確定風(fēng)險(xiǎn)評(píng)估的資產(chǎn)范圍
? ? 步驟2:評(píng)估資產(chǎn)的安全狀態(tài)
在確定風(fēng)險(xiǎn)評(píng)估范圍后�,就是確認(rèn)資產(chǎn)的安全狀態(tài)。通過掃描�����,輸出包括漏洞優(yōu)先級(jí)����、應(yīng)用補(bǔ)丁、軟件更新等主要信息的掃描報(bào)告供安全負(fù)責(zé)人進(jìn)行決策��。以漏洞檢測(cè)為例����,掃描是發(fā)現(xiàn)和修復(fù)漏洞的基本過程。雖然市面上所有掃描產(chǎn)品都是通過與已知漏洞數(shù)據(jù)庫進(jìn)行比對(duì)發(fā)現(xiàn)風(fēng)險(xiǎn)��,但漏洞庫的覆蓋范圍�、質(zhì)量和更新頻率卻各不相同。同時(shí)��,傳統(tǒng)掃描產(chǎn)品需要在機(jī)器上安裝和維護(hù)軟件應(yīng)用程序�����,會(huì)占用不少資源。相比之下青藤風(fēng)險(xiǎn)評(píng)估產(chǎn)品只需在主機(jī)中安裝一個(gè)輕量級(jí)Agent(內(nèi)存占用<40M�����,CPU占用<1%)�����,就可以在虛擬機(jī)���、物理機(jī)、容器�����、混合云等各種環(huán)境下一鍵部署����。
當(dāng)然,一次性掃描也只能夠輸出資產(chǎn)在某一個(gè)特定時(shí)刻的安全快照�����,而無法保持實(shí)時(shí)更新的數(shù)據(jù),那么持續(xù)監(jiān)控也就無從說起��。為保證企業(yè)核心資產(chǎn)的安全�����,青藤云安全建議企業(yè)每天多次掃描甚至是持續(xù)掃描企業(yè)中重要����、高價(jià)值的資產(chǎn)。
青藤的風(fēng)險(xiǎn)評(píng)估產(chǎn)品允許用戶連續(xù)地����、自動(dòng)地掃描主機(jī)中的任何資產(chǎn),幫助用戶獲得最新漏洞數(shù)據(jù)����。系統(tǒng)會(huì)每天進(jìn)行一次全局掃描,用戶也可自行手動(dòng)觸發(fā)全部掃描��,也可按業(yè)務(wù)組�、按主機(jī)進(jìn)行掃描。例如�,青藤風(fēng)險(xiǎn)評(píng)估產(chǎn)品在新漏洞爆發(fā)時(shí)候,支持24內(nèi)進(jìn)行漏洞響應(yīng)��,無需升級(jí)系統(tǒng),通過提供漏洞規(guī)則包導(dǎo)入系統(tǒng)��,支持用戶自行進(jìn)行該漏洞的檢測(cè)����。因此,用戶無需擔(dān)心掃描技術(shù)的更新����,都是在系統(tǒng)中自動(dòng)應(yīng)用�����。
? ? 步驟3:按輕重緩急處理風(fēng)險(xiǎn)
想要一次性修復(fù)所有風(fēng)險(xiǎn)點(diǎn)絕無可能�,因此需要對(duì)風(fēng)險(xiǎn)進(jìn)行分類、排序并標(biāo)記好優(yōu)先級(jí)����,優(yōu)先處理對(duì)系統(tǒng)危害最大、影響范圍最廣的風(fēng)險(xiǎn)點(diǎn)�����。此時(shí)�,一份好的報(bào)告就顯得尤為重要�,安全負(fù)責(zé)人可以通過掃描報(bào)告對(duì)風(fēng)險(xiǎn)一目了然����。筆者認(rèn)為掃描報(bào)告應(yīng)該是全面的、具體的�����、易于理解�、無漏報(bào)和誤報(bào)。誤報(bào)會(huì)占用IT人員大量精力和時(shí)間進(jìn)行排查����,而漏報(bào)則會(huì)導(dǎo)致因?yàn)榇嬖谖葱扪a(bǔ)漏洞而被黑客利用的嚴(yán)重風(fēng)險(xiǎn)。
青藤的風(fēng)險(xiǎn)評(píng)估產(chǎn)品能夠提供詳細(xì)的風(fēng)險(xiǎn)報(bào)告�����,可對(duì)系統(tǒng)各類風(fēng)險(xiǎn)進(jìn)行全面掃描���,包括安全補(bǔ)丁�、漏洞����、弱密碼�����、應(yīng)用風(fēng)險(xiǎn)�、系統(tǒng)風(fēng)險(xiǎn)����、賬號(hào)風(fēng)險(xiǎn),并給予對(duì)應(yīng)安全評(píng)級(jí)分?jǐn)?shù)�����。同時(shí)�����,可以根據(jù)應(yīng)用和業(yè)務(wù)組進(jìn)行篩選�����,也可以根據(jù)風(fēng)險(xiǎn)項(xiàng)進(jìn)行搜索��。如下圖所示查找受Linux內(nèi)核本地提權(quán)(臟牛)漏洞(CVE-2016-5195)影響的主機(jī)��。
確認(rèn)受漏洞影響的主機(jī)
? ? 步驟4:盡快修復(fù)風(fēng)險(xiǎn)點(diǎn)
修復(fù)是風(fēng)險(xiǎn)管理最重要步驟之一��,一旦出錯(cuò)將對(duì)企業(yè)組織產(chǎn)生重要影響���。傳統(tǒng)人工排查漏洞�、提供修復(fù)建議以及打補(bǔ)丁的過程耗費(fèi)大量時(shí)間和精力�,而且出錯(cuò)率高。復(fù)雜的修復(fù)過程會(huì)導(dǎo)致企業(yè)組織選擇延遲修復(fù)����,這些積累的“技術(shù)債務(wù)”對(duì)于企業(yè)而言就是一個(gè)定時(shí)炸彈。因此盡快修復(fù)漏洞不同優(yōu)先級(jí)的補(bǔ)丁���,并將系統(tǒng)風(fēng)險(xiǎn)降到最低至關(guān)重要��。
以漏洞修復(fù)為例�,為簡(jiǎn)化補(bǔ)丁處理過程以及將成本降到最低����,建議采用自動(dòng)化的補(bǔ)丁管理解決方案。青藤風(fēng)險(xiǎn)評(píng)估產(chǎn)品�,提供補(bǔ)丁的詳細(xì)信息,包括補(bǔ)丁的修復(fù)建議���、修復(fù)命令��、修復(fù)影響�,補(bǔ)丁當(dāng)前版本和修復(fù)后版本,并提供各維度的補(bǔ)丁風(fēng)險(xiǎn)特征:內(nèi)核風(fēng)險(xiǎn)�����、存在exp�、遠(yuǎn)程利用、本地提權(quán)����、CVSS詳情、相關(guān)的CVE編號(hào)等����。
? ? 步驟5:獲取最新風(fēng)險(xiǎn)信息
對(duì)于一線操作人員而言,最有用的報(bào)告功能是了解需要修復(fù)哪些風(fēng)險(xiǎn)�,以及如何完成該任務(wù)����。因此報(bào)告應(yīng)該提供風(fēng)險(xiǎn)的嚴(yán)重性、風(fēng)險(xiǎn)性檢測(cè)細(xì)節(jié)和修復(fù)步驟�����,以幫助IT管理員完成解決漏洞的任務(wù)。但是為滿足不同職位人員需求���,風(fēng)險(xiǎn)管理解決方案應(yīng)該支持根據(jù)需要定制風(fēng)險(xiǎn)信息的類型和展現(xiàn)形式�。通常情況下���,風(fēng)險(xiǎn)管理報(bào)告至少包括以下4塊內(nèi)容:
(1)風(fēng)險(xiǎn)概覽�,提供一個(gè)“一目了然”的風(fēng)險(xiǎn)評(píng)級(jí)及各風(fēng)險(xiǎn)點(diǎn)概況和趨勢(shì)�。
(2)風(fēng)險(xiǎn)匯總,按優(yōu)先級(jí)列出主機(jī)上的所有風(fēng)險(xiǎn)點(diǎn)����。
(3)風(fēng)險(xiǎn)分析,詳細(xì)描述主機(jī)資產(chǎn)面臨的具體威脅����,并允許對(duì)具體問題進(jìn)行深入審查。
(4)補(bǔ)丁報(bào)告�,顯示補(bǔ)丁的狀態(tài)以及負(fù)責(zé)人。
青藤漏洞檢查報(bào)告
? ? 同時(shí)���,安全報(bào)警應(yīng)該能立即發(fā)送到對(duì)應(yīng)管理員手中���,以便立即進(jìn)行補(bǔ)救�。確保風(fēng)險(xiǎn)管理解決方案能夠使IT安全團(tuán)隊(duì)盡快分析修復(fù)趨勢(shì)���,包括已解決和未解決的漏洞的長(zhǎng)期趨勢(shì)����,幫助客戶跟蹤進(jìn)度并分析企業(yè)安全趨勢(shì)�����。
? ? 步驟6:持續(xù)不斷地監(jiān)控
風(fēng)險(xiǎn)管理是一個(gè)持續(xù)不斷的過程���。在過去�,企業(yè)網(wǎng)絡(luò)是相對(duì)靜態(tài)的���,變化極少��。隨著業(yè)務(wù)數(shù)字化快速發(fā)展�,企業(yè)網(wǎng)絡(luò)是高度動(dòng)態(tài)的���。新漏洞每天都會(huì)出現(xiàn)��、系統(tǒng)配置每分鐘都在變化����。同時(shí)����,黑客通過對(duì)新技術(shù)利用,攻擊速度和能力都得到大幅提升���。這些變化決定企業(yè)安全狀態(tài)一直處于動(dòng)態(tài)變化過程中���,因此持續(xù)安全監(jiān)控顯得尤為重要。在這個(gè)網(wǎng)絡(luò)犯罪的新時(shí)代�,誰能最快地識(shí)別和修補(bǔ)漏洞,誰就能更好應(yīng)對(duì)攻擊����。安全攻與防是一場(chǎng)沒有終點(diǎn)的馬拉松,通過持續(xù)監(jiān)控是確保安全團(tuán)隊(duì)?wèi)?yīng)對(duì)黑客攻擊的重要方法��。
? ? 寫在最后
事實(shí)證明���,90% 的攻擊事件都利用了未修補(bǔ)的漏洞���,且攻擊者的手段不斷變化�,網(wǎng)絡(luò)安全狀況也在隨著安全漏洞的增加變得日益嚴(yán)峻����。而傳統(tǒng)的漏洞掃描器僅為按季度或按年的周期性掃描,在未進(jìn)行檢測(cè)期間��,新的漏洞很容易被黑客利用入侵�。因此,企業(yè)需要快速實(shí)現(xiàn)風(fēng)險(xiǎn)持續(xù)性地監(jiān)測(cè)與分析����,化被動(dòng)為主動(dòng),深入發(fā)現(xiàn)內(nèi)部暴露的問題和風(fēng)險(xiǎn)���,持續(xù)有效地對(duì)風(fēng)險(xiǎn)進(jìn)行處理�,從而提高攻擊門檻�����,縮減修復(fù)窗口期�。
