安全团队:关于漏洞响应,您需要了解的要点
Tenable 预测优先级分析利用大数据和机器学习,帮助网络安全团队更轻松发现、修补和修复漏洞。
企业软件中每周都会发现并公布严重漏洞,使安全团队疲于安装补丁,以期尽最大努力减少损害。
很多时候这些工作并不是由业务需求驱动,甚至不是出于战略安全考量,而仅仅是为了应对每日头版头条中的特定漏洞。这种情况反复上演,造成不必要的停工,将本已紧张的网络安全资源带入濒临崩溃的境地。
Tenable 产品营销副总裁 Gavin Millard 在近期一场网络研讨会利用大数据的力量进行优先级分析中说道:“对于任何参与漏洞处理的人员而言,我们有时候会将之描述为痛苦的仓鼠跑轮。”
“从本质上来说,解决已发现的漏洞是个备受煎熬的过程,要不断进行修复,或通过补偿控制措施来解决。随着越来越多的漏洞被发现,[导致]需要处理的漏洞像雪球效应一样越滚越大。” Millard 补充道。
Millard 还指出:“这不必是唯一的解决方案。”
有多种途径可以利用大数据等学科以及机器学习等技术,打造出更为全面的软件漏洞修复方案。
从全新的角度考虑这些挑战,有助于 CISO 及其安全团队对每天接收到的大量软件漏洞进行优先级分析,进而分配资源来修补真正对业务构成威胁的缺陷。
这正是预测优先级分析的意义所在。
今年早些时候发布的预测优先级分析将 Tenable 收集的漏洞数据与第三方的漏洞以及威胁数据相结合,并采用 Tenable Research 研发的高级大数据算法进行整体分析。每个漏洞现在都会收到一个漏洞优先级评级 (VPR),该评级包含了每日更新的分析结果,预测优先级分析功能为漏洞管理团队提供了一种途径,使其能够在自身业务需求的范围内对漏洞进行评分。
解决漏洞管理的痛点
近期 Ponemon Institute 代表 Tenable 开展了一项研究并发表了《企业经营中网络风险的衡量与管理》报告,其中阐释了漏洞管理新方案的必要性。在这份报告中,Ponemon 调研了美国、英国、德国、澳大利亚、墨西哥和日本的 2410 位 IT 和 IT 安全专业人士。
半数受调查对象 (51%) 表示,他们在人工处理上所花费的时间远多于解决漏洞的时间,产生了大量的后援成本。实际上,48% 的受调查对象表示,由于严重依赖人工处理,他们应对漏洞的能力令企业处于不利地位。
只有 39% 的受调查对象表示,他们在对最需要保护的资产进行优先级分析时纳入了威胁情报。不到三分之一的受调查对象 (29%) 认为他们对企业的攻击面有充分了解。
以下是预测优先级分析旨在解决的问题:
- 减少对人工处理的依赖
- 为资源有限的 CISO 提供最新和最优质的威胁情报;以及
- 当企业安全团队承担更多职责时,也能够清晰看到整个攻击面。
当所有漏洞都是最优先级…
根据国家漏洞数据库 (NVD) 的数据,2018 年公布的漏洞数量超过 16500 个。在这个巨大的数量中,有 15% 在 CVSS(通用漏洞评分系统)评分卡上得分 9 分以上。
该方案很容易产生过多噪音。
Millard 在网络研讨会上说:“如果所有漏洞都是严重漏洞,也就意味着所有漏洞都不会得到严肃对待。”
预测优先级分析改进了传统的 CVSS 分析,其产生的动态评分考虑到软件缺陷对企业造成的实际风险,而不仅仅关注特定漏洞的技术复杂性。“CVSS 对我而言类似于一个人的 CV 或简历。它只能说明那个人的亮点,但无法透露真正的个性特征,以及那个人会如何利用这些特征。” Millard 援引卡内基·梅隆大学的一项研究《迈向改进 CVSS 之路》说道,该研究发现了改进 CVSS 的紧迫性。
在 2018 年 12 月 5 日的一篇有关 CVSS 研究的博客文章中,卡内基·梅隆大学教员 Deana Schick 写道:“CVSS 旨在衡量漏洞在技术上的严重程度,但却被广泛滥用为漏洞优先级分析和风险评估的手段。该评分算法的合理性不足,并且缺乏让社群理解其原本功能所需的透明度。此外,将 CVSS 滥用为风险评分手段,也意味着不太可能如愿从中了解到想要的信息。”
在 Tenable 网络研讨会中,Millard 解释道:“CVSS 技术性很高,仅仅关注到漏洞的基础性、暂存性[及]环境性指标,无法从真实世界的角度揭示漏洞构成的风险。”
Tenable 预测优先级分析功能的产物称为 Vulnerability Priority Rating,会根据从 Tenable 全球资源获得的新信息每晚进行重新校准。从广义的角度来说,预测优先级分析和 Vulnerability Priority Rating 已经展现出将急需修复的漏洞数量减少约 97% 的能力。这使得漏洞管理团队能够清晰地关注到剩余 3% 的部分,也就是已知最有可能在攻击中遭到利用的漏洞。
了解详情:
- 阅读博文: 漏洞管理最佳实践须知
- 观看网络研讨会: 利用大数据的力量进行优先级分析
相关文章
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning