企業需要關注安全和風險管理
調研機構最近發布的一份2019年度網絡安全違規調查報告表明,網絡安全已日益成為企業的優先考慮事項。在2019年進行的調查中,78%的受訪者(2018年為74%)表示將其列為高度優先事項。32%的受訪者表示發現網絡安全漏洞或遭遇攻擊。這類統計數據令人關注,但這些企業還需要關注其他一些事項,因為這超出了其安全預算。隨著漏洞的增加,企業在安全方面的投資不僅僅在于阻止這些網絡攻擊,安全防護也應該是關于如何更快速、更有效地查找和修復企業基礎設施中的已知軟件漏洞,這就是所謂的漏洞管理。
調查發現,軟件漏洞數量正在增加,僅在2020年,漏洞數據庫(NVD)就發現了400多個新漏洞。對于大多數企業而言,快速修復這些漏洞的能力仍然是一個挑戰。根據調研機構發布的《2019年DevOps狀態報告》(SODOR),只有32%的受訪者表示,能夠在一小時至不到一天的時間內修復嚴重的安全漏洞;只有7%的受訪者表示,能夠在不到一小時的時間內對其進行修復。這是一個大問題,因為長時間不修復關鍵漏洞將使黑客有時間獲得更多具有價值的信息。
對于管理人員和工作人員來說,對已知漏洞的安全性和緩解風險的關注應該成為更大的優先事項。問題在于,漏洞管理工作流程(從安全團隊運行的漏洞報告到IT運營商完成的漏洞修復)是分散且人工實施的,這使得漏洞修復速度很慢,并使IT基礎設施暴露于外部攻擊的時間過長。仍然有很多企業允許安全團隊將敏感數據發送給IT團隊,以修復他們在系統中發現的所有漏洞。根據調研機構波洛蒙公司的研究,IT運營部門平均每周花費320個小時來進行一次漏洞修復。
隨著人們進入一個以軟件為中心的世界,網絡攻擊數量將會繼續增長,并且企業生產和使用的軟件漏洞數量將會增加。如果沒有針對企業如何主動、大規模地修復已知漏洞的計劃,那么企業聲譽和財務受損的機會就會增加。
那么,企業如何才能增強其安全性配置文件,使其免受漏洞攻擊并應對日益增長的威脅?
運營環境的標準化和自動化
隨著技術的發展,IT領域變得越來越復雜,導致ITOpps的工作量要比人工完成的還要多,尤其是在技術人才短缺的情況下。解決此問題的一種方法是采用DevOps實踐,以盡可能少的技術實現標準化,這也對提高安全性有好處。使用更少的操作系統,企業再也不需要查看影響選擇刪除的操作系統的漏洞,而且可以處理的漏洞數量也更少。
使用標準化技術,使企業的環境自動化是管理其不斷增長的資產的有效方法,并允許在發現漏洞時更快地進行補救。DevOps的另一項原則(在可能的情況下進行自動化)有利于提高安全性,因為自動化執行人工實施的安全性流程(例如補丁和更新)通常是重復和耗時的,并且可能會被遺忘,從而消除了人為錯誤的風險。一旦發現漏洞,解決問題的速度便是最重要的,而自動化則是快速和大規模反應的一種方法。在日常工作中,基本的網絡安全檢查非常適合于機器操作,使安全專家有時間尋找威脅和漏洞,而這正是人類擅長的事情,可以發現看起來很奇怪或不合適的事物并找出存在的漏洞。
遵循基于風險的方法來確定首先要修復的內容
信息安全和信息技術專業人員以嚴重程度為基礎處理漏洞的日子已經一去不復返了。現代專業人士現在面臨著一項艱巨的任務,即決定不進行補救的內容。實際上,只有那些可能對企業造成實質性損害的漏洞才能得到解決。因此,現代專業人員必須采用基于風險的優先權。
基于風險的方法考慮了漏洞的嚴重性以及服務器或計算機的場景和嚴重性。可能會問這個漏洞容易被利用嗎?這個漏洞是否已廣為人知?是否有廣泛可用的漏洞攻擊工具包?暗網上是否有關于該漏洞的討論?該漏洞是否會影響業務基礎設施的關鍵部分?如果對這些問題的答案是肯定的,那么企業現在就應該進行補救。
通過使用自動化和一致的信息作為安全性和IT之間的通用語言,企業可以更好地了解其系統中最容易受到攻擊的部分,從而可以相應地確定優先級。遵循基于風險的方法,可以糾正可能對企業造成很大影響和傷害的漏洞,例如任何種類的財務軟件、健康記錄甚至客戶數據庫。
縮小差距
如今,軟件為IT世界提供了強大的動力,這意味著許多使用軟件的企業都面臨潛在的安全漏洞。此外,通常存在的軟件漏洞是由人為錯誤引起的,盡管它們可能不是惡意的,但如果被利用,則會嚴重損害企業的運營和發展。企業需要確保早日消除軟件漏洞并盡快解決問題,這對其運營非常有利。當企業盡早減輕安全風險時,IT Ops可以大規模地減少漏洞數量。
但是,很多公司仍在嘗試通過人工修復漏洞,鑒于可能存在一些隱秘的漏洞,這種做法幾乎是不可能的,因此很容易受到網絡攻擊。一個良好的解決方案是自動化漏洞修復,從而消除漏洞管理工作流程中的重復性和容易出錯的步驟,例如,消除在信息安全和IT Ops之間進行人工數據移交的潛在錯誤。
如果企業基礎設施中重要的部分存在大量漏洞,那么需要采用更有效的網絡安全防御措施。現在建立強大的漏洞管理實踐,可以幫助企業避免可能導致慘重損失的錯誤。
