漏洞管理走向哪儿?
发布时间:2022-04-29 11:10:27 所属栏目:安全 来源:互联网
导读:漏洞管理走向何方? 漏洞管理的未来将集中于自动化,尤其是漏洞扫描过程的自动化。随着企业IT环境继续变得越来越复杂,现在是时候考虑自动化工具的时候了。 一、漏洞管理的由来:软件更新 最早的漏洞管理并没有漏洞的概念,只是单纯的补丁管理,并不是网络安
|
漏洞管理走向何方? 漏洞管理的未来将集中于自动化,尤其是漏洞扫描过程的自动化。随着企业IT环境继续变得越来越复杂,现在是时候考虑自动化工具的时候了。 一、漏洞管理的由来:软件更新 最早的漏洞管理并没有漏洞的概念,只是单纯的补丁管理,并不是网络安全工作,而是IT工作。一直到了2001年“红色代码”出现之后,微软才开始常态化的发布安全补丁。之后,冲击波、震荡波等跨地域感染整个网络的大规模攻击变得越来越普遍,业界开始建立平台系统来记录和跟踪这些漏洞。 第一个漏洞平台是由美国联邦机构根据国家标准与技术研究所(NIST)的建议于1999年创建,并于2002年发布了CVE漏洞命名方法,之后于2011年进行更新。一直到了2011年,随着第一个国家漏洞数据库(NVD)的建立,CVE才得到广泛普及和应用。 NVD是一个全面的网络安全漏洞数据库,集成了所有公开的美国政府漏洞资源,提供了行业资源的参考。它与CVE列表同步并基于CVE列表,CVE列表使用评分系统对风险的严重程度进行评分。NVD成为安全组织追踪漏洞并根据风险评分确定优先顺序的有效工具。 可以说从2011年开始,漏洞管理才成为开始成为安全行业的最佳实践。然而,随着漏洞的数量持续增长,以及IT基础设施的复杂性增加,漏洞管理变得越来越艰难。与它的前身软件更新不同,许多时候业务系统不允许中断,而且很多机构也没有安排专门的预算或团队来定期进行测试、部署和安装补丁。 NVD的建立是安全行业在漏洞管理方面的巨大进步。然而,有两个新问题的出现导致漏洞管理的艰难。第一个问题是与时间赛跑,从漏洞被披露的那一刻起,到发布并应用补丁,以确保漏洞不会被坏人利用,这一段时间窗口从过去的数月到现在的数天,甚至是数小时。而且,并非每个漏洞都有补丁。有一种常见的误解,即每个漏洞都可以通过补丁修复,但事实并非如此。数据显示,补丁管理只能覆盖10%的已知漏洞。这意味着其他90%的已知漏洞无法修补,于是只剩下两个解决方案,要么找替代方法,要么从头开始修复源代码。 第二个问题是,NVD的建立目的本来是帮助机构抵御攻击者,但很不幸,坏人也一样可以参考NVD上的漏洞。尤其是近年来自动化和机器学习令网络犯罪更加的方便和低成本,攻击者根据NVD中的漏洞数据,可快速、轻松地扫描未修补的系统,并确定目标系统正在使用哪些软件版本,以及哪些软件尚未修补。 网络攻防的双方是不对等的,正如上文中说到的,补丁是滞后的,而攻击者只需找到一个脆弱点就可能把整个防御体系突破。这就是为什么漏洞管理是安全工作的一个基本底线。然而,面对层出不穷的漏洞,IT和安全团队捉襟见肘,根本无法跟上任务的进度,迫切需要一种更加有效的方式来做好漏洞管理。 二、未来:超自动化 网络安全左移和右移的理念已经得到业内的广泛认可,但除了应用安全,无处不在且不断快速增长的网络空间资产更是令打补丁这项工作成为了不可能的任务。似乎只剩下一条路可走,自动化,或者说智能化更加准确些。因为,不仅是实时性,前瞻和预测也同样重要。只有机器速度的识别、理解和响应,安全团队才能够在几乎不需要人工干预的情况下,主动、快速地解决问题。自动化将完成大部分工作,人只是最终的仲裁者,根据机器提供的智能分析采取适当的行动决策。这个过程区别于传统的自动化,可称之为超自动化。 在接下来的五年里,我们将看到超自动化在漏洞补丁管理中的广泛应用。如果说漏洞管理时代开始于2011年,基于风险的漏洞管理开始于2017年(Wanncry和Nopetya),那么从2023年至2025年将是从基于风险的漏洞管理过渡到超自动化管理的时期。 到2025年,我们应该看到更多的安全控制以代码的形式编写并嵌入到软件中,比如将策略作为代码,将安全作为代码,将开发作为代码。同样,我们将补丁作为代码,暴露面作为代码,漏洞枚举作为代码。“作为一种代码”(as a code)将成为未来十年的流行语。随着它成为热门话题,我们将在“自动化技术嵌入软件”方面取得巨大进展。 漏洞管理的未来将集中于自动化,尤其是漏洞扫描过程的自动化。随着企业IT环境继续变得越来越复杂,现在是时候考虑自动化工具的时候了。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号