確定風險評估的資產范圍
? ? 步驟2:評估資產的安全狀態(tài)
在確定風險評估范圍后���,就是確認資產的安全狀態(tài)�����。通過掃描�����,輸出包括漏洞優(yōu)先級��、應用補丁��、軟件更新等主要信息的掃描報告供安全負責人進行決策����。以漏洞檢測為例�,掃描是發(fā)現和修復漏洞的基本過程�����。雖然市面上所有掃描產品都是通過與已知漏洞數據庫進行比對發(fā)現風險��,但漏洞庫的覆蓋范圍����、質量和更新頻率卻各不相同。同時�,傳統(tǒng)掃描產品需要在機器上安裝和維護軟件應用程序,會占用不少資源�����。相比之下青藤風險評估產品只需在主機中安裝一個輕量級Agent(內存占用<40M�,CPU占用<1%)����,就可以在虛擬機、物理機��、容器、混合云等各種環(huán)境下一鍵部署����。
當然,一次性掃描也只能夠輸出資產在某一個特定時刻的安全快照����,而無法保持實時更新的數據,那么持續(xù)監(jiān)控也就無從說起���。為保證企業(yè)核心資產的安全���,青藤云安全建議企業(yè)每天多次掃描甚至是持續(xù)掃描企業(yè)中重要、高價值的資產����。
青藤的風險評估產品允許用戶連續(xù)地、自動地掃描主機中的任何資產���,幫助用戶獲得最新漏洞數據���。系統(tǒng)會每天進行一次全局掃描,用戶也可自行手動觸發(fā)全部掃描��,也可按業(yè)務組、按主機進行掃描�����。例如����,青藤風險評估產品在新漏洞爆發(fā)時候,支持24內進行漏洞響應���,無需升級系統(tǒng)���,通過提供漏洞規(guī)則包導入系統(tǒng),支持用戶自行進行該漏洞的檢測���。因此�,用戶無需擔心掃描技術的更新��,都是在系統(tǒng)中自動應用�。
? ? 步驟3:按輕重緩急處理風險
想要一次性修復所有風險點絕無可能�����,因此需要對風險進行分類、排序并標記好優(yōu)先級�����,優(yōu)先處理對系統(tǒng)危害最大��、影響范圍最廣的風險點���。此時����,一份好的報告就顯得尤為重要��,安全負責人可以通過掃描報告對風險一目了然����。筆者認為掃描報告應該是全面的、具體的���、易于理解��、無漏報和誤報��。誤報會占用IT人員大量精力和時間進行排查��,而漏報則會導致因為存在未修補漏洞而被黑客利用的嚴重風險���。
青藤的風險評估產品能夠提供詳細的風險報告��,可對系統(tǒng)各類風險進行全面掃描����,包括安全補丁�����、漏洞����、弱密碼、應用風險����、系統(tǒng)風險、賬號風險�����,并給予對應安全評級分數����。同時,可以根據應用和業(yè)務組進行篩選����,也可以根據風險項進行搜索。如下圖所示查找受Linux內核本地提權(臟牛)漏洞(CVE-2016-5195)影響的主機��。
確認受漏洞影響的主機
? ? 步驟4:盡快修復風險點
修復是風險管理最重要步驟之一�,一旦出錯將對企業(yè)組織產生重要影響。傳統(tǒng)人工排查漏洞����、提供修復建議以及打補丁的過程耗費大量時間和精力,而且出錯率高�����。復雜的修復過程會導致企業(yè)組織選擇延遲修復���,這些積累的“技術債務”對于企業(yè)而言就是一個定時炸彈��。因此盡快修復漏洞不同優(yōu)先級的補丁�����,并將系統(tǒng)風險降到最低至關重要����。
以漏洞修復為例,為簡化補丁處理過程以及將成本降到最低���,建議采用自動化的補丁管理解決方案����。青藤風險評估產品�,提供補丁的詳細信息,包括補丁的修復建議�����、修復命令���、修復影響����,補丁當前版本和修復后版本��,并提供各維度的補丁風險特征:內核風險、存在exp�、遠程利用、本地提權��、CVSS詳情����、相關的CVE編號等�。
? ? 步驟5:獲取最新風險信息
對于一線操作人員而言,最有用的報告功能是了解需要修復哪些風險�����,以及如何完成該任務���。因此報告應該提供風險的嚴重性����、風險性檢測細節(jié)和修復步驟���,以幫助IT管理員完成解決漏洞的任務�����。但是為滿足不同職位人員需求���,風險管理解決方案應該支持根據需要定制風險信息的類型和展現形式���。通常情況下,風險管理報告至少包括以下4塊內容:
(1)風險概覽����,提供一個“一目了然”的風險評級及各風險點概況和趨勢。
(2)風險匯總�����,按優(yōu)先級列出主機上的所有風險點�。
(3)風險分析,詳細描述主機資產面臨的具體威脅��,并允許對具體問題進行深入審查����。
(4)補丁報告,顯示補丁的狀態(tài)以及負責人����。
青藤漏洞檢查報告
? ? 同時,安全報警應該能立即發(fā)送到對應管理員手中,以便立即進行補救���。確保風險管理解決方案能夠使IT安全團隊盡快分析修復趨勢�����,包括已解決和未解決的漏洞的長期趨勢����,幫助客戶跟蹤進度并分析企業(yè)安全趨勢�。
? ? 步驟6:持續(xù)不斷地監(jiān)控
風險管理是一個持續(xù)不斷的過程����。在過去,企業(yè)網絡是相對靜態(tài)的����,變化極少。隨著業(yè)務數字化快速發(fā)展��,企業(yè)網絡是高度動態(tài)的��。新漏洞每天都會出現�、系統(tǒng)配置每分鐘都在變化。同時,黑客通過對新技術利用�����,攻擊速度和能力都得到大幅提升��。這些變化決定企業(yè)安全狀態(tài)一直處于動態(tài)變化過程中����,因此持續(xù)安全監(jiān)控顯得尤為重要。在這個網絡犯罪的新時代����,誰能最快地識別和修補漏洞,誰就能更好應對攻擊�����。安全攻與防是一場沒有終點的馬拉松����,通過持續(xù)監(jiān)控是確保安全團隊應對黑客攻擊的重要方法。
? ? 寫在最后
事實證明����,90% 的攻擊事件都利用了未修補的漏洞��,且攻擊者的手段不斷變化��,網絡安全狀況也在隨著安全漏洞的增加變得日益嚴峻�����。而傳統(tǒng)的漏洞掃描器僅為按季度或按年的周期性掃描����,在未進行檢測期間���,新的漏洞很容易被黑客利用入侵。因此���,企業(yè)需要快速實現風險持續(xù)性地監(jiān)測與分析��,化被動為主動����,深入發(fā)現內部暴露的問題和風險��,持續(xù)有效地對風險進行處理��,從而提高攻擊門檻,縮減修復窗口期�。
