傳統(tǒng)漏洞管理已死
生命中只有三件事無可避免:死亡、稅收和云安全漏洞。如今整個世界都已經(jīng)開始往云端遷移,但是云安全(包括公有云和混合云)的安全漏洞卻依然如牛皮癬廣告般頑固。
事實上,云安全問題之所以持續(xù)發(fā)作,自有其難言之隱。在高度動態(tài)的云環(huán)境中管理風(fēng)險和漏洞并不容易。而企業(yè)加速遷移(尤其是疫情期間)到公共云,建立數(shù)字化競爭優(yōu)勢的迫切需求進(jìn)一步放大了這種風(fēng)險。
更加糟糕的是,很多安全團(tuán)隊使用的實踐方法、政策和工具,尤其是漏洞管理,通常是本地計算占主導(dǎo)地位的時代的產(chǎn)物,已經(jīng)無法適應(yīng)“云優(yōu)先”和“云原生”環(huán)境。
如何解決這個問題呢?首先基于云應(yīng)用程序安全最佳實踐創(chuàng)建一個更好的漏洞管理系統(tǒng),并能根據(jù)云環(huán)境的需求重新調(diào)整和改變傳統(tǒng)漏洞管理體系。
傳統(tǒng)漏洞管理的局限性
漏洞管理簡單來說就是一個識別、分析、補(bǔ)救或緩解和報告系統(tǒng)與軟件安全威脅的過程。漏洞評估需要定期進(jìn)行,以評估現(xiàn)有的安全狀況,以及漏洞管理計劃是否需要更改。
全面且執(zhí)行良好的漏洞管理系統(tǒng)對于管理和處理威脅,以及最大程度地減少攻擊面至關(guān)重要。
除了遵循漏洞管理最佳實踐之外,組織還需要正確的工具和解決方案。
漏洞掃描也許是最著名的漏洞管理工具,因為它在云和混合云安全中扮演著重要角色。如果您想減輕威脅,請經(jīng)常分析安全環(huán)境,這一點很重要。自動掃描是當(dāng)下的流行工具,因為它們工作效率高,可重復(fù)且易于使用。
但是,常規(guī)漏洞掃描存在一些重大缺陷:
- 它們通常會錯過數(shù)據(jù)庫以外的活躍威脅,或者超出其能力范圍的更加復(fù)雜的威脅;
- 它們會產(chǎn)生誤報,從而使防御者的雷達(dá)對關(guān)鍵威脅的敏感度降低;
- 它們還可能提供一種錯誤的安全感,如果掃描工具沒有發(fā)現(xiàn)任何異常,我們可能會以為一切太平。
即使漏洞掃描按預(yù)期工作并識別出已分類的威脅,這項工作也只能算完成了一半。要了解威脅的范圍,并根據(jù)特定場景對業(yè)務(wù)運營的嚴(yán)重性和影響力進(jìn)行評估則是一項艱巨的任務(wù),而傳統(tǒng)的掃描工具由于缺乏必要的深度和復(fù)雜度而無法解決。
掃描與滲透測試并無可比性,后者遠(yuǎn)遠(yuǎn)超出了識別表面威脅的范疇。滲透測試可以識別漏洞并加以利用,從而更加全面地了解安全環(huán)境的狀態(tài),詳細(xì)說明攻擊者在發(fā)生漏洞時可能造成的所有損害。
當(dāng)然,最根本的問題在于云環(huán)境中傳統(tǒng)漏洞管理方法的局限性是顯而易見的。云環(huán)境通常是高度動態(tài)且短暫的,容器的平均壽命僅為數(shù)小時。通過諸如漏洞掃描之類的常規(guī)工具來保護(hù)容器是困難的,有時甚至是不可能的。由于存在周期太短,掃描程序通常無法識別容器。更復(fù)雜的是,即便掃描工具能夠識別正在運行的容器,通常也無法提供任何評估方法。如果沒有IP地址或SSG登錄,則無法運行憑據(jù)掃描。
下一代漏洞管理工具:BAS
盡管傳統(tǒng)的漏洞管理難以應(yīng)對云安全的某些核心挑戰(zhàn),但組織可以進(jìn)行一些簡單的更改來解決此問題。最根本的,也是具影響力的方法是部署實施功能更強(qiáng)大、更先進(jìn)的工具來幫助保護(hù)系統(tǒng)和軟件。例如突破和攻擊模擬(BAS)平臺。
BAS解決方案通過針對安全環(huán)境發(fā)起一系列不間斷的模擬攻擊來工作。這些模擬復(fù)制了APT和其他對手使用的可能的攻擊路徑和技術(shù)。
像滲透測試一樣,這些工具不僅可以識別威脅,還可識別安全漏洞并顯示漏洞可能造成的潛在破壞,從而更全面地了解漏洞管理的真實狀態(tài)。
但是,與手動滲透測試不同,BAS工具以自動化和連續(xù)的方式工作。專為云環(huán)境和混合環(huán)境中而設(shè)計的BAS平臺能夠出色地防護(hù)臨時對象。與傳統(tǒng)的漏洞管理工具不同,BAS平臺可以輕松適應(yīng)云的動態(tài)性。除了識別威脅并列出可能的損害外,BAS平臺還提供了基于優(yōu)先級的緩解指南。
因此,計劃對漏洞管理流程進(jìn)行現(xiàn)代化升級的組織可能會發(fā)現(xiàn),部署B(yǎng)AS解決方案是提高云安全能力最快,也是最有效的措施之一。
總結(jié)
如果我們想降低重大云安全事件的數(shù)量和損失,就必須創(chuàng)建一個能夠真實反映組織所面臨的實際安全挑戰(zhàn)的漏洞管理流程。選擇適當(dāng)?shù)墓ぞ咧皇菍崿F(xiàn)這一目標(biāo)的重要步驟之一。
通過摒棄無法應(yīng)對動態(tài)環(huán)境的傳統(tǒng)漏洞管理方法,企業(yè)可以快速改善公有云、混合云安全性,遠(yuǎn)離嚴(yán)重數(shù)據(jù)泄露事件的新聞頭條。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
