譯者 | 晶顏
審校 | 重樓
漏洞管理已經(jīng)成為應(yīng)用程序安全的一個重要方面。漏洞管理缺失的后果可能十分嚴重,正如一些引人注目的漏洞所證明的那樣。2021年,由未修補的Apache Struts漏洞(CVE-2017-5638)導(dǎo)致的Equifax數(shù)據(jù)泄露致使1.47億人的敏感數(shù)據(jù)泄露,造成了7億美元的和解賠償。
同樣是在2021年,對Log4Shell漏洞(CVE-2021-44228)的利用影響了微軟、亞馬遜和蘋果等公司,導(dǎo)致全球修復(fù)成本預(yù)計遠超100億美元。
2022年,LastPass的開發(fā)環(huán)境因一個未修補的Plex漏洞遭到破壞,導(dǎo)致密碼庫被盜,造成了嚴重的聲譽損害和客戶流失。
下述多項權(quán)威研究都強調(diào)了投資漏洞管理的重要性:
- IBM的《數(shù)據(jù)泄露成本報告》顯示,與沒有自動化安全流程的組織相比,完全部署了安全自動化(包括漏洞管理)的組織所經(jīng)歷的泄露成本平均低305萬美元。
- Gartner關(guān)于《漏洞管理最佳實踐》的研究表明,采用基于風險的方法的組織比那些只依賴定期掃描的組織少經(jīng)歷80%的漏洞。
- 波耐蒙研究所(Ponemon Institute)的《漏洞管理狀態(tài)》研究顯示,漏洞修補周期超過30天的組織被攻破的可能性要高出50%。
- NIST的《國家漏洞數(shù)據(jù)庫(NVD)統(tǒng)計數(shù)據(jù)》顯示,新的漏洞持續(xù)增加,突出了對強大漏洞管理的需求正日益增長。
盡管有如此多的警示性故事,許多組織仍然無法實現(xiàn)一個有效的、與開發(fā)生命周期同步的漏洞管理過程。VMware的一份報告顯示,78%的受訪組織在2021年至少遭遇過兩次勒索軟件攻擊,未修補的漏洞是主要的攻擊媒介。本文提供了一種構(gòu)建和自動化漏洞管理管道的實用方法,該管道可以識別安全問題,幫助確定優(yōu)先級并有效地修復(fù)它們。
了解現(xiàn)代漏洞管理
現(xiàn)代漏洞管理不僅僅是簡單的漏洞掃描和修補。它需要一種與你的開發(fā)生命周期無縫集成的系統(tǒng)方法,提供對安全漏洞的持續(xù)監(jiān)視、評估和補救,以跟上新漏洞出現(xiàn)的速度。一個有效的漏洞管理管道應(yīng)該解決三個關(guān)鍵方面:
- 對跨應(yīng)用程序的所有層進行持續(xù)的漏洞檢測
- 基于風險評估的智能優(yōu)先級
- 在可能的情況下實現(xiàn)自動修復(fù)
構(gòu)建漏洞管理管道
第一步:全面掃描策略
要點概述
- 在源代碼、依賴項和容器之間實現(xiàn)多層掃描
- 配置掃描器,以便在CI/CD管道期間自動執(zhí)行
- 確保SAST和SCA工具的全面覆蓋
任何漏洞管理管道的基礎(chǔ)都是針對應(yīng)用程序堆棧多層的強大掃描策略。源代碼掃描形成了第一道防線,其中靜態(tài)應(yīng)用程序安全測試(SAST)工具,如SonarQube, Checkmarx或Snyk能夠在拉取請求期間分析你的代碼庫。這些工具應(yīng)該配置為增量掃描,以減少掃描時間,同時保持有效性,檢查可能導(dǎo)致安全問題的安全漏洞和代碼質(zhì)量問題。
依賴項掃描在嚴重依賴第三方包的現(xiàn)代應(yīng)用程序中同樣至關(guān)重要。軟件組合分析(SCA)工具提供了對直接依賴關(guān)系和傳遞依賴關(guān)系的洞察。這種全面的方法有助于識別脆弱的組件,這些組件可能位于依賴關(guān)系樹的深處。現(xiàn)代SCA工具還可以幫助檢查許可證合規(guī)性,從而提供額外的風險管理層。
在當今的云原生環(huán)境中,容器安全性也不容忽視。在CI/CD管道中實現(xiàn)容器映像掃描可確保在部署之前檢測到基本映像和添加層中的漏洞。Trivy、Aqua Security或Snyk Container等工具可以識別容器內(nèi)操作系統(tǒng)包和應(yīng)用程序依賴項中的已知漏洞。
步驟2:智能優(yōu)先排序框架
要點概述
- 將外部威脅情報與內(nèi)部風險度量相結(jié)合
- 關(guān)注可利用性和業(yè)務(wù)影響,而不僅僅是CVSS分數(shù)
- 基于組織的特定上下文實現(xiàn)自定義評分
隨著檢測到的漏洞數(shù)量的增加,在不增加開發(fā)團隊工作量的情況下,有效的優(yōu)先級對于維護安全性變得至關(guān)重要。智能優(yōu)先級框架從外部威脅情報集成開始,結(jié)合CVE分數(shù)和CVSS指標,同時考慮現(xiàn)實世界的攻擊嘗試。這些數(shù)據(jù)應(yīng)不斷更新,以反映最新的威脅情況和漏洞利用的可用性。
基于風險的評分構(gòu)成了優(yōu)先級框架的核心。這包括評估受影響組件的業(yè)務(wù)影響及其暴露級別,無論它們是面向內(nèi)部還是面向外部。該框架還應(yīng)考慮補償性控制,并根據(jù)多個因素計算自定義風險評分。這些包括CVSS基本分數(shù)、資產(chǎn)關(guān)鍵性、漏洞利用可用性、補丁可用性和業(yè)務(wù)上下文。這種全面的評分可以幫助安全團隊專注于對其組織構(gòu)成最大現(xiàn)實風險的漏洞。
步驟3:自動化修復(fù)
要點概述
- 部署帶有測試保障的自動化依賴更新工具
- 實現(xiàn)帶有回滾功能的自動補丁管理工作流
- 將安全修復(fù)程序集成到現(xiàn)有的開發(fā)過程中
自動化對于跨大型代碼庫和組織有效地擴展漏洞管理是必不可少的。像Dependabot或Renovate這樣的工具可以實現(xiàn)自動依賴更新,自動創(chuàng)建非中斷更新的拉取請求。這些工具應(yīng)該配置為運行自動化測試來驗證更新,并為關(guān)鍵依賴項實現(xiàn)逐步推出策略。
補丁管理自動化不僅僅是簡單的更新。它包括為補丁應(yīng)用程序、測試和回滾過程創(chuàng)建自動化工作流。這種自動化應(yīng)該與你的開發(fā)工作流程無縫集成,自動為修復(fù)創(chuàng)建分支,并管理安全更新的整個生命周期。與問題跟蹤系統(tǒng)的集成確保了安全問題的適當可見性和跟蹤,以及基于代碼所有權(quán)的自動票據(jù)創(chuàng)建和分配。
衡量成功的關(guān)鍵指標
在流程結(jié)束之前,重要的是建立指標來驗證漏洞管理管道的有效性。這些關(guān)鍵指標主要包括以下幾點:
- 平均檢測時間(MTTD):跟蹤識別新漏洞的速度。
- 平均補救時間(MTTR):測量從檢測到修復(fù)的平均時間。
- 修復(fù)率:監(jiān)控SLA內(nèi)修復(fù)的漏洞的百分比。
- 風險降低:隨時間跟蹤總體風險評分的降低情況。
結(jié)語
在當今的威脅環(huán)境中,構(gòu)建有效的漏洞管理管道不再是可有可無的選項。本文中概述的方法——實現(xiàn)全面掃描、智能優(yōu)先級和自動修復(fù)——為組織提供了一種可以適應(yīng)其特定需求的框架。成功的關(guān)鍵在于不再將漏洞管理作為周期性任務(wù),而是作為集成到開發(fā)生命周期中的連續(xù)過程。
組織必須認識到,實現(xiàn)強大的漏洞管理管道的成本遠遠低于安全漏洞的潛在影響。正如前面引用的實際案例和行業(yè)研究所證明的那樣,未修補的漏洞仍然是主要的攻擊媒介,會導(dǎo)致重大的財務(wù)和聲譽損失。
具體來說,組織可以通過如下步驟來改進漏洞管理流程:
- 首先對當前的安全狀態(tài)和工具進行評估;
- 在轉(zhuǎn)向自動化之前,執(zhí)行基本的掃描和優(yōu)先級排序;
- 通過率先解決高風險、易修復(fù)的漏洞,專注于快速獲勝;
- 隨著流程的成熟,逐步擴大覆蓋范圍和自動化程度。
請記住,漏洞管理不僅僅是安全團隊的責任,它需要安全、開發(fā)和運營團隊之間的協(xié)作。通過遵循本文中概述的實用方法并持續(xù)關(guān)注改進流程,組織可以在保持開發(fā)速度的同時顯著降低其安全風險。
漏洞管理的未來在于進一步的自動化,與開發(fā)工作流程更好的集成,以及使用人工智能和機器學習實現(xiàn)更復(fù)雜的優(yōu)先級排序。但是,本文中概述的基本原則對于構(gòu)建強大的安全基礎(chǔ)仍然至關(guān)重要。
原文標題:A Practical Approach to Vulnerability Management: Building an Effective Pipeline,作者:Mayank Singhi
