思科指出,報告披露的漏洞中只有1%被實際利用
你們為什么要沒完沒了地發布補丁?漏洞利用率那么低,大家回家洗洗睡吧。
思科公司在最近發布的年度安全報告中發現了一種常見但同時又呈現出新興趨勢的混合現象:人們的安全意識仍然非常幼稚,仍有大量未經補丁修正的軟件散布于世,而且攻擊者們一直在針對防御措施構建新的威脅類型。
這份報告指出,攻擊者們始終在認真學習并了解當前安全趨勢。舉例來說,面對垃圾郵件過濾器及其它一些能夠令惡意人士快速落網的方案,攻擊者們開始大規模使用所謂“雪鞋”攻擊:大量匯聚被突破的主機,但其中每一臺主機只發送數量很低的垃圾郵件。
除了曾經發布過的研究結果之外,我們還與思科安全事務澳大利亞/新西蘭總經理Anthony Stitt就此進行過探討,并詢問他有哪些工作成果值得作為各位讀者朋友的參考與借鑒。
Stitt強調稱,“CSO與安全管理團隊之間在保護級別問題上存在著顯著差異。”
CSO們往往對安全事務過度自信,Stitt解釋稱,這意味著安全體系的大腦與肢體之間存在著信息不對等問題。
“信息安全管理團隊有機會進一步提升其運營安全工作的透明度,”他表示。
讓我們好奇的是,他為什么能夠肯定這種機會真實存在、而非僅僅是“似有實無”。無論如何,我們真的很難想象一位安全管理部門員工能夠在向老板強調“我們的安全水平根本沒你想象的那么強”之后還能保住工作——不知道Stitt對此會做何解釋。
“大家可能更贊賞市場營銷工作中的常用表達方式,即我們永遠不可能達到100%的安全高度,”他回應稱。“安全的核心在于適合性……當前風險處于何等級別、威脅環境下又呈現出怎樣的趨勢。”
“要弄清這個問題,需要進行一次詳盡而且深入的對話,”他指出,并強調稱需要“立足于企業運營條款探討安全問題”。
“思科公司正在努力推動與此相關的探討,希望讓客戶更清晰地了解我們所具備并且銷售的技術方案。”
“我們也一直倡導將安全理念分為‘前、中、后’三個執行階段——即對攻擊活動進行預估、遏制以及事后整治,”他解釋道。
“安全管理團隊不妨通過這樣的方式與CSO進行溝通,‘我們面臨著安全攻擊威脅,但完全可以通過以下步驟應對盯著問題,從而將原本需要數天、數周甚至數個月的處理工作壓縮到數小時之內。’”
“我們從目前曝出的各知名攻擊事件中得到的經驗在于,攻擊者已經在目前的安全環境下活動了很長時間。我認為企業需要正視問題、加強交通,承認內部環境下的安全漏洞,同時將相關工作視為前、中、后三階段全面覆蓋的完整處理體系。”
他進一步指出,安全管理人員應該向CSO建言:“我們需要某某工具、某某數額資金以及多少位相關員工,因為……我們希望在12小時內而非24或者48小時才解決問題,畢竟這是企業業務正常運轉的重要窗口。”
討厭的瀏覽器
在某些環境下,瀏覽器補丁似乎成為最令人頭痛的疑難雜癥,Stitt表示。根據思科方面的觀察,目前有64%的瀏覽器訪問操作源自經過補丁修復的瀏覽器——但這一比例僅限于Chrome瀏覽器范疇。如果將著眼點放得更遠、例如立足于IE,那么只有10%的瀏覽活動來自經過補丁修復的瀏覽器。
“因此,有90%的IE事務操作面臨著不同程度的安全風險,”他總結稱。
下面我們再來對補丁作出一番審視:Heartbleed仍然存在,Stitt強調稱,而且“根據我們的觀察,大約56%比例的SSL實例仍然未能得到修復……也就是說56%左右的OpenSSL仍然屬于四年半甚至更陳舊的老版本。”
在大多數情況下,上述問題的“真兇”是那些已經被持有者遺忘、因而從未得到修復的廢棄網站。
作為評判僵尸站點的有力證據,Stitt表示,“大家只需要看看惡意人士們如何利用那些陳舊、遭棄且未經補丁修復的WordPress站點就能明白”。
選擇自己的CVE
另一項引發了我們深厚興趣的統計結果是,在每一年所曝光的大量安全漏洞當中,思科認為其中只有1%比例會被攻擊者們所切實利用。
“這項統計結果既是好事也是壞事,”Stitt指出。“從好的方面講,如果我能夠找哪些CVE(即通用漏洞披露)屬于這被利用的1%,那么補丁修復工作將變得更為簡便。”
“但如果我做不到這一點,那么恐怕只能選擇‘修復一切’這種有效但卻毫無效率可言的辦法了。”
在就這一問題作出評估時,Stitt指出,安全管理團隊的最佳戰略在于“尋求安全專家們的幫助,了解目前有哪些安全漏洞已經受到利用……同時優先修復那些被廣泛利用的CVE。”
這項統計結論“……強調稱絕大多數安全漏洞——其中包括我們自己產品內的漏洞——并不一定會成為惡意人士手中的兇器。它們往往只是一些存在于少部分解決方案當中的CVE,根本不足以構成真正的遠程安全威脅。”
另外一大不可忽視的因素就是用戶……
用戶行為是個長期存在的問題,而且安全意識培訓并不足以徹底解決這個老大難問題。
“在我們的內部研究工作當中,一部分用戶就是會在自己收到的任意內容上隨便亂點,”他指出。“單單依靠安全意識培訓確實還遠遠不夠。”
“這個問題對于每一家企業及機構都真實存在……如果大家觀察IE與Chrome兩種瀏覽器的補丁安裝水平差異,就會明顯發現將決定權從用戶處轉移到自己手中、相當于給安全工作幫了一個大忙。”
“如果大家能夠實現自動化補丁安裝,那么至少能夠在一定程度上顯著降低安全風險可能帶來的損失,”Stitt表示。
“培訓用戶的同時也要假設出最糟糕的狀況,即他們還是會點擊那些本不該點擊的鏈接。大家需要對客戶所具備的現有架構及業務環境作出調整,其中包括那些有可能點擊惡意鏈接的用戶自身。”
“這是一個人為性難題,而且糟糕程度仍在不斷深化——我們必須采取上述應對措施。”
