過於以 CVE 為主會使企業容易遭到攻擊
CWE 以及其他弱點都需要一個集中式的儀表板,以便進行全盤的網路風險評估
越來越多的網路安全專業人員汰換掉原來舊型的弱點管理方案,而改以哪些弱點構成最高的企業風險為準來排定修復的優先順序。 雖然大方向確實正確,但對於絕大多數的企業而言,這意味著完全以 Common Vulnerabilities and Exploits (CVE) 為重心。
網路安全產業中絕大多數的從業人員都認為 CVE 就是弱點,這兩個名詞可互相替換。 但「弱點」的廣義定義為:資訊系統、系統安全程序、內部控管或執行措施中的缺陷,安全威脅可能會利用這些缺陷或發動攻擊。 換句話說,弱點其實是使企業容易遭到網路攻擊的一切漏洞。
雖然未經修補的 CVE 的確符合以上定義,但卻不是唯一符合這些條件的弱點。 無論如何,攻擊者都會不擇手段的入侵企業。 他們會選擇最不容易發生激烈抵抗的途徑來獲取任何存取權。竊賊登堂入室時可能會選擇後門,但如果有機可乘,他們還是寧願從打開的落地窗入侵。 這也是為何發現及瞭解所有企業弱點後,研擬全盤性計畫之所以如此重要的原因。
這份清單並沒有詳盡列出所有弱點,但有一些值得注意的重大弱點:
- Common Weakness Enumeration (CWE)
- 開放 Web 應用程式安全專案 (OWASP) 10 大弱點風險
- 零時差弱點
- 存取管理不當設定或錯誤
- 網路/基礎架構的不當設定
- 工業環境中意外或蓄意的不當設定
這些弱點 (或缺陷) 各自發生在極為不同的攻擊破綻區域。 每一個弱點都代表著一組獨特的挑戰習題,必須運用各種技巧才能妥善管理。 傳統 IT 環境下的硬體資產弱點絕大多數都是過往已經發現及確定的 CVE,因此資安專業人員可以判斷各個弱點對企業造成的風險等級,IT 人員也可以透過適用的修補程式以及其他指定的修復方式著手化解這些安全威脅。
CWE 則是自訂 Web 應用程式、編譯完成之應用程式和硬體中的現有弱點。 CWE 是指弱點的基本類型或弱點類別,而不是某個執行個體。 事實上,每一個 CWE 執行個體往往都有其獨特性質,因此必須針對每一個執行個體採取自訂的修復措施。 應用程式 CWE 的數量或許不如硬體的 CVE,但有效緩解 CWE 所需的時間和資源卻是 CVE 的好幾倍。
請謹記,上述弱點只是就企業面臨的眾多弱點類型列舉其二而已。 除了這些弱點之外,還存在眾多零時差弱點以及企業攻擊破綻中各式各樣的不當設定,很快這些弱點將會排山倒海而來,資安團隊難以有效控管。 由於大多數的資安人員各自使用不同的工具來對付各類弱點,而且其中多數都採手動評估,使得弱點管理難上加難。
有效管理企業所有弱點最難的一部分,或許可說是在第一時間發現及評估弱點。 由於每個弱點的特性各異,往往需要專門工具才能正確辨別各類弱點。 弱點管理工具可以非常有效的管理 CVE,但 Web 應用程式還是需要應用程式掃描器。 同理,工業環境也需要量身打造的專用工具。 當然,所謂的不當設定視評估的環境或資產群組而定,彼此也有很大的差異。
空有來自多個攻擊破綻區域的這些零散資料,卻幾乎無法以人工方式評估全部資料,也就無法依據對企業造成最高風險的弱點來排定修復的優先順序。 為了讓一切作業順利,團隊需要一個集中化管理的平台才能整合所有資料,並使用機器學習演算法、背景情資和預測分析一次評估所有資料,進而確定哪些弱點應優先修復。
可搜尋及評估企業中所有安全資料的全面平台具有以下優點:
- 將視角延伸至 CVE 之外,準確判斷整個環境的狀況
- 查看整個環境中相關的所有弱點,以便制定更明智的風險緩解決策
- 使資安團隊採取的措施更符合非技術人員的業務對象所需的目標,進而使整個企業的目標更加一致
- 改進資安處理流程,改採積極且策略化手法
因此,儘管評估和修復 CVE 絕對是降低網路風險不可或缺的必要步驟,但全盤性的資安策略則需要您解決所有弱點。
深入瞭解
- 觀看網路研討會「CVE 只是狹義的弱點。 您錯失了哪些要點?」https://www.tenable.com/webinars/vulnerabilities-beyond-cves-which-are-you-missing
- 下載白皮書「克服各種不同的弱點管理工具造成的問題」:https://www.tenable.com/whitepapers/overcoming-challenges-created-by-disparate-vulnerability-management-tools
- 參閱 Gartner 研究報告: 「有效進行弱點管理的基本要素」:https://www.tenable.com/analyst-research/gartner-the-essential-elements-of-effective-vulnerability-management
Jeff Aboud
行銷總監
Jeff Aboud 在資訊安全產業工作已有將近 15 年之久。 Jeff 曾在業界多家知名公司任職,其工作經驗涵蓋整個安全架構,從用戶端掃描、周邊安全解決方案、乃至於加密技術等。在 Tenable,他屬於安全解決方案團隊的成員之一。他和技術與研究團隊合作,以瞭解各種規模的企業所使用的弱點風險管理方法的優缺點,然後將結果轉換成建議與指引,提供給最傑出企業的安全作業與 IT 團隊。相關文章
How A CNAPP Can Take You From Cloud Security Novice To Native In 10 Steps
Context is critical in cloud security. In a recent RSA presentation, Tenable's Shai Morag offered ten tips for end-to-end cloud infrastructure security....
Consolidate and Unify to Accelerate Your Security Efforts
CISOs want to shrink their cybersecurity tool stack and see improved interoperability among products so that they can draw actionable insights from uniform and normalized data. Here we explain why this is key for understanding your environment’s security posture and empowering you to make better dec...
Outstanding Patch Tracking Dashboard
Editor's note: Our dashboards have been updated in the time since this blog was originally published. Please see this page for the latest guidance on Outstanding Remediation Tracking. The IT Operations teams in most organizations run in monthly cycles from “Patch Tuesday” to “Patch Tuesday.” The ...
- Dashboards
- Risk-based Vulnerability Management
- Threat Management
- Vulnerability Management
- Vulnerability Scanning