòu)成總體風(fēng)險(xiǎn)評(píng)分的基礎(chǔ)，這將使安全專業(yè)人員能夠更好地將其有限的資源集中在能夠最大限度地降低風(fēng)險(xiǎn)的領(lǐng)域。