傳統漏洞管理已死
生命中只有三件事無可避免:死亡、稅收和云安全漏洞。如今整個世界都已經開始往云端遷移,但是云安全(包括公有云和混合云)的安全漏洞卻依然如牛皮癬廣告般頑固。
事實上,云安全問題之所以持續發作,自有其難言之隱。在高度動態的云環境中管理風險和漏洞并不容易。而企業加速遷移(尤其是疫情期間)到公共云,建立數字化競爭優勢的迫切需求進一步放大了這種風險。
更加糟糕的是,很多安全團隊使用的實踐方法、政策和工具,尤其是漏洞管理,通常是本地計算占主導地位的時代的產物,已經無法適應“云優先”和“云原生”環境。
如何解決這個問題呢?首先基于云應用程序安全最佳實踐創建一個更好的漏洞管理系統,并能根據云環境的需求重新調整和改變傳統漏洞管理體系。
傳統漏洞管理的局限性
漏洞管理簡單來說就是一個識別、分析、補救或緩解和報告系統與軟件安全威脅的過程。漏洞評估需要定期進行,以評估現有的安全狀況,以及漏洞管理計劃是否需要更改。
全面且執行良好的漏洞管理系統對于管理和處理威脅,以及最大程度地減少攻擊面至關重要。
除了遵循漏洞管理最佳實踐之外,組織還需要正確的工具和解決方案。
漏洞掃描也許是最著名的漏洞管理工具,因為它在云和混合云安全中扮演著重要角色。如果您想減輕威脅,請經常分析安全環境,這一點很重要。自動掃描是當下的流行工具,因為它們工作效率高,可重復且易于使用。
但是,常規漏洞掃描存在一些重大缺陷:
- 它們通常會錯過數據庫以外的活躍威脅,或者超出其能力范圍的更加復雜的威脅;
- 它們會產生誤報,從而使防御者的雷達對關鍵威脅的敏感度降低;
- 它們還可能提供一種錯誤的安全感,如果掃描工具沒有發現任何異常,我們可能會以為一切太平。
即使漏洞掃描按預期工作并識別出已分類的威脅,這項工作也只能算完成了一半。要了解威脅的范圍,并根據特定場景對業務運營的嚴重性和影響力進行評估則是一項艱巨的任務,而傳統的掃描工具由于缺乏必要的深度和復雜度而無法解決。
掃描與滲透測試并無可比性,后者遠遠超出了識別表面威脅的范疇。滲透測試可以識別漏洞并加以利用,從而更加全面地了解安全環境的狀態,詳細說明攻擊者在發生漏洞時可能造成的所有損害。
當然,最根本的問題在于云環境中傳統漏洞管理方法的局限性是顯而易見的。云環境通常是高度動態且短暫的,容器的平均壽命僅為數小時。通過諸如漏洞掃描之類的常規工具來保護容器是困難的,有時甚至是不可能的。由于存在周期太短,掃描程序通常無法識別容器。更復雜的是,即便掃描工具能夠識別正在運行的容器,通常也無法提供任何評估方法。如果沒有IP地址或SSG登錄,則無法運行憑據掃描。
下一代漏洞管理工具:BAS
盡管傳統的漏洞管理難以應對云安全的某些核心挑戰,但組織可以進行一些簡單的更改來解決此問題。最根本的,也是具影響力的方法是部署實施功能更強大、更先進的工具來幫助保護系統和軟件。例如突破和攻擊模擬(BAS)平臺。
BAS解決方案通過針對安全環境發起一系列不間斷的模擬攻擊來工作。這些模擬復制了APT和其他對手使用的可能的攻擊路徑和技術。
像滲透測試一樣,這些工具不僅可以識別威脅,還可識別安全漏洞并顯示漏洞可能造成的潛在破壞,從而更全面地了解漏洞管理的真實狀態。
但是,與手動滲透測試不同,BAS工具以自動化和連續的方式工作。專為云環境和混合環境中而設計的BAS平臺能夠出色地防護臨時對象。與傳統的漏洞管理工具不同,BAS平臺可以輕松適應云的動態性。除了識別威脅并列出可能的損害外,BAS平臺還提供了基于優先級的緩解指南。
因此,計劃對漏洞管理流程進行現代化升級的組織可能會發現,部署BAS解決方案是提高云安全能力最快,也是最有效的措施之一。
總結
如果我們想降低重大云安全事件的數量和損失,就必須創建一個能夠真實反映組織所面臨的實際安全挑戰的漏洞管理流程。選擇適當的工具只是實現這一目標的重要步驟之一。
通過摒棄無法應對動態環境的傳統漏洞管理方法,企業可以快速改善公有云、混合云安全性,遠離嚴重數據泄露事件的新聞頭條。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
