CWE 和其他漏洞需要一個儀表板來進行完整的網路風險評估
對 CVE 的太少的關注,容易使組織容易受到攻擊
越來越多的網路安全專業人員已經發展了他們的傳統漏洞管理計劃,以根據哪些漏洞對組織構成最大風險來優先考慮修復工作。雖然這無疑是朝著正確方向邁出的一步,但對於大多數組織而言,這意味著只關注常見漏洞和漏洞利用 (CVE)。
絕大多數網路安全行業認為,CVE 和漏洞是同一個東西——可以互換使用的術語。但“漏洞”可以定義為:信息系統、系統安全程序、內部控製或實施中的弱點,可能被威脅源利用或觸發。
換句話說,漏洞實際上是任何使您的組織容易受到網絡攻擊的東西。
雖然未打補丁的 CVE 肯定符合上述定義,但它並不是唯一的。對手不在乎他們如何進入,他們只是想進入。他們將採取阻力最小的路徑來獲得他們可以獲得的任何訪問權限。小偷在闖入時可能更喜歡後門,但如果有機會,他會很樂意打開一樓的窗戶。這就是為什麼必需發現和了解您的所有漏洞,然後製定一個全面的計劃來解決它們。
這個列表並不詳盡,但這裡有一些需要考慮的主要漏洞:
- 常見弱點枚舉 (CWE)
- 開放 Web 應用程序安全項目 (OWASP) 前 10 名
- 零日漏洞(Zore Day)
- 訪問管理錯誤配置或錯誤
- 網路/基礎設施配置錯誤
- 工業環境中的意外或故意錯誤配置
另一方面,CWE 是在自定義 Web 應用程序、編譯的應用程序和硬體 中發現的普遍漏洞。CWE 代表漏洞的底層類型或類別,而不是特定實例。事實上,CWE 的每個實例通常都是獨一無二的,這意味著必須為每個實例定制修復工作。基於應用程序的 CWE 並不像基於硬體的 CVE 那麼多,但 CWE 可能需要成倍增加的時間和資源來有效緩解。
現在,請記住,這些只是組織面臨的多種類型漏洞的兩個示例。再加上可能存在於整個攻擊面的零天數和範圍廣泛的錯誤配置,很快就會有太多安全團隊無法有效管理漏洞。這尤其困難,因為大多數人針對每種類型的漏洞使用不同的工具並手動評估其中的許多漏洞。
或許有效管理所有漏洞最困難的方面是首先發現和評估它們。由於每種類型的漏洞都是獨一無二的,因此通常需要專門的工具來正確識別每種漏洞。漏洞管理工具非常適合 CVE,但您需要為您的 Web 應用程序安裝應用程序掃描程序。同樣,工業環境需要專門為該環境設計的工具。當然,根據環境或被評估的資產組,錯誤配置也有很大差異。
由於所有這些不同的數據來自攻擊面的多個區域,人類幾乎不可能手動評估所有這些數據並根據哪些數據對組織構成最大的直接風險來確定它們的優先級。為了取得成功,團隊需要一個單一的平台,該平台可以統一所有這些數據,並使用機器學習算法、上下文智能和預測分析來一起評估它們,以幫助確定首先要修復的內容的優先級。
一個發現和評估整個組織的安全數據的綜合平台使您能夠:
- 超越 CVE 以準確了解整個環境
- 查看上下文中的所有漏洞,以做出更強有力的風險緩解決策
- 更好地將安全團隊的工作與非技術業務受眾結合起來,從而展示與組織的更大相關性
- 推進安全流程,使其更具主動性和戰略性
了解更多
- 觀看網絡研討會,CVE 之外的漏洞。你缺哪個?https://www.tenable.com/webinars/vulnerabilities-beyond-cves-which-are-you-missing
- 下載白皮書,克服不同 VM 工具帶來的挑戰:https : //www.tenable.com/whitepapers/overcoming-challenges-created-by-disparate-vulnerability-management-tools
閱讀 Gartner:有效漏洞管理的基本要素:https : //www.tenable.com/analyst-research/gartner-the-essential-elements-of-effective-vulnerability-management
傑夫·阿布德
Jeff Aboud 已在安全行業工作了近 15 年。Jeff 在業內一些最知名的公司工作,在安全堆棧方面擁有豐富的經驗——從客戶端掃描和周邊安全解決方案到加密技術。在 Tenable,他是安全解決方案團隊的成員。他與技術和研究團隊合作,了解各種規模的組織中使用的各種漏洞風險管理方法的利弊,然後將結果轉化為對錶現最佳的企業中的 SecOps 和 IT 團隊的建議和指導。
Tenable blog 原文https://zh-tw.tenable.com/blog/narrow-focus-on-cves-leaves-organizations-vulnerable-to-attacks