安全团队:关于漏洞响应,您需要了解的要点
Tenable 预测优先级分析利用大数据和机器学习,帮助网络安全团队更轻松发现、修补和修复漏洞。
企业软件中每周都会发现并公布严重漏洞,使安全团队疲于安装补丁,以期尽最大努力减少损害。
很多时候这些工作并不是由业务需求驱动,甚至不是出于战略安全考量,而仅仅是为了应对每日头版头条中的特定漏洞。这种情况反复上演,造成不必要的停工,将本已紧张的网络安全资源带入濒临崩溃的境地。
Tenable 产品营销副总裁 Gavin Millard 在近期一场网络研讨会利用大数据的力量进行优先级分析中说道:“对于任何参与漏洞处理的人员而言,我们有时候会将之描述为痛苦的仓鼠跑轮。”
“从本质上来说,解决已发现的漏洞是个备受煎熬的过程,要不断进行修复,或通过补偿控制措施来解决。随着越来越多的漏洞被发现,[导致]需要处理的漏洞像雪球效应一样越滚越大。” Millard 补充道。
Millard 还指出:“这不必是唯一的解决方案。”
有多种途径可以利用大数据等学科以及机器学习等技术,打造出更为全面的软件漏洞修复方案。
从全新的角度考虑这些挑战,有助于 CISO 及其安全团队对每天接收到的大量软件漏洞进行优先级分析,进而分配资源来修补真正对业务构成威胁的缺陷。
这正是预测优先级分析的意义所在。
今年早些时候发布的预测优先级分析将 Tenable 收集的漏洞数据与第三方的漏洞以及威胁数据相结合,并采用 Tenable Research 研发的高级大数据算法进行整体分析。每个漏洞现在都会收到一个漏洞优先级评级 (VPR),该评级包含了每日更新的分析结果,预测优先级分析功能为漏洞管理团队提供了一种途径,使其能够在自身业务需求的范围内对漏洞进行评分。
解决漏洞管理的痛点
近期 Ponemon Institute 代表 Tenable 开展了一项研究并发表了《企业经营中网络风险的衡量与管理》报告,其中阐释了漏洞管理新方案的必要性。在这份报告中,Ponemon 调研了美国、英国、德国、澳大利亚、墨西哥和日本的 2410 位 IT 和 IT 安全专业人士。
半数受调查对象 (51%) 表示,他们在人工处理上所花费的时间远多于解决漏洞的时间,产生了大量的后援成本。实际上,48% 的受调查对象表示,由于严重依赖人工处理,他们应对漏洞的能力令企业处于不利地位。
只有 39% 的受调查对象表示,他们在对最需要保护的资产进行优先级分析时纳入了威胁情报。不到三分之一的受调查对象 (29%) 认为他们对企业的攻击面有充分了解。
以下是预测优先级分析旨在解决的问题:
- 减少对人工处理的依赖
- 为资源有限的 CISO 提供最新和最优质的威胁情报;以及
- 当企业安全团队承担更多职责时,也能够清晰看到整个攻击面。
当所有漏洞都是最优先级…
根据国家漏洞数据库 (NVD) 的数据,2018 年公布的漏洞数量超过 16500 个。在这个巨大的数量中,有 15% 在 CVSS(通用漏洞评分系统)评分卡上得分 9 分以上。
该方案很容易产生过多噪音。
Millard 在网络研讨会上说:“如果所有漏洞都是严重漏洞,也就意味着所有漏洞都不会得到严肃对待。”
预测优先级分析改进了传统的 CVSS 分析,其产生的动态评分考虑到软件缺陷对企业造成的实际风险,而不仅仅关注特定漏洞的技术复杂性。“CVSS 对我而言类似于一个人的 CV 或简历。它只能说明那个人的亮点,但无法透露真正的个性特征,以及那个人会如何利用这些特征。” Millard 援引卡内基·梅隆大学的一项研究《迈向改进 CVSS 之路》说道,该研究发现了改进 CVSS 的紧迫性。
在 2018 年 12 月 5 日的一篇有关 CVSS 研究的博客文章中,卡内基·梅隆大学教员 Deana Schick 写道:“CVSS 旨在衡量漏洞在技术上的严重程度,但却被广泛滥用为漏洞优先级分析和风险评估的手段。该评分算法的合理性不足,并且缺乏让社群理解其原本功能所需的透明度。此外,将 CVSS 滥用为风险评分手段,也意味着不太可能如愿从中了解到想要的信息。”
在 Tenable 网络研讨会中,Millard 解释道:“CVSS 技术性很高,仅仅关注到漏洞的基础性、暂存性[及]环境性指标,无法从真实世界的角度揭示漏洞构成的风险。”
Tenable 预测优先级分析功能的产物称为 Vulnerability Priority Rating,会根据从 Tenable 全球资源获得的新信息每晚进行重新校准。从广义的角度来说,预测优先级分析和 Vulnerability Priority Rating 已经展现出将急需修复的漏洞数量减少约 97% 的能力。这使得漏洞管理团队能够清晰地关注到剩余 3% 的部分,也就是已知最有可能在攻击中遭到利用的漏洞。
了解详情:
- 阅读博文: 漏洞管理最佳实践须知
- 观看网络研讨会: 利用大数据的力量进行优先级分析
相关文章
Cybersecurity Snapshot: Find MITRE ATT&CK Complex? Need Help Mapping to It? There’s an App for That!
March 10, 2023Learn about a new tool that streamlines MITRE ATT&CK mapping. Plus, known vulnerabilities remain a major cyber risk – just ask LastPass. Also, discover why SaaS data protection remains difficult. Plus, a look at the U.S. National Cybersecurity Strategy. And much more!
The Ransomware Ecosystem: In Pursuit of Fame and Fortune
July 28, 2022The key players within the ransomware ecosystem, including affiliates and initial access brokers, work together cohesively like a band of musicians, playing their respective parts as they strive for fame and fortune.
Brazen, Unsophisticated and Illogical: Understanding the LAPSUS$ Extortion Group
July 20, 2022Having gained the industry’s attention in the first months of 2022, the LAPSUS$ extortion group has largely gone quiet. What can we learn from this extortion group’s story and tactics?
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning