漏洞管理的重要性
盡管漏洞管理能有效應(yīng)對許多網(wǎng)絡(luò)安全風(fēng)險,但很多組織往往忽視了漏洞管理流程的實施,大量的數(shù)據(jù)泄露案例證實了這一點。也因此,組織在毫無意識的狀況下會受到補(bǔ)丁和錯誤配置的影響。
漏洞管理旨在調(diào)查組織的安全狀況,并在此類漏洞之前被惡意攻擊者發(fā)現(xiàn)之前檢測它們。
這就是為什么實施漏洞管理計劃對于各種規(guī)模的公司都至關(guān)重要的原因。強(qiáng)大的漏洞管理利用威脅情報和IT團(tuán)隊知識對風(fēng)險進(jìn)行排名并快速響應(yīng)安全漏洞。
漏洞管理的四個階段
創(chuàng)建漏洞管理程序時必須考慮以下幾個步驟。將這些步驟納入管理流程不僅有助于防止漏洞被忽視,還可以正確解決發(fā)現(xiàn)的漏洞。
一、識別漏洞
漏洞掃描程序是標(biāo)準(zhǔn)漏洞管理解決方案的核心,包括四個階段。
1.通過發(fā)送Ping或TCP/UDP數(shù)據(jù)包掃描有權(quán)訪問網(wǎng)絡(luò)的系統(tǒng);
2.識別掃描系統(tǒng)上運(yùn)行的開放端口和服;
3.遠(yuǎn)程登錄系統(tǒng)并收集詳細(xì)的系統(tǒng)信息;
4.將系統(tǒng)信息與已知漏洞進(jìn)行關(guān)聯(lián)。
漏洞掃描工具可以識別網(wǎng)絡(luò)上運(yùn)行的各種系統(tǒng),包括便攜式計算機(jī)、臺式機(jī)、虛擬和物理服務(wù)器、數(shù)據(jù)庫、防火墻、交換機(jī)和打印機(jī)等。它會使用各種方法來調(diào)查這些系統(tǒng)的屬性,例如了解操作系統(tǒng)、開放端口、安裝的軟件、用戶帳戶、文件系統(tǒng)結(jié)構(gòu)和系統(tǒng)配置等信息。這些信息用于將已知漏洞與掃描的系統(tǒng)相關(guān)聯(lián)。這些信息可以與漏洞掃描工具中包含的常見已知漏洞數(shù)據(jù)庫對比,以此來簡歷掃描系統(tǒng)與已知漏洞之間的關(guān)聯(lián)。
二、評估
在掃描到所有潛在的已知網(wǎng)絡(luò)安全漏洞后,下一步就是評估這些漏洞并確定處理優(yōu)先級。成百上千個漏洞的威脅性并不相同。為了分類,需要進(jìn)行漏洞評估來確定它們被利用對公司的威脅程度。許多系統(tǒng)可用于優(yōu)先排序,CommonVulnerabilityScoringSystem(CVSS)是其中最常被引用的一種方法。每次運(yùn)行掃描發(fā)現(xiàn)新的漏洞時都必須重復(fù)此優(yōu)先排序過程,以查找對IT安全最為關(guān)鍵的那些漏洞。
三、漏洞修復(fù)
如果驗證漏洞并確定其為風(fēng)險,下一步就是解決漏洞。漏洞可以通過以下方式來解決:
修復(fù):完全修復(fù)漏洞或應(yīng)用補(bǔ)丁以防止被利用。這是組織所追求的理想治療方法。
緩解:降低漏洞被利用的可能性和影響。如果無法為已識別的漏洞提供適當(dāng)?shù)男迯?fù)或補(bǔ)丁,則可能需要采取此措施。理想情況下,此選項用于允許組織爭取最終修復(fù)漏洞所需的時間。
漏洞管理解決方案提供了漏洞修復(fù)的建議。但值得注意的是,可能存在比推薦方法更為有效的修復(fù)法案。
四、報告和后續(xù)行動
在處理完已知漏洞后,就可以開始使用漏洞管理解決方案中的報告工具。安全團(tuán)隊可以從中了解到每種修復(fù)技術(shù)大概需要付出多少努力,并允許他們確定未來解決漏洞問題的最有效方式。此時需要采取以下措施:
設(shè)置補(bǔ)丁工具;
安排自動更新;
與網(wǎng)絡(luò)安全團(tuán)隊協(xié)調(diào);
在出現(xiàn)安全問題時設(shè)置一個工單系統(tǒng)。
這些報告還可以通過展示數(shù)據(jù)泄露風(fēng)險的級別以及降低此類風(fēng)險所采取的行動,來確保符合行業(yè)監(jiān)管機(jī)構(gòu)的合規(guī)要求。由于網(wǎng)絡(luò)犯罪分子也在不斷進(jìn)化,因此必須定期進(jìn)行漏洞管理評估,以減少漏洞數(shù)量并確保網(wǎng)絡(luò)安全性能處于最新狀態(tài)。
集成安全性的方法
1.應(yīng)用安全掃描以保護(hù)CI/CD管道安全
持續(xù)集成和持續(xù)交付(CI/CD)管道是每個從事軟件開發(fā)的現(xiàn)代軟件公司的基礎(chǔ)。結(jié)合DevOps實踐,CI/CD管道使公司能夠更快、更高頻地交付軟件。然而,能力越大責(zé)任越大。雖然大家都專注于編寫安全應(yīng)用程序,但許多人忽略了CI/CD管道的安全性。然而,CI/CD配置應(yīng)該得到密切關(guān)注。
2.CI/CD安全的重要性
CI/CD管道通常需要大量權(quán)限才能完成其工作。您還需要處理應(yīng)用程序和基礎(chǔ)結(jié)構(gòu)機(jī)密。任何未經(jīng)授權(quán)訪問CI/CD管道的人幾乎可以無限制地破壞所有基礎(chǔ)架構(gòu)或部署惡意代碼。因此,保護(hù)CI/CD管道應(yīng)是一項高優(yōu)先級任務(wù)。不幸的是,統(tǒng)計數(shù)據(jù)顯示,近年來對軟件供應(yīng)鏈的攻擊顯著增加。
3.靜態(tài)應(yīng)用程序安全測試(SAST)
靜態(tài)應(yīng)用程序安全測試(SAST)通過評估源代碼中的潛在漏洞來補(bǔ)充SCA。換句話說,SCA可以基于已知漏洞的數(shù)據(jù)庫來識別第三方代碼中的漏洞。同時,SAST對自定義代碼進(jìn)行分析,以檢測潛在的安全問題,如不正確的輸入驗證。
這樣,通過在CI/CD管道開始時運(yùn)行SAST以及SCA,您可以獲得源代碼內(nèi)在風(fēng)險的第二層保護(hù)。
4.漏洞掃描
漏洞掃描是一個自動化過程,可以有力地確定網(wǎng)絡(luò)、應(yīng)用程序和屏蔽漏洞。漏洞掃描通常由IT部門或第三方安全服務(wù)提供商執(zhí)行。不幸的是,攻擊者也利用這種掃描來尋找進(jìn)入網(wǎng)絡(luò)的入口。
掃描涉及檢測和分類網(wǎng)絡(luò)、通信設(shè)備和計算機(jī)系統(tǒng)中的弱點。漏洞掃描可以識別安全漏洞,并預(yù)測在威脅或攻擊事件發(fā)生時安全措施的有效性。
在漏洞診斷服務(wù)中,軟件從診斷方的角度進(jìn)行操作,并診斷要診斷的攻擊目標(biāo)區(qū)域。漏洞掃描程序利用數(shù)據(jù)庫來對應(yīng)目標(biāo)攻擊的詳細(xì)信息,該數(shù)據(jù)庫參考已知缺陷、編碼錯誤、數(shù)據(jù)包構(gòu)造異常、默認(rèn)設(shè)置以及攻擊者可能利用的敏感數(shù)據(jù)的路由。
數(shù)據(jù)庫引用已知缺陷、編碼錯誤、數(shù)據(jù)包構(gòu)造中的異常、默認(rèn)設(shè)置以及攻擊者可能利用的敏感數(shù)據(jù)的路由。
5.軟件成分分析
軟件成分分析(SCA)是自動化可視化開源軟件(OSS)用于風(fēng)險管理、安全和許可證合規(guī)目的的過程。開源(OS)被各行業(yè)的軟件所使用,追蹤組件以保護(hù)公司免受問題和開源漏洞的影響的需求呈指數(shù)增長。然而,由于大多數(shù)軟件生產(chǎn)涉及操作系統(tǒng),手動跟蹤非常復(fù)雜,并且還需要自動化掃描源代碼、二進(jìn)制文件和依賴項。
SCA工具正在成為應(yīng)用程序安全的重要組成部分,使組織能夠使用代碼掃描來發(fā)現(xiàn)OSS證據(jù),創(chuàng)建一個減少早期修復(fù)漏洞和許可問題成本的環(huán)境,并能夠通過使用自動掃描使查找和解決問題的過程更加輕松。此外,SCA不斷監(jiān)測安全和漏洞問題,以更好地管理工作負(fù)載并提高生產(chǎn)力,使用戶能夠為當(dāng)前產(chǎn)品及其交付中的新漏洞創(chuàng)建可操作警報。
6.動態(tài)應(yīng)用程序安全測試(DAST)
DAST解決方案識別應(yīng)用程序中的潛在輸入字段,并向其發(fā)送各種異常和惡意輸入。它可以包括嘗試?yán)贸R娐┒矗鏢QL注入命令、跨站點腳本(XSS)漏洞、長輸入字符串以及可能會揭示應(yīng)用程序中的輸入驗證和內(nèi)存管理問題的異常輸入。
DAST工具根據(jù)應(yīng)用程序?qū)Ω鞣N輸入的響應(yīng)來識別應(yīng)用程序是否包含特定漏洞。例如,如果SQL注入攻擊嘗試未經(jīng)授權(quán)地訪問數(shù)據(jù),或者應(yīng)用程序由于無效或未經(jīng)授權(quán)的輸入而崩潰,則表明存在可利用的漏洞。
7.容器安全
保護(hù)容器的過程是持續(xù)不斷的。它必須整合到開發(fā)流程中并自動化,以減少手動接觸點并擴(kuò)展到維護(hù)和操作基礎(chǔ)架構(gòu)。這意味著保護(hù)構(gòu)建管道的容器鏡像和運(yùn)行時主機(jī)、平臺和應(yīng)用層。將安全性作為持續(xù)交付生命周期的一部分實施可以減少業(yè)務(wù)中不斷增長的攻擊風(fēng)險和漏洞。
容器具有安全優(yōu)勢,例如出色的應(yīng)用程序可分離性,但它們也擴(kuò)展了組織威脅的范圍。在生產(chǎn)環(huán)境中部署容器的顯著增加使其成為惡意行為者的有吸引力的目標(biāo),并增加了系統(tǒng)的工作負(fù)載。此外,一個容器存在漏洞或被攻擊成功,就可能成為整個組織環(huán)境的入口點。
8.基礎(chǔ)設(shè)施安全
漏洞掃描是一個復(fù)雜的主題,評估漏洞掃描解決方案的組織通常需要認(rèn)證。基礎(chǔ)架構(gòu)漏洞掃描是針對基礎(chǔ)設(shè)施中的一個或多個目標(biāo)范圍運(yùn)行一系列自動檢查以檢測是否存在潛在惡意安全漏洞的過程。目標(biāo)是指完全限定的域名(FQDN),該域名解析為一個或多個要掃描的IP地址或IP地址范圍。
基礎(chǔ)設(shè)施漏洞掃描是通過網(wǎng)絡(luò)(如互聯(lián)網(wǎng))執(zhí)行的。掃描在專用掃描中心上運(yùn)行,并源自該中心。掃描中心運(yùn)行掃描引擎以連接到掃描的目標(biāo)以評估漏洞。
結(jié)論
漏洞管理是一種主動識別、管理和緩解網(wǎng)絡(luò)漏洞的方法,以提高企業(yè)應(yīng)用程序、軟件和托管在云中的設(shè)備的安全性。它包括識別IT資產(chǎn)中的漏洞,評估風(fēng)險,以及對系統(tǒng)和網(wǎng)絡(luò)采取適當(dāng)?shù)男袆印嵤┞┒垂芾碛媱潓Ω鞣N規(guī)模的公司來說都是必不可少的,因為它利用威脅情報和IT團(tuán)隊的知識對風(fēng)險進(jìn)行排序,并對安全漏洞作出快速反應(yīng)。漏洞管理計劃包括四個階段:識別漏洞、評估漏洞、修復(fù)漏洞以及報告和跟進(jìn)。集成安全措施,例如保護(hù)CI/CD管道、使用漏洞掃描工具以及實施SCA、SAST、DAST等,可以補(bǔ)充漏洞管理程序,以提供強(qiáng)大的安全防線。
原文標(biāo)題|HowToManageVulnerabilitiesinModernCloud-NativeApplications
作者|HarshadIthape
