確定風(fēng)險評估的資產(chǎn)范圍
? ? 步驟2:評估資產(chǎn)的安全狀態(tài)
在確定風(fēng)險評估范圍后,就是確認資產(chǎn)的安全狀態(tài)。通過掃描��,輸出包括漏洞優(yōu)先級、應(yīng)用補丁�����、軟件更新等主要信息的掃描報告供安全負責(zé)人進行決策��。以漏洞檢測為例�����,掃描是發(fā)現(xiàn)和修復(fù)漏洞的基本過程��。雖然市面上所有掃描產(chǎn)品都是通過與已知漏洞數(shù)據(jù)庫進行比對發(fā)現(xiàn)風(fēng)險���,但漏洞庫的覆蓋范圍���、質(zhì)量和更新頻率卻各不相同。同時�����,傳統(tǒng)掃描產(chǎn)品需要在機器上安裝和維護軟件應(yīng)用程序�����,會占用不少資源�����。相比之下青藤風(fēng)險評估產(chǎn)品只需在主機中安裝一個輕量級Agent(內(nèi)存占用<40M,CPU占用<1%)���,就可以在虛擬機��、物理機���、容器、混合云等各種環(huán)境下一鍵部署�。
當(dāng)然,一次性掃描也只能夠輸出資產(chǎn)在某一個特定時刻的安全快照�����,而無法保持實時更新的數(shù)據(jù)����,那么持續(xù)監(jiān)控也就無從說起。為保證企業(yè)核心資產(chǎn)的安全���,青藤云安全建議企業(yè)每天多次掃描甚至是持續(xù)掃描企業(yè)中重要����、高價值的資產(chǎn)����。
青藤的風(fēng)險評估產(chǎn)品允許用戶連續(xù)地���、自動地掃描主機中的任何資產(chǎn)�,幫助用戶獲得最新漏洞數(shù)據(jù)。系統(tǒng)會每天進行一次全局掃描���,用戶也可自行手動觸發(fā)全部掃描���,也可按業(yè)務(wù)組、按主機進行掃描���。例如��,青藤風(fēng)險評估產(chǎn)品在新漏洞爆發(fā)時候�,支持24內(nèi)進行漏洞響應(yīng)�����,無需升級系統(tǒng)�����,通過提供漏洞規(guī)則包導(dǎo)入系統(tǒng),支持用戶自行進行該漏洞的檢測�����。因此����,用戶無需擔(dān)心掃描技術(shù)的更新,都是在系統(tǒng)中自動應(yīng)用��。
? ? 步驟3:按輕重緩急處理風(fēng)險
想要一次性修復(fù)所有風(fēng)險點絕無可能��,因此需要對風(fēng)險進行分類���、排序并標(biāo)記好優(yōu)先級��,優(yōu)先處理對系統(tǒng)危害最大�����、影響范圍最廣的風(fēng)險點���。此時,一份好的報告就顯得尤為重要��,安全負責(zé)人可以通過掃描報告對風(fēng)險一目了然。筆者認為掃描報告應(yīng)該是全面的��、具體的��、易于理解����、無漏報和誤報����。誤報會占用IT人員大量精力和時間進行排查,而漏報則會導(dǎo)致因為存在未修補漏洞而被黑客利用的嚴重風(fēng)險����。
青藤的風(fēng)險評估產(chǎn)品能夠提供詳細的風(fēng)險報告,可對系統(tǒng)各類風(fēng)險進行全面掃描��,包括安全補丁���、漏洞����、弱密碼���、應(yīng)用風(fēng)險��、系統(tǒng)風(fēng)險����、賬號風(fēng)險,并給予對應(yīng)安全評級分數(shù)��。同時�����,可以根據(jù)應(yīng)用和業(yè)務(wù)組進行篩選��,也可以根據(jù)風(fēng)險項進行搜索����。如下圖所示查找受Linux內(nèi)核本地提權(quán)(臟牛)漏洞(CVE-2016-5195)影響的主機。
確認受漏洞影響的主機
? ? 步驟4:盡快修復(fù)風(fēng)險點
修復(fù)是風(fēng)險管理最重要步驟之一����,一旦出錯將對企業(yè)組織產(chǎn)生重要影響。傳統(tǒng)人工排查漏洞���、提供修復(fù)建議以及打補丁的過程耗費大量時間和精力�����,而且出錯率高�����。復(fù)雜的修復(fù)過程會導(dǎo)致企業(yè)組織選擇延遲修復(fù)���,這些積累的“技術(shù)債務(wù)”對于企業(yè)而言就是一個定時炸彈��。因此盡快修復(fù)漏洞不同優(yōu)先級的補丁,并將系統(tǒng)風(fēng)險降到最低至關(guān)重要���。
以漏洞修復(fù)為例�����,為簡化補丁處理過程以及將成本降到最低����,建議采用自動化的補丁管理解決方案����。青藤風(fēng)險評估產(chǎn)品��,提供補丁的詳細信息����,包括補丁的修復(fù)建議���、修復(fù)命令����、修復(fù)影響����,補丁當(dāng)前版本和修復(fù)后版本,并提供各維度的補丁風(fēng)險特征:內(nèi)核風(fēng)險�����、存在exp�、遠程利用、本地提權(quán)����、CVSS詳情、相關(guān)的CVE編號等。
? ? 步驟5:獲取最新風(fēng)險信息
對于一線操作人員而言�,最有用的報告功能是了解需要修復(fù)哪些風(fēng)險,以及如何完成該任務(wù)��。因此報告應(yīng)該提供風(fēng)險的嚴重性��、風(fēng)險性檢測細節(jié)和修復(fù)步驟�,以幫助IT管理員完成解決漏洞的任務(wù)。但是為滿足不同職位人員需求�,風(fēng)險管理解決方案應(yīng)該支持根據(jù)需要定制風(fēng)險信息的類型和展現(xiàn)形式。通常情況下�,風(fēng)險管理報告至少包括以下4塊內(nèi)容:
(1)風(fēng)險概覽,提供一個“一目了然”的風(fēng)險評級及各風(fēng)險點概況和趨勢����。
(2)風(fēng)險匯總,按優(yōu)先級列出主機上的所有風(fēng)險點��。
(3)風(fēng)險分析�����,詳細描述主機資產(chǎn)面臨的具體威脅���,并允許對具體問題進行深入審查。
(4)補丁報告,顯示補丁的狀態(tài)以及負責(zé)人�。
青藤漏洞檢查報告
? ? 同時,安全報警應(yīng)該能立即發(fā)送到對應(yīng)管理員手中�����,以便立即進行補救�����。確保風(fēng)險管理解決方案能夠使IT安全團隊盡快分析修復(fù)趨勢��,包括已解決和未解決的漏洞的長期趨勢�,幫助客戶跟蹤進度并分析企業(yè)安全趨勢。
? ? 步驟6:持續(xù)不斷地監(jiān)控
風(fēng)險管理是一個持續(xù)不斷的過程�����。在過去�����,企業(yè)網(wǎng)絡(luò)是相對靜態(tài)的���,變化極少�����。隨著業(yè)務(wù)數(shù)字化快速發(fā)展����,企業(yè)網(wǎng)絡(luò)是高度動態(tài)的。新漏洞每天都會出現(xiàn)�����、系統(tǒng)配置每分鐘都在變化����。同時,黑客通過對新技術(shù)利用���,攻擊速度和能力都得到大幅提升�����。這些變化決定企業(yè)安全狀態(tài)一直處于動態(tài)變化過程中,因此持續(xù)安全監(jiān)控顯得尤為重要���。在這個網(wǎng)絡(luò)犯罪的新時代��,誰能最快地識別和修補漏洞��,誰就能更好應(yīng)對攻擊�����。安全攻與防是一場沒有終點的馬拉松����,通過持續(xù)監(jiān)控是確保安全團隊?wèi)?yīng)對黑客攻擊的重要方法。
? ? 寫在最后
事實證明��,90% 的攻擊事件都利用了未修補的漏洞����,且攻擊者的手段不斷變化,網(wǎng)絡(luò)安全狀況也在隨著安全漏洞的增加變得日益嚴峻�。而傳統(tǒng)的漏洞掃描器僅為按季度或按年的周期性掃描,在未進行檢測期間��,新的漏洞很容易被黑客利用入侵����。因此,企業(yè)需要快速實現(xiàn)風(fēng)險持續(xù)性地監(jiān)測與分析�����,化被動為主動,深入發(fā)現(xiàn)內(nèi)部暴露的問題和風(fēng)險���,持續(xù)有效地對風(fēng)險進行處理�,從而提高攻擊門檻���,縮減修復(fù)窗口期��。
