7 月 25 日,网络、安全和服务提供商领域的 11 家科技行业领导者发起了网络弹性联盟,以解决网络硬件和软件弹性的持续缺乏问题。该联盟正在通过鼓励及时更新和修补以及更好的沟通来解决这个问题。
网络弹性联盟成员包括 AT&T、博通、BT Group、思科、Fortinet、Intel、瞻博网络、Lumen Technologies、Palo Alto Networks、Verizon 和 VMware。其目标是提供开放和协作的技术,以帮助提高整个行业网络硬件和软件的安全性。
该联盟隶属于网络安全政策与法律中心,是一个非营利组织,致力于提高网络、设备和关键基础设施的安全性,目前该联盟的重点将放在那些可能已经达到了生命周期,或者已经被忽视了安全补丁或更换的较旧的路由器、交换机和防火墙上。
“我们看到了许多针对报废和超出保修设备、软件和通信平台的攻击,目标包括路由器、虚拟化软件和防火墙。这些产品都有补丁,但由于各种原因,这些补丁没有被应用,而是被敌对方利用,”网络安全政策和法律中心协调员 Ari M. Schwartz 在发布会上表示。
“如果我们要解决这个问题,我们就需要共同努力。这就是网络弹性联盟的目标——共同努力推荐需要由软件和硬件供应商、通信平台和政策制定者实施的解决方案。”
网络安全和基础设施安全局 (CISA) 执行助理主任Eric Goldstein也表示,这项工作应该是全球技术供应商和政府之间的合作。
“这样做可以最大限度地减少许多最终用户组织的负担,特别是那些在 CISA 中被我们称为‘目标丰富、资源匮乏’的组织,”他说,这些最终用户组织需要找出哪些产品已经终止服务,然后想办法修复它们,但他们不一定知道该给谁打电话,也不一定有更换或升级这些设备的资源,这对他们来说是一种负担。“对手利用这一负担为自己谋利,”他说。
到今年年底,该联盟打算发布一份报告,在通信平台上共同解决与报废和超出保修期设备相关的问题,并寻找未来需要关注的其他类似领域。在这份报告中,联盟成员将共同努力,针对技术提供商、技术用户以及负责制定或监管安全政策的人员,提出可操作的建议,以改善网络安全。
网络弹性联盟的目标
在网络安全领域,最普遍的问题之一是未能及时应用补丁。
思科高级副总裁兼首席安全和信任官Brad Arkin指出,有一种情况一直在发生,取证显示恶意对手能够控制被遗忘或忽视的网络设备,他们的方法是利用一个有补丁的漏洞,通常在攻击发生前几年就有补丁可用。
他举了一个例子,思科在2017年发布了公共补丁,并在2018年初更新了安全公告,以展示该漏洞的利用情况。然而五年后的2023年,许多组织依旧没有采取必要的预防措施。
在另一个例子中,Bishop Fox 的一项研究发现了一个严重漏洞 ( CVE-2023-27997 ),Fortinet 最初于今年 6 月识别并发布了补丁,但近一个月后,近 70% 的漏洞受影响的防火墙设备仍未修补。
“我们的设备到处都是,有些可能是通过世界某个角落的合作伙伴出售的,他们永远不会收到我们的信息。我感兴趣的是(我们)能做些什么,让更多人明白,这些设备可以打补丁,如果不打补丁,你就会暴露在正在进行的各种攻击中,”瞻博网络安全事件响应团队高级主管Derrick Scholl表示。
漏洞管理是大型企业面临的一个持续挑战。最近一份关于DevSecOps漏洞管理状况的报告发现,在634名IT和IT安全从业人员中,超过一半的人积压了超过100,000个漏洞。54%的受访者表示,他们能够修补的漏洞还不到积压漏洞的50%,大多数受访者(78%)表示,他们环境中的高风险漏洞需要超过三周的时间来修补。77% 的受访者表示,仅检测、优先处理和修复生产中的一个漏洞就需要超过 21 分钟。
报告指出,未解决问题的主要原因包括无法确定需要修复的优先级(47%)、缺乏有效的工具(43%)、缺乏资源(38%)以及关于利用漏洞的风险的信息不足(45%)。
一旦出现漏洞,企业的成本就会攀升。根据 IBM Security 的年度数据泄露成本报告, 2023 年全球数据泄露的平均成本将达到 445 万美元,比过去三年增加 15% 。
网络弹性联盟现在提供了解决所有这些问题的机会,将制造产品的供应商、使用产品的客户等多方结合在一起,共同解决这个问题。
声明:本文来自SDNLAB,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。