修補(bǔ)安全漏洞理論上看似乎是一個(gè)并不復(fù)雜的過程,,供應(yīng)商針對(duì)已知的缺陷發(fā)布補(bǔ)丁,隨后所有受影響的組織及時(shí)應(yīng)用該補(bǔ)丁看起來就沒問題了。但是,,看起來如此簡單的事情只會(huì)發(fā)生在非常理想的情況下,現(xiàn)實(shí)中并非如此,。安全企業(yè)Rezilion 發(fā)布了一份報(bào)告,,分析了供應(yīng)商已經(jīng)修補(bǔ)的舊有漏洞如何仍然對(duì)組織持續(xù)構(gòu)成風(fēng)險(xiǎn),。
Rezilion在其報(bào)告《Vintage vulnerability Are Still Style》中研究了CISA維護(hù)的已知exploit vulnerability Catalog(圖A)。
?。▓D片來源:Rezilion 按年統(tǒng)計(jì)存在的安全漏洞數(shù)量)
在名單上的790個(gè)漏洞中,,有400多個(gè)可以追溯到2020年以前。2019年有104個(gè),,2018年有70個(gè),,2017年有73個(gè)。2010年的還有17個(gè),。
研究數(shù)據(jù)顯示,,從2010年到2020年發(fā)現(xiàn)的漏洞影響了超過450萬個(gè)面向互聯(lián)網(wǎng)的系統(tǒng)和設(shè)備。
對(duì)陳舊漏洞的無效補(bǔ)丁管理使公司容易受到攻擊
盡管針對(duì)這些“陳舊漏洞”的修復(fù)補(bǔ)丁都已經(jīng)存在多年,,但許多用戶和組織仍然沒有修復(fù)它們,。因此,它們?nèi)匀豢梢员蛔杂衫?,給未更新的軟件和設(shè)備帶來風(fēng)險(xiǎn),。Rezilion表示,在過去的一個(gè)月中,,他們發(fā)現(xiàn)了針對(duì)大多數(shù)安全漏洞的主動(dòng)掃描和利用企圖,。
這個(gè)問題存在于安全漏洞的生命周期中。一開始,,產(chǎn)品中存在的安全缺陷可能會(huì)被利用,,因?yàn)檫€沒有補(bǔ)丁存在,盡管沒有人會(huì)意識(shí)到它,。如果攻擊者知道了這個(gè)漏洞,,那么它就被歸類為0day。廠商發(fā)布并部署補(bǔ)丁后,,仍可利用該漏洞,,但只適用于尚未應(yīng)用補(bǔ)丁的環(huán)境。
但是,,IT和安全團(tuán)隊(duì)需要了解供應(yīng)商提供的可用補(bǔ)丁,,確定優(yōu)先應(yīng)用哪些補(bǔ)丁,并實(shí)現(xiàn)用于測(cè)試和安裝這些補(bǔ)丁的系統(tǒng),。如果沒有一個(gè)有效的補(bǔ)丁管理方法,,整個(gè)過程很容易在其中的任何一個(gè)環(huán)節(jié)上出錯(cuò)。精明的攻擊者肯定會(huì)意識(shí)到這一點(diǎn),,這就是為什么他們繼續(xù)利用這些供應(yīng)商其實(shí)早已修復(fù)的漏洞而繼續(xù)發(fā)起攻擊,。
在Rezilion的研究中,也列舉了一些攻擊者常用的所謂“經(jīng)典”安全漏洞,,主要有如下幾個(gè):
● CVE - 2012 - 1823
PHP CGI遠(yuǎn)程代碼執(zhí)行是一個(gè)驗(yàn)證漏洞,,它允許遠(yuǎn)程攻擊者通過在PHP查詢字符串中放入命令行選項(xiàng)來執(zhí)行代碼,。這一缺陷在野外被利用了10年。
● CVE - 2014 - 0160
OpenSSL進(jìn)程內(nèi)存敏感信息泄漏漏洞(HeartBleed)影響TLS(Transport Layer Security)擴(kuò)展,。在OpenSSL 1.0.1到1.0.1f之間,,這個(gè)漏洞會(huì)將服務(wù)器的內(nèi)存內(nèi)數(shù)據(jù)泄露給客戶端,,反之亦然,,可以允許互聯(lián)網(wǎng)上的任何人使用OpenSSL軟件的脆弱版本讀取這些內(nèi)容。2014年4月,,它被公之于眾,。
● CVE - 2015 - 1635
微軟HTTP.sys遠(yuǎn)程代碼執(zhí)行漏洞是Microsoft Internet Information Service (IIS)中的HTTP協(xié)議處理模塊(HTTP.sys)存在的漏洞,攻擊者可以通過向易受攻擊的Windows系統(tǒng)發(fā)送特殊的HTTP請(qǐng)求來遠(yuǎn)程執(zhí)行代碼,。這一漏洞在野外已經(jīng)活躍了七年多,。
● CVE - 2018 - 13379
Fortinet FortiOS和FortiProxy是FortiProxy SSL VPN門戶網(wǎng)站的一個(gè)漏洞,可以使遠(yuǎn)程攻擊者通過特殊的HTTP資源請(qǐng)求下載FortiProxy系統(tǒng)文件,。
● CVE - 2018 - 7600
Drupal遠(yuǎn)程代碼執(zhí)行漏洞(Drupalgeddon2)是一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,,影響多個(gè)不同版本的Drupal。攻擊者可能會(huì)利用這個(gè)漏洞迫使運(yùn)行Drupal的服務(wù)器執(zhí)行惡意代碼,,從而破壞安裝,。 為了幫助組織更好地管理安全漏洞及相關(guān)補(bǔ)丁,,Rezilion提供了幾個(gè)建議:
首先,,組織、企業(yè)應(yīng)建立并應(yīng)用軟件物料清單(SBOM),,以管理好應(yīng)用程序中所有開源和第三方組件的清單,,確保在相關(guān)組件出現(xiàn)問題時(shí),能夠及時(shí)排查風(fēng)險(xiǎn),,并及時(shí)應(yīng)用供應(yīng)商發(fā)布的相關(guān)補(bǔ)丁,。
其次,為了保證補(bǔ)丁管理策略的有效性,,應(yīng)該有特定的過程,,包括變更控制、測(cè)試和質(zhì)量保證,,所有這些過程都可能導(dǎo)致潛在的兼容性問題,。在擁有管理流程后,還需要能夠輕松地?cái)U(kuò)展它,,這意味著隨著發(fā)現(xiàn)更多的漏洞,,需要擴(kuò)展補(bǔ)丁工作。
再次,,需要優(yōu)先考慮最關(guān)鍵的漏洞,,由于發(fā)現(xiàn)了大量安全缺陷,,您不可能對(duì)它們?nèi)窟M(jìn)行修補(bǔ)。相反,,你應(yīng)該專注于最重要的補(bǔ)丁,。優(yōu)先級(jí)由這樣的指標(biāo)單獨(dú)CVSS可能是不夠的。還應(yīng)該采用一種基于風(fēng)險(xiǎn)的方法(基于風(fēng)險(xiǎn)的漏洞管理),,通過這種方法,,可以識(shí)別高風(fēng)險(xiǎn)漏洞,并將其優(yōu)先級(jí)置于較小的Bug之上,。要做到這一點(diǎn),,可以通過已知被利用漏洞目錄或其他威脅情報(bào)來源來檢查哪些漏洞正在被利用,然后,,確定您的環(huán)境中甚至存在哪些漏洞并及時(shí)應(yīng)對(duì),,目前國內(nèi)企業(yè)中,零零信安(偏向于EASM)和華云安(偏向于CAASM)都提供了相關(guān)的應(yīng)對(duì)策略和解決方案,,可以通過引入這種專業(yè)力量來快速的幫助你建立有效的應(yīng)對(duì)方案,。
最后,要持續(xù)監(jiān)測(cè)和評(píng)估補(bǔ)丁管理策略,,并建立起常態(tài)化的環(huán)境監(jiān)控,,以確保漏洞被修復(fù),補(bǔ)丁也被正常安裝,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<