漏洞管理：亡羊补牢，未为迟也

重大软件漏洞是不可避免的生活现实，看各大软件公司每年放出的补丁数据就知道了：微软今年每月修复55到110个漏洞，其中7%到17%的漏洞是关键漏洞。

5月漏洞数量最少，总数55个漏洞当中仅4个评级为关键漏洞。但问题在于，这些关键漏洞是伴随我们多年的老面孔了，比如远程代码执行漏洞和提权漏洞。

经常修补重大漏洞的软件巨头不止微软一家，苹果、Adobe、谷歌、思科等业界翘楚也每月推出安全更新。

新与旧是相对的

鉴于如此之多的应用中都存在重大漏洞，那我们还有没有希望迎来安全的未来？答案当然是肯定的，但并不意味着通往安全的路上没有困难和挑战。

经年奋战在防御第一线的安全从业人员或许跟漏洞是老相识了，但对手的战术不停在变。

将合法资源用于邪恶目的的做法并不罕见，而我们在构建应用时无法为此类滥用规划好万全之策。

权限痛点

80%的安全事件涉及特权账户，提权类漏洞利用只会愈演愈烈。勒索软件运营者和其他恶意黑客常会在系统上利用提权漏洞，从而合法化其操作，成功访问敏感数据。

如果信息窃贼拥有跟当前用户一样的权限，渗漏敏感数据的机会就显著增加了。同时，管理员权限几乎可以保证入手极具价值的数据。

除了保持软件更新，零信任倡议和数据流监测在防御提权漏洞方面也十分关键。至少，零信任意味着应该应用最小权限原则，并且任何地方都要应用多因素身份验证。

基本上，零信任可以确保不需要访问系统或文件的用户就没有这样的权限，而确实需要此类权限的用户必须证明自己是所声称的身份。数据流监测也有助于早期捕获数据泄露事件，限制被盗数据总量。

远程控制

远程代码执行（RCE）短期内都不会消失。此类攻击占据2020年所有攻击的27%，远高于上一年的7%。只要能够找到在你系统上远程执行任意代码的方法，攻击者能获取的控制权就远超仅仅让用户无意中运行带有预定义功能的恶意软件。

如果攻击者能远程执行任意代码，他们就具有了在系统内或网络上四处逡巡的能力，能够根据自己所找的的东西更改攻击目标和战术。

行为监测是检测系统上RCE的最佳方式之一。如果应用程序开始运行不属于其正常行为的命令和进程，那你就可以准备早点儿阻止攻击了。RCE如此普遍的事实也意味着，用户应该保持安全补丁更新，从而将诸多此类攻击防患于未然。

谁还需要恶意软件？

如今，备受欢迎的攻击方式是利用合法进程和可信应用来实现恶意目的。这种无文件，或者不需落地的攻击，因为不用安装恶意软件而非常难以检测。

PowerShell是最容易遭遇此类利用方式的常见应用之一。因为PowerShell本来就是用于编写脚本和执行系统命令的强大应用。

无文件攻击的例子也证明了监视应用和进程的行为是快速阻止攻击的关键。于是，PowerShell真的需要禁用安全功能吗？

大多数情况下，未必。这种行为是可以被监测到的，即使行为出自PowerShell这样的可信应用。监测与高级机器学习和AI相结合，就可以提取网络上正常行为的特征，对不正常行为实施自动化响应。

继续前行

尽管常见攻击类型不会改变太多，但应用或代码的任何改动却可能引入新的漏洞。这并不意味着我们应该放弃抵抗而让对手长驱直入，而是意味着现在就是加倍努力挫败对手的好时机。

我们需要实现补丁管理策略，监测网络，采用行为检测，并避免自满。主流软件供应商定期修复重大漏洞的事实实际上是件好事，既然攻击者都不放弃作乱，那我们也不应该放弃防御。