Morphisec的首席技術官兼惡意軟件研究主管Michael Gorelik討論了監(jiān)管框架、不完整的資產(chǎn)清點和手動方法帶來的挑戰(zhàn)，同時還探討了自動化系統(tǒng)的作用、面對不斷變化的網(wǎng)絡威脅時漏洞優(yōu)先級的未來，以及公司在建立有效的補救策略時應考慮的關鍵因素。

了解漏洞的業(yè)務影響如何幫助確定它們的優(yōu)先順序?你能舉個例子說明這在現(xiàn)實世界中是如何有效運作的嗎?

修復漏洞是一項艱巨的任務。截至2023年12月，已發(fā)布超過4540個關鍵漏洞(CVSS排名為9+)，然而，這些漏洞中被利用的不到2%。

使用CVSS評分推動修補工作的公司可能跟不上新漏洞的速度，因為部署安全補丁需要測試、兼容性檢查和風險評估，導致修補漏洞需要4-6周(或更長時間)，這一漫長的過程是因為需要避免由于安裝軟件更新可能導致兼容性問題而造成的業(yè)務中斷，這對公司來說是一個重大風險。因此，必須根據(jù)公司的業(yè)務上下文確定優(yōu)先順序，并與它們面臨的最嚴重的漏洞保持一致——這將導致可持續(xù)的補救過程。

公司應該了解哪些漏洞有可能在其獨特的環(huán)境中被利用，以及哪些漏洞可能構成最高的業(yè)務風險，例如，與駐留在保護良好的環(huán)境中的未使用的應用程序中的漏洞相比，存在于活動的面向互聯(lián)網(wǎng)的業(yè)務應用程序中的具有已證實可利用性的漏洞或存在高概率利用的漏洞可能具有更高的優(yōu)先級。

遵守GDPR這樣的監(jiān)管框架在哪些方面有助于確定漏洞的優(yōu)先順序，這與維護公司的可信度有何關系?

漏洞管理是許多合規(guī)和監(jiān)管框架的關鍵組成部分，如NIST CSF、PCIDSS(支付卡行業(yè)數(shù)據(jù)安全標準)、NERC CIP(北美電氣可靠性公司關鍵基礎設施保護)、CIS(互聯(lián)網(wǎng)安全中心)關鍵安全控制、GDPR(通用數(shù)據(jù)保護法規(guī))等。

監(jiān)管框架包括數(shù)據(jù)保護和隱私的組成部分，這些組成部分通過要求公司實施安全措施來保護個人數(shù)據(jù)，間接解決了漏洞管理問題。個人數(shù)據(jù)的丟失可能導致信譽喪失，并被美國證券交易委員會(Securities And Exchange Commission)等監(jiān)管機構處以違反監(jiān)管規(guī)定的罰款。由業(yè)務上下文確定優(yōu)先級和驅動的漏洞管理實踐可以將處理PII的資產(chǎn)定義為關鍵資產(chǎn)，這可以極大地減少公司受到網(wǎng)絡攻擊的風險和受保護數(shù)據(jù)的外泄。

你對漏洞優(yōu)先排序的自動化系統(tǒng)有何看法?他們如何應對手動方法的挑戰(zhàn)?

系統(tǒng)應持續(xù)運行并收集實時數(shù)據(jù)，以根據(jù)實際使用情況確定漏洞優(yōu)先級，另一方面，傳統(tǒng)的漏洞系統(tǒng)通常會定期收集信息——按需、每周甚至每月，然而，缺乏當前的暴露環(huán)境可能會導致資源分配和安全漏洞，這會造成巨大的人力資源開銷，并造成安全漏洞，因為這些信息不會顯示公司暴露的當前地圖。

自動和連續(xù)的優(yōu)先順序適應動態(tài)變化的攻擊面，反過來，團隊獲得了更高的準確性，減少了對手動數(shù)據(jù)收集和分析的依賴。自動化系統(tǒng)允許更大的容量來消化更多(和更高優(yōu)先級)的數(shù)據(jù)，并更好地利用現(xiàn)有資源。

同時，在部署補丁之前，公司應考慮部署無補丁保護，以減少其受攻擊面。無補丁保護能夠保護尚未打補丁的已知漏洞，同時防止未知漏洞造成損害。

不完整的資產(chǎn)清單和數(shù)據(jù)如何影響確定脆弱性優(yōu)先順序的過程，以及可以采用哪些戰(zhàn)略來克服這些挑戰(zhàn)?

影子IT資產(chǎn)或公司無法輕松訪問的資產(chǎn)上的漏洞無法補救。不是所有資產(chǎn)都可以完全映射，也不是所有資產(chǎn)——例如，運行任務關鍵型流程的資產(chǎn)——都可以更新。在這種情況下，公司需要一個清晰的地圖來定義哪些應用程序和資產(chǎn)構成最高風險，以便能夠分配資源來為整個公司繪制地圖并創(chuàng)建更廣泛的庫存。同時，公司應考慮應用補償性控制，例如自動移動目標防御，以保護運行無法修補的應用程序的系統(tǒng)。

公司在構建漏洞優(yōu)先級排序公式時應考慮哪些關鍵因素?這些因素如何相互作用來決定補救工作的緊迫性?

沒有兩個公司是相同的，每個公司都可能希望根據(jù)不同的戰(zhàn)略確定優(yōu)先順序。為此，漏洞管理系統(tǒng)應提供多種選項來推動工作，包括按業(yè)務環(huán)境對計算資產(chǎn)進行分組、考慮整個主機(計算設備)的暴露、聚合應用程序上的漏洞以及展示漏洞的可利用性和潛在可利用性。

因此，公司應確定其關鍵的優(yōu)先級驅動點，例如，將重點放在業(yè)務關鍵型應用程序上，并根據(jù)該戰(zhàn)略推動補救流程。現(xiàn)代漏洞補救技術應該很容易適應公司選擇的戰(zhàn)略。

你認為漏洞優(yōu)先排序的未來走向如何，特別是隨著網(wǎng)絡威脅和技術進步的演變?

由CVSS評分驅動的標準漏洞管理實踐已演變?yōu)榛陲L險的漏洞優(yōu)先排序。下一步將是向風險暴露管理的范式轉變，這是一個更寬泛的術語，涵蓋了越來越多的元素，這些元素是代表公司風險的關鍵類別。

例如，除了應用程序漏洞外，公司還將深化對特定于公司的錯誤配置、權限和資產(chǎn)的識別和基于風險的評估，這些要素將構成總體風險評分的基礎，這將使安全專業(yè)人員能夠更好地將其有限的資源集中在能夠最大限度地降低風險的領域。