摘要:以案例中的漏洞為例,安騎士的修復(fù)建議功能通過漏洞真實(shí)影響分析�����,能快速計(jì)算出漏洞真實(shí)受到影響較大的機(jī)器����,在非常短的時(shí)間內(nèi)給出企業(yè)修復(fù)排序的有效建議�����。
摘要: 關(guān)注網(wǎng)絡(luò)安全的企業(yè)大都很熟悉這樣的場(chǎng)景:幾乎每天都會(huì)通過安全媒體和網(wǎng)絡(luò)安全廠商接收到非常多的漏洞信息���,并且會(huì)被建議盡快修復(fù)。盡管越來越多的企業(yè)對(duì)網(wǎng)絡(luò)安全的投入逐年增加���,但第一時(shí)間修復(fù)所有漏洞���,仍然是一件非常有挑戰(zhàn)的事。
關(guān)注網(wǎng)絡(luò)安全的企業(yè)大都很熟悉這樣的場(chǎng)景:幾乎每天都會(huì)通過安全媒體和網(wǎng)絡(luò)安全廠商接收到非常多的漏洞信息�,并且會(huì)被建議盡快修復(fù)。盡管越來越多的企業(yè)對(duì)網(wǎng)絡(luò)安全的投入逐年增加����,但第一時(shí)間修復(fù)所有漏洞���,仍然是一件非常有挑戰(zhàn)的事�。
對(duì)于企業(yè)而言����,修復(fù)漏洞不僅需要專業(yè)人才的資源配給����,還會(huì)涉及對(duì)業(yè)務(wù)的影響���,但放任漏洞不在第一時(shí)間修復(fù)����,又總擔(dān)心會(huì)造成重大安全事故�。在信息爆炸時(shí)代,企業(yè)面臨的安全問題已經(jīng)不僅僅是如何發(fā)現(xiàn)安全問題��,還包括�,如何對(duì)每天接收的海量漏洞提醒進(jìn)行漏洞修復(fù)的優(yōu)先級(jí)排序。
為了幫助企業(yè)在第一時(shí)間修復(fù)最重要的漏洞�,更好地保護(hù)企業(yè)網(wǎng)絡(luò)安全,阿里云·云盾安騎士增加了基于漏洞所在資產(chǎn)實(shí)際情況的漏洞真實(shí)影響分析功能��,幫助用戶從海量漏洞中找到真實(shí)有風(fēng)險(xiǎn)的漏洞���,為用戶的漏洞修復(fù)優(yōu)先級(jí)決策提供支持���,協(xié)助漏洞修復(fù)。
從漏洞真實(shí)影響分析開始到網(wǎng)絡(luò)安全的“私人訂制”
漏洞真實(shí)影響分析即一個(gè)漏洞對(duì)企業(yè)當(dāng)前網(wǎng)絡(luò)環(huán)境的真實(shí)影響,安騎士對(duì)漏洞真實(shí)影響分析是通過漏洞的最終風(fēng)險(xiǎn)得分來進(jìn)行衡量�����。
漏洞的最終風(fēng)險(xiǎn)得分會(huì)進(jìn)行四個(gè)維度的考量:漏洞的CVSS得分 x 時(shí)間因子 x 用戶實(shí)際環(huán)境因子 x 資產(chǎn)重要性因子
軟件漏洞的CVSS基礎(chǔ)分:這個(gè)因子來源于該漏洞的CVSS2/3基礎(chǔ)分�����。也就是漏洞的本身的嚴(yán)重性評(píng)分���。
時(shí)間因子:即影響漏洞帶來風(fēng)險(xiǎn)的時(shí)間因素���。時(shí)間因子是為了彌補(bǔ)CVSS分的不足,綜合了漏洞緩解措施被部署的時(shí)間延遲��,和漏洞利用方法的普及因素的一條動(dòng)態(tài)變化曲線����。
距離漏洞爆發(fā)的時(shí)間不同,漏洞的影響也會(huì)有比較大的差異��,比如在漏洞公開的前三天漏洞的曝光量較大����,但漏洞利用難度可能會(huì)比較大�����;隨著時(shí)間的推移,對(duì)漏洞成熟的利用手段將越來越多�,漏洞實(shí)際利用難度在下降。在這兩個(gè)時(shí)間段內(nèi)漏洞的真實(shí)影響是有一定的差距的�����。
用戶的實(shí)際環(huán)境因子:用戶的實(shí)際環(huán)境對(duì)判斷漏洞真實(shí)影響至關(guān)重要��,安騎士會(huì)對(duì)該漏洞利用所需的條件和用戶機(jī)器的情況進(jìn)行綜合考慮��,得出一個(gè)風(fēng)險(xiǎn)乘數(shù)��。例如:當(dāng)前機(jī)器是否有公網(wǎng)流量�,漏洞是否是遠(yuǎn)程利用的漏洞還是鄰網(wǎng)利用的漏洞,不同的條件結(jié)合得出得風(fēng)險(xiǎn)系數(shù)會(huì)有差異��。
用戶的資產(chǎn)重要性:當(dāng)用戶的機(jī)器很多時(shí)�����,可以為不同的機(jī)器/資產(chǎn)賦予當(dāng)前使用場(chǎng)景下的重要性分值��,我們將把用戶自定義的分值納入漏洞修復(fù)建議分的計(jì)算當(dāng)中,為用戶有序修復(fù)漏洞提供有價(jià)值的參考
最終��,在一系列的算法后完全融合了這四個(gè)維度的影響因子���,得出漏洞的最終風(fēng)險(xiǎn)得分的結(jié)論��,也就意味著安騎士給出企業(yè)的每一個(gè)漏洞修復(fù)建議�,都是充分考慮根據(jù)企業(yè)的自身情況的高度定制化安全建議����。
看似不可能完成的網(wǎng)絡(luò)安全治理也不再是難題
試想一個(gè)場(chǎng)景:作為企業(yè)的安全的負(fù)責(zé)人,在某重要大會(huì)前夕接到要求對(duì)公司信息安全進(jìn)行治理�����,從實(shí)際上解決以前欠下的安全“債務(wù)”����,需要在一周內(nèi)對(duì)已有的高危漏洞進(jìn)行修復(fù)。
在控制臺(tái)上可以看到已經(jīng)掃描出了上萬個(gè)軟件漏洞���,其中一個(gè)典型的高危漏洞是 DNSMASQ 棧溢出漏洞(CVE-2017-14491)����。這個(gè)漏洞可以直接從外部發(fā)起攻擊,直接導(dǎo)致服務(wù)器被攻擊者控制�����,也有公開且成熟的利用方式�����,利用難度較低��,這樣的漏洞威脅非常大�����,是需要及時(shí)進(jìn)行修復(fù)的漏洞���。但該漏洞存在于許多服務(wù)器上,修復(fù)過程涉及到重啟DNS這種關(guān)鍵基礎(chǔ)設(shè)施���,漏洞修復(fù)工作需要謹(jǐn)慎進(jìn)行��。
一方面是上萬個(gè)的漏洞上千臺(tái)的機(jī)器����,另一個(gè)方面是公司的IT部門負(fù)責(zé)信息安全的人力是有限,如何在一周內(nèi)盡可能的修復(fù)掉最能帶來危害的漏洞呢���?
如果依靠傳統(tǒng)的方式���,僅DNSMASQ這一個(gè)漏洞的修復(fù),需要的時(shí)間可能都會(huì)超過一周��。這場(chǎng)信息安全治理任務(wù)將會(huì)是一場(chǎng)異常艱難的“戰(zhàn)役”�,甚至有可能無法完成。
如果這個(gè)企業(yè)使用了安騎士����,情況就會(huì)大不一樣了。以案例中的漏洞為例���,安騎士的修復(fù)建議功能通過漏洞真實(shí)影響分析����,能快速計(jì)算出漏洞真實(shí)受到影響較大的機(jī)器���,在非常短的時(shí)間內(nèi)給出企業(yè)修復(fù)排序的有效建議�����。不僅如此���,其他的上萬個(gè)漏洞都會(huì)進(jìn)行真實(shí)影響計(jì)算��,過濾掉不需要在第一時(shí)間修復(fù)的漏洞���,最終將能幫助企業(yè)聚焦精力��,讓看似無法完成的信息安全治理任務(wù)也能在規(guī)定時(shí)間內(nèi)完成�。
漏洞真實(shí)影響分析能為企業(yè)帶來的不僅是網(wǎng)絡(luò)安全治理的高效,“私人訂制”的漏洞管理也只是一個(gè)開始�。安騎士致力通過智能學(xué)習(xí)和理解業(yè)務(wù),讓安全不再是企業(yè)的負(fù)擔(dān)���,讓業(yè)務(wù)無后顧之憂更快發(fā)展���。
點(diǎn)此查看原文
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/11319.html
