鉴于及时修复困难重重,需要修复或缓解的新漏洞又层出不穷,漏洞管理公司Rezilion委托波耐蒙研究所调查研究漏洞管理状况。
波耐蒙研究所主席Larry Ponemon称:“调查收到了634名IT和安全从业人员的回复。受访者主要位于北美,其所属企业均制定了有效的DevSecOps计划。从技术上讲,调查结果的误差约为3.5%。”
Ponemon最为关切的是,不到一半的受访者(47%)认为自己的开发团队“能够提供增强的客户体验和安全的应用程序”。
问题可能源于该研究的主要发现之一:公司面对的是系统中积压的10万个漏洞。不是所有漏洞都可以利用:事实上,其中85%都无法实际利用。话虽如此,仍有1.5万个漏洞需要修复,工作量大到可怕。
Rezilion首席执行官Liran Tancman称:“问题的根源在于检测、确定优先级和修复每个漏洞所需的时间。超过半数的受访者(77%)称每个漏洞需要21分钟。”
算一下就可以知道,即使仅检测可利用漏洞,此后也需要花费430天每天12小时的人工,才能清除这些积压的漏洞。而且每天还有源源不断的新漏洞出现,这种方法明显不可持续。
Tancman表示,研究呈现的所有统计数据的重点在于,受访者认为自己缺乏足够的工具来解决问题,唯一真正的解决方案是自动化。
他表示:“仅仅梳理企业积压的大量漏洞,就会耗费无数时间和金钱。如果积压了超过10万个漏洞,想想人工检测、排序和修复这些漏洞花费的分钟数,可不就是意味着每年要花几千小时在积存漏洞管理上?这些数字清楚表明,如果没有适当的工具进行自动检测、排序和修复,就不可能有效管理积存的漏洞。”
只依赖第三方关键漏洞列表于事无补。Tancman以CISA KEV(已知被利用漏洞)列表为例。“当然,这是个很好的起点。”他说道,“但是,就拿KEV列表中的Log4J(CVE-2021-44228)来说。我们从客户处得知,他们大概有1万个Log4J事件,但他们的环境中只有100个是可利用的。漏洞确实存在,但易受攻击的特定功能它没运行啊。”
Tancman的观点是,此类漏洞列表是不错的起点。“但是,接下来,了解环境中哪些程序真正运行,哪些只是躺那儿啥都不干,是过滤漏洞列表的一种方法。”他随后提到了“影子软件”——存在于系统中但由于其打包方式而无法被传统扫描器检测到的软件,这种软件会造成进一步的麻烦。
检查应用中包含哪些组件时,可以从软件物料清单(SBOM)着手。“但是SBOM的帮助有限。”Tancman说道,“例如,你看不到容器里的东西,而且很多时候还是嵌套的。所以,我们Rezilion不仅查看文件系统,还检查内存。我们查看执行的一切,细致到函数级别。即使采用了特殊打包方式,我们仍会看到。”
Rezilion的自动化漏洞解决方案主要做三件事。“首先,我们创建动态的软件物料清单,你可以将之插入自己的环境里,立即就能查看环境中的所有软件。”Tancman表示,“你可以搜索Log4J,马上就能知道都在哪儿。”
第二件事是漏洞验证。“使用我们的运行时智能,我们不仅了解你环境中有些什么,而且知道这些东西都在干什么,怎么执行的。”而这种方法通常表明,大约85%的漏洞都不需要修复,因为就算存在于环境中,但这些漏洞既不可攻击,又不可利用。
“所以,我们拿到10万个积压的漏洞,缩减到1.5万个待处理的漏洞。然后,我们用智能修复帮助客户处理这些漏洞。我们经常遇到的是,如果按软件组件对这些漏洞进行分组,你可以创建策略,只需触及100个组件,就可以排除1万个漏洞。于是,我们创建出能够减少必做事项数量的智能修复策略,还帮你自动化应用这一策略。我们会自动检测、排序和修复这些漏洞。如今,我们能够帮助每位客户大幅减少积压的漏洞,削减幅度达85%~95%。”
《lDevSecOps漏洞管理状况》
https://www.rezilion.com/wp-content/uploads/2022/09/Ponemon-Rezilion-Report-Final.pdf
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。