这世上有三样东西是无法掩盖的,漏洞、贫穷和爱,想要隐瞒却欲盖弥彰。漏洞管理对网络安全至关重要,每一次重大安全事件的背后,都有一个甚至多个漏洞的影子。
随着现代网络的发展,企业内网正在被数量倍增的漏洞所覆盖,其网络攻击面也在不断增长。传统的漏洞管理方法已无法适应当今的数字时代,企业漏洞管理面临着三大困境。
困境1:漏洞数量超出处理能力
运维人员被困在漏洞扫描和漏洞修复的循环中,漏扫工具检查出的漏洞数量逐渐超出了运维处理能力,想要修复所有漏洞几乎是不可能的。
困境2:漏洞处置优先级不合理
Gartner研究表明,解决20%的高风险漏洞,即可减少80%的被攻击可能。
传统的漏洞管理通常使用CVSS(通用漏洞评分系统)确定优先级,根据CVSS v3.0标准,约有60%以上的漏洞被归类为高危或严重漏洞。由于CVSS仅考虑了漏洞可能引入的技术风险,而忽略了漏洞所在资产的重要性、网络区域、开放端口、对外暴露面等因素,导致运维人员无法有效分辨风险最大漏洞,漏洞处置优先级不合理。
困境3:漏洞处置方法不满足实际需求
传统的漏扫工具对漏洞的处置方案比较单一,基本只有打补丁的方式:在病毒大规模扩散的场景中,逐一对主机漏洞打补丁,时效性较差;针对一些老旧业务系统,无法评估和验证补丁带来的业务风险,使得补丁修复方案难以落地。这些因素导致眼见高危漏洞存在,运维人员却无能为力的窘境,企业需要多样化的漏洞处置方案。
漏洞管理新趋势:
基于攻击面的漏洞评估管理方案
基于攻击面的漏洞评估管理方案,集成资产测绘、漏洞扫描等系统和工具,其核心的策略可视化能力,具有全网路径模拟仿真、网络攻击面分析等优势,在传统漏洞管理的基础上,还可提供资产漏洞可视管理、漏洞评级管理、漏洞攻击模拟、漏洞处置响应等功能,帮助运维人员专注于风险最大漏洞,减少漏洞带来的安全风险。
漏洞可视管理,绘制动态视图
传统的漏洞管理通常按照主机列表提供静态、分散的漏洞信息,严重制约了漏洞的评估和管理。
方案通过系统对接,自动导入主流资产管理、漏洞扫描产品中的漏洞数据,结合面向业务视角的逻辑拓扑图,绘制出主机动态视图。运维人员可以从视图中查询主机的基本信息、访问控制策略信息、漏洞信息、漏洞优先级评估与处置建议等,有效提升漏洞管理效率。
主机及漏洞可视管理界面
漏洞评级管理,发现风险最大漏洞
传统的漏洞管理在进行漏洞评分时,旨在识别漏洞的技术严重性,而忽略了资产和业务属性、所处的网络位置、相关策略配置等因素,导致运维人员浪费时间和精力去修复永远不会被利用的与攻击者极少利用的漏洞。
方案率先采用具有专利的漏洞优先级管理技术(VPT),对漏洞重要性二次评级。VPT技术以全网攻击面分析模型为基础,叠加资产重要性、所处位置、开放端口、相关策略、漏洞级别、攻击路径数量等多维度数据,最终通过量化分析,对漏洞进行评分及优先级排序,持续发现风险最大漏洞。
?漏洞二次研判量化分析模型
漏洞攻击模拟,看见漏洞影响面
以全网攻击面分析模型为基础,面向资产和漏洞视角,分析每一主机每个漏洞可被利用或攻击的路径,从而进一步评估现网哪些网络区域、网段或地址,可通过漏洞端口访问所在主机。通过漏洞攻击模拟,帮助运维人员更加直观地看见漏洞的影响面,选择合理的封堵处置方案。
?漏洞攻击模拟界面
漏洞处置建议,自动高效响应
分析漏洞攻击模拟数据,通过调整访问控制策略实现漏洞处置,即对模拟攻击路径上的防火墙设备,新增阻断策略以阻止漏洞被利用。方案可自动实现目的防火墙的选定、阻断策略脚本的生成、脚本的远程下发,提升漏洞处置时效性,同时规避漏洞补丁带来的业务风险。
?风险漏洞处置界面
总结
基于攻击面的漏洞评估管理方案,可以帮助企业实现:
1、联动资产测绘、漏洞扫描等产品,实现内网资产、漏洞及其攻击面的动态可视。
2、通过漏洞评级管理功能,重新对漏洞优先级进行排序,减少无效运维,提升漏洞修复效果。
3、通过漏洞攻击模拟功能,帮助运维人员更加直观地看见漏洞的影响面。
4、提供封堵攻击路径的漏洞处置方案,配合补丁修复方案,提升漏洞处置响应效率。
5、主动持续缩减内网攻击面,有效减少漏洞带来的安全风险。