CISO 仍然会犯的漏洞管理错误
大量攻击已被追溯到其所对应的未修补漏洞,包括2017年信用报告机构Equifax严重的数据泄露。Tripwire在2017年的一项研究发现27%的攻击是由未打补丁的漏洞造成的,而 Ponemon在2018年的研究中得到的相关数据却是60%,这更加让人惊讶。
在过去的几年里,新发现的漏洞数量每年都在上升,这对于安全领域的工作者来说并不意外。
与此同时,安全团队也一直处于紧张状态,他们忙于实现安全的远程工作,以及解决其他与疫情相关的需求,同时还要应对人员短缺的问题。
因此,改进漏洞管理程序并不总是首要任务。
然而,经验丰富的安全主管们表示,大部分组织中都存在着一些常见的错误和失误,它们本可以并且也应该得到解决,从而加强相关项目的安全性。以下是主管们提到的CISO仍经常犯的10个错误:
1、未能得到高管的支持
一个好的漏洞管理程序所需要的工作量远远超出了安全团队的承受范围。风险决策需要执行输入操作,打补丁则需要IT专业知识,同时为了更新导而致的对停机时间的安排会影响多个业务功能。
管理服务提供商Thrive的首席技术官 Michael Gray表示,正因如此,CISO需要得到组织中多方面参与者的支持,这样才能很好地完成安全任务,并且只有当他们得到企业高层领导的支持时,才更有可能获得这种来自多方面的支持。
另一方面,那些漏洞管理工作缺乏高层领导支持的CISO可能会因为其对风险可接受程度的了解不够清晰明确,以及IT和业务部门对打补丁和系统停机时间安排的抵制而受到阻碍。
但同时也有一些好消息:Gray表示随着网络安全已成为董事会层面的问题,CISO也越来越多地得到了高层领导的支持。分析公司Gartner的数据证实了这一趋势,其2021年的董事调查发现,88%的董事会如今都将网络安全视为一种商业风险。
2、未培养出共同的责任感
Under Armour的CISO,Alex Attumalil表示,CISO承担了它们本不该承担的VM(漏洞管理)责任。
CISO并未拥有其组织所支持的系统或业务功能,亦没有权力单独决定该组织是否可以接受任何特定的风险。
他表示:“我们并没有被赋予代表公司来承担风险的权力,所以我们必须大量收集相关信息。”CISO需要与企业的领导们就业务风险进行沟通,根据业务风险来构建漏洞管理,并让高层领导参与到解决方案的决策中。他们需要明白自己要对本企业引入的漏洞负责。
Attumalil表示,这种方式可以让CISO以外的高管参与到“游戏”中来,在漏洞管理工作方面(比如对打补丁和停机的时间安排),他们可以提供更多的支持和协作。
3、使用通用的风险优先级
Pulse为安全供应商VulcanCyber最近进行的一项研究显示,在200多名接受调查的企业IT和安全主管中,绝大多数表示并没有根据其组织独特的风险配置来对漏洞进行优先级排序。具体来说,86%的受访者表示其组织依赖第三方提供的关于漏洞严重性的数据来确定漏洞修复的优先级,其中70%的受访者还表示会用到第三方提供的威胁情报。
资深的安全负责人对这种做法提出了警告,称这可能会使CISO及其团队将有限的资源集中使用在那些无关紧要的威胁上。
KLC咨询公司为美国国防承包商提供网络安全咨询和vCISO服务,该公司的总裁兼CISO ——KyleLai推荐了一种独特的方法。他表示,CISO及其团队必须了解自己组织的技术环境、最新的资产库存,以及组织的风险偏好和风险承受能力,这样他们才能够识别出组织所面临的最大威胁,并对其进行优先级排序。
他们应该对具体漏洞可能会造成多大的威胁有一个清晰的了解,应该知道哪些漏洞更加严重,并根据其对组织的影响来确定优先级。
4、缺乏训练
Lexmark International 的CISO Bryan Willett 表示,修复Linux系统所需的技能与修复Windows所需的技能不同,并且这些技能与那些在漏洞管理程序中执行其他任务所需的技能也不同。
此外,他还表示,安全工作人员对漏洞管理所需要的知识与IT工作人员在实际系统中进行补丁所需要的专业知识也不同。所以他希望不同的团队可以得到承担自己责任所需要的有针对性的训练。
但安全主管表示,并不是所有的组织都致力于进行持续的训练来使员工获得世界级别的安全能力,更具体地说,就是并不追求让员工具备强大的漏洞管理能力。专家表示,组织有时低估了漏洞管理任务所需的专业化程度或者员工接受有关自己企业使用的特定系统或工具的培训的重要性。
Willett补充道:“每个人都需要记住的是,员工有意向去做正确的事情,但我们必须对他们进行投资,这样才能使其有能力去做正确的事情。”
5、未能跟踪代码
Linux基金会的一项研究表明,越来越多的组织开始使用软件物料清单(SBOM)来更好地理解自己组织系统中的所有代码。更具体地说,47%的企业正在生产或消费SBOM,以及78%的企业预计在2022年生产或消费SBOM(高于2021年的66%)。
尽管这些数据显示SBOM的使用量有所增加,但数据同时也表明,很多组织可能仍然无法了解其IT环境中的所有代码。Lai表示,这种可视性的不足限制了他们判断组织中是否存在需要解决的漏洞的能力。
他还表示,组织必须了解自己使用了哪些代码和开源组件,只有这样当类似于Log4J的攻击出现时,组织才可以知道它存在的所有位置。
6、推迟升级
普华永道的网络与隐私创新研究所在专业服务部门的负责人Joe Nocera表示,尽管漏洞管理是一项永无止境的任务,但可以通过解决技术债来将其构建成一个更加有效的程序。
正如Nocera解释的那样:“组织可以下线的遗留版本或在标准堆栈上进行整合的东西越多,那么该组织所需要处理的漏洞就越少。这就是为什么说简化和整合是提升能力的最好方法。”
Nocera承认,下线遗留版本和解决技术债务并不能解决漏洞。但摆脱遗留版本确实可以免去一些工作,这样企业就可以消除那些不再能打补丁的系统,从而降低风险。
他表示,通过消除这些问题,安全团队和IT团队可以将他们的重点转移到解决更为优先的事项上,从而提高了该项目的效率和效果。
尽管这个方法有很多优点,但许多组织并没有将此作为优先事项:远程监控和管理云平台制造商Action1Corp在2022年发表的一项终端管理和安全趋势报告发现,只有34%的受访者打算专注于“消除那些已被云取代的高风险遗留软件”。
7、忽略新威胁出现的新闻
有关新漏洞或新出现威胁的首要警告往往是那些缺乏细节的简短公告。Lai表示,尽管这些早期报告提供的信息有限,但安全团队不应该忽视它们的重要性。实际上,追踪不同安全来源的新闻和新闻标题,来了解即将来临的事件是非常重要的。
他说:“要关注将要发生的事,虽然这不会提供任何的细节,但有助于更好地为此做准备,可以提前开始行动或做出计划”
8、响应每一个新威胁
另一方面, Forrester Research公司的高级分析师Erik Nost对CISO们发出警告:响应突发新闻之前,一定要事先对突发新闻进行评估,并判断该突发事件对自己组织的影响程度。
他表示,许多CISO越来越频繁地学习如何处理零日漏洞以及那些登上新闻头条的漏洞。识别哪些漏洞是新闻的轰动效应以及哪些漏洞真正会对自己组织造成实际威胁是一项挑战。但要求安全团队优先补救发送到收信箱中的或CEO在新闻中看到的所有漏洞并不是一个正确的选择。
Nost 指出,Cornell大学最近的一项分析显示,APT(高级持续攻击)利用已知漏洞的概率要大于利用零日漏洞的概率。因此CISO也应该考虑到威胁人员,以及APT是否有可能盯上自己的组织。”
他说,比起琢磨媒体正在报道的东西,安全团队更应该优先考虑采取积极的实际措施。
Nost补充道,团队的时间很紧迫。如果他们“打地鼠”一样地对推特上出现的每一个漏洞都进行响应的话,就会对评估自己组织面临的风险失去积极性,也就无法积极地根据组织对风险的接受程度来优先地修补那些更加严重的威胁和漏洞。一旦有零日漏洞或已知漏洞登上了新闻头条,安全团队仍需要对此采取行动,所以,组织应该具备对威胁进行评估的程序。
9、依靠过时的信息
Gartner 的董事会调查不仅显示大多数董事会如今都将网络安全问题视为一种风险,它还发现,大多数受访者(57%)在2021-2022年期间对风险的重视有所增加或者预期会增加。与此同时,每年新发现的漏洞数量仍在逐年增长。而典型企业的IT环境也在不断发展。
综上所述,这些观点都说明了CISO需要开发流程来重新审视和审查其组织用于漏洞修复优先级的算法。
Gray表示,公司往往不擅长管理漏洞的生命周期。其总是在增长,总是在变化,是一件需要不断关注的事情。
10、没有将安全性集成到开发中
Nocera表示,大多数组织并没有在开发过程中引入安全和安全设计原则,这导致了CISO和CIO错过了为其组织共同构建更加高效的漏洞管理程序的机会。
Nocera还说,尽早将安全问题引入到开发过程中(或者“左移”),有助于让CISO在代码投入生产之前抢先解决安全问题。这样也就减少了在环境中引入已知漏洞的概率。”
安全左移并不一定会减少漏洞管理的工作量,但如同下线遗留的系统和解决技术债务一样,它释放了资源,可以帮助团队优化他们的漏洞管理工作。
