確定風(fēng)險評估的資產(chǎn)范圍
? ? 步驟2:評估資產(chǎn)的安全狀態(tài)
在確定風(fēng)險評估范圍后�,就是確認(rèn)資產(chǎn)的安全狀態(tài)。通過掃描����,輸出包括漏洞優(yōu)先級�����、應(yīng)用補(bǔ)丁����、軟件更新等主要信息的掃描報告供安全負(fù)責(zé)人進(jìn)行決策。以漏洞檢測為例�����,掃描是發(fā)現(xiàn)和修復(fù)漏洞的基本過程����。雖然市面上所有掃描產(chǎn)品都是通過與已知漏洞數(shù)據(jù)庫進(jìn)行比對發(fā)現(xiàn)風(fēng)險,但漏洞庫的覆蓋范圍���、質(zhì)量和更新頻率卻各不相同��。同時��,傳統(tǒng)掃描產(chǎn)品需要在機(jī)器上安裝和維護(hù)軟件應(yīng)用程序����,會占用不少資源。相比之下青藤風(fēng)險評估產(chǎn)品只需在主機(jī)中安裝一個輕量級Agent(內(nèi)存占用<40M�����,CPU占用<1%)�����,就可以在虛擬機(jī)�����、物理機(jī)����、容器、混合云等各種環(huán)境下一鍵部署���。
當(dāng)然�����,一次性掃描也只能夠輸出資產(chǎn)在某一個特定時刻的安全快照�,而無法保持實時更新的數(shù)據(jù)���,那么持續(xù)監(jiān)控也就無從說起�����。為保證企業(yè)核心資產(chǎn)的安全��,青藤云安全建議企業(yè)每天多次掃描甚至是持續(xù)掃描企業(yè)中重要��、高價值的資產(chǎn)���。
青藤的風(fēng)險評估產(chǎn)品允許用戶連續(xù)地、自動地掃描主機(jī)中的任何資產(chǎn)�,幫助用戶獲得最新漏洞數(shù)據(jù)。系統(tǒng)會每天進(jìn)行一次全局掃描����,用戶也可自行手動觸發(fā)全部掃描,也可按業(yè)務(wù)組��、按主機(jī)進(jìn)行掃描�����。例如,青藤風(fēng)險評估產(chǎn)品在新漏洞爆發(fā)時候�,支持24內(nèi)進(jìn)行漏洞響應(yīng),無需升級系統(tǒng)�,通過提供漏洞規(guī)則包導(dǎo)入系統(tǒng),支持用戶自行進(jìn)行該漏洞的檢測��。因此��,用戶無需擔(dān)心掃描技術(shù)的更新���,都是在系統(tǒng)中自動應(yīng)用��。
? ? 步驟3:按輕重緩急處理風(fēng)險
想要一次性修復(fù)所有風(fēng)險點絕無可能��,因此需要對風(fēng)險進(jìn)行分類���、排序并標(biāo)記好優(yōu)先級,優(yōu)先處理對系統(tǒng)危害最大�、影響范圍最廣的風(fēng)險點。此時��,一份好的報告就顯得尤為重要���,安全負(fù)責(zé)人可以通過掃描報告對風(fēng)險一目了然��。筆者認(rèn)為掃描報告應(yīng)該是全面的��、具體的�����、易于理解��、無漏報和誤報��。誤報會占用IT人員大量精力和時間進(jìn)行排查����,而漏報則會導(dǎo)致因為存在未修補(bǔ)漏洞而被黑客利用的嚴(yán)重風(fēng)險���。
青藤的風(fēng)險評估產(chǎn)品能夠提供詳細(xì)的風(fēng)險報告�,可對系統(tǒng)各類風(fēng)險進(jìn)行全面掃描���,包括安全補(bǔ)丁��、漏洞�����、弱密碼���、應(yīng)用風(fēng)險���、系統(tǒng)風(fēng)險、賬號風(fēng)險�,并給予對應(yīng)安全評級分?jǐn)?shù)。同時����,可以根據(jù)應(yīng)用和業(yè)務(wù)組進(jìn)行篩選,也可以根據(jù)風(fēng)險項進(jìn)行搜索���。如下圖所示查找受Linux內(nèi)核本地提權(quán)(臟牛)漏洞(CVE-2016-5195)影響的主機(jī)�����。
確認(rèn)受漏洞影響的主機(jī)
? ? 步驟4:盡快修復(fù)風(fēng)險點
修復(fù)是風(fēng)險管理最重要步驟之一��,一旦出錯將對企業(yè)組織產(chǎn)生重要影響�。傳統(tǒng)人工排查漏洞�����、提供修復(fù)建議以及打補(bǔ)丁的過程耗費(fèi)大量時間和精力,而且出錯率高�。復(fù)雜的修復(fù)過程會導(dǎo)致企業(yè)組織選擇延遲修復(fù),這些積累的“技術(shù)債務(wù)”對于企業(yè)而言就是一個定時炸彈�����。因此盡快修復(fù)漏洞不同優(yōu)先級的補(bǔ)丁����,并將系統(tǒng)風(fēng)險降到最低至關(guān)重要����。
以漏洞修復(fù)為例,為簡化補(bǔ)丁處理過程以及將成本降到最低�,建議采用自動化的補(bǔ)丁管理解決方案。青藤風(fēng)險評估產(chǎn)品�����,提供補(bǔ)丁的詳細(xì)信息���,包括補(bǔ)丁的修復(fù)建議��、修復(fù)命令���、修復(fù)影響��,補(bǔ)丁當(dāng)前版本和修復(fù)后版本�����,并提供各維度的補(bǔ)丁風(fēng)險特征:內(nèi)核風(fēng)險���、存在exp、遠(yuǎn)程利用����、本地提權(quán)、CVSS詳情��、相關(guān)的CVE編號等��。
? ? 步驟5:獲取最新風(fēng)險信息
對于一線操作人員而言�����,最有用的報告功能是了解需要修復(fù)哪些風(fēng)險��,以及如何完成該任務(wù)。因此報告應(yīng)該提供風(fēng)險的嚴(yán)重性�����、風(fēng)險性檢測細(xì)節(jié)和修復(fù)步驟���,以幫助IT管理員完成解決漏洞的任務(wù)���。但是為滿足不同職位人員需求,風(fēng)險管理解決方案應(yīng)該支持根據(jù)需要定制風(fēng)險信息的類型和展現(xiàn)形式����。通常情況下�,風(fēng)險管理報告至少包括以下4塊內(nèi)容:
(1)風(fēng)險概覽,提供一個“一目了然”的風(fēng)險評級及各風(fēng)險點概況和趨勢��。
(2)風(fēng)險匯總���,按優(yōu)先級列出主機(jī)上的所有風(fēng)險點�。
(3)風(fēng)險分析��,詳細(xì)描述主機(jī)資產(chǎn)面臨的具體威脅�,并允許對具體問題進(jìn)行深入審查��。
(4)補(bǔ)丁報告����,顯示補(bǔ)丁的狀態(tài)以及負(fù)責(zé)人����。
青藤漏洞檢查報告
? ? 同時,安全報警應(yīng)該能立即發(fā)送到對應(yīng)管理員手中����,以便立即進(jìn)行補(bǔ)救。確保風(fēng)險管理解決方案能夠使IT安全團(tuán)隊盡快分析修復(fù)趨勢�����,包括已解決和未解決的漏洞的長期趨勢�,幫助客戶跟蹤進(jìn)度并分析企業(yè)安全趨勢。
? ? 步驟6:持續(xù)不斷地監(jiān)控
風(fēng)險管理是一個持續(xù)不斷的過程�。在過去,企業(yè)網(wǎng)絡(luò)是相對靜態(tài)的��,變化極少����。隨著業(yè)務(wù)數(shù)字化快速發(fā)展��,企業(yè)網(wǎng)絡(luò)是高度動態(tài)的��。新漏洞每天都會出現(xiàn)��、系統(tǒng)配置每分鐘都在變化����。同時���,黑客通過對新技術(shù)利用�,攻擊速度和能力都得到大幅提升�。這些變化決定企業(yè)安全狀態(tài)一直處于動態(tài)變化過程中,因此持續(xù)安全監(jiān)控顯得尤為重要�。在這個網(wǎng)絡(luò)犯罪的新時代��,誰能最快地識別和修補(bǔ)漏洞����,誰就能更好應(yīng)對攻擊。安全攻與防是一場沒有終點的馬拉松����,通過持續(xù)監(jiān)控是確保安全團(tuán)隊?wèi)?yīng)對黑客攻擊的重要方法�。
? ? 寫在最后
事實證明��,90% 的攻擊事件都利用了未修補(bǔ)的漏洞����,且攻擊者的手段不斷變化,網(wǎng)絡(luò)安全狀況也在隨著安全漏洞的增加變得日益嚴(yán)峻�����。而傳統(tǒng)的漏洞掃描器僅為按季度或按年的周期性掃描��,在未進(jìn)行檢測期間���,新的漏洞很容易被黑客利用入侵�。因此���,企業(yè)需要快速實現(xiàn)風(fēng)險持續(xù)性地監(jiān)測與分析���,化被動為主動,深入發(fā)現(xiàn)內(nèi)部暴露的問題和風(fēng)險�����,持續(xù)有效地對風(fēng)險進(jìn)行處理,從而提高攻擊門檻��,縮減修復(fù)窗口期����。
