生命中只有三件事无可避免:死亡、税收和云安全漏洞。如今整个世界都已经开始往云端迁移,但是云安全(包括公有云和混合云)的安全漏洞却依然如牛皮癣广告般顽固。
事实上,云安全问题之所以持续发作,自有其难言之隐。在高度动态的云环境中管理风险和漏洞并不容易。而企业加速迁移(尤其是疫情期间)到公共云,建立数字化竞争优势的迫切需求进一步放大了这种风险。
更加糟糕的是,很多安全团队使用的实践方法、政策和工具,尤其是漏洞管理,通常是本地计算占主导地位的时代的产物,已经无法适应“云优先”和“云原生”环境。
如何解决这个问题呢?首先基于云应用程序安全最佳实践创建一个更好的漏洞管理系统,并能根据云环境的需求重新调整和改变传统漏洞管理体系。
传统漏洞管理的局限性
漏洞管理简单来说就是一个识别、分析、补救或缓解和报告系统与软件安全威胁的过程。漏洞评估需要定期进行,以评估现有的安全状况,以及漏洞管理计划是否需要更改。
全面且执行良好的漏洞管理系统对于管理和处理威胁,以及最大程度地减少攻击面至关重要。
除了遵循漏洞管理最佳实践之外,组织还需要正确的工具和解决方案。
漏洞扫描也许是最著名的漏洞管理工具,因为它在云和混合云安全中扮演着重要角色。如果您想减轻威胁,请经常分析安全环境,这一点很重要。自动扫描是当下的流行工具,因为它们工作效率高,可重复且易于使用。
但是,常规漏洞扫描存在一些重大缺陷:
- 它们通常会错过数据库以外的活跃威胁,或者超出其能力范围的更加复杂的威胁;
- 它们会产生误报,从而使防御者的雷达对关键威胁的敏感度降低;
- 它们还可能提供一种错误的安全感,如果扫描工具没有发现任何异常,我们可能会以为一切太平。
即使漏洞扫描按预期工作并识别出已分类的威胁,这项工作也只能算完成了一半。要了解威胁的范围,并根据特定场景对业务运营的严重性和影响力进行评估则是一项艰巨的任务,而传统的扫描工具由于缺乏必要的深度和复杂度而无法解决。
扫描与渗透测试并无可比性,后者远远超出了识别表面威胁的范畴。渗透测试可以识别漏洞并加以利用,从而更加全面地了解安全环境的状态,详细说明攻击者在发生漏洞时可能造成的所有损害。
当然,最根本的问题在于云环境中传统漏洞管理方法的局限性是显而易见的。云环境通常是高度动态且短暂的,容器的平均寿命仅为数小时。通过诸如漏洞扫描之类的常规工具来保护容器是困难的,有时甚至是不可能的。由于存在周期太短,扫描程序通常无法识别容器。更复杂的是,即便扫描工具能够识别正在运行的容器,通常也无法提供任何评估方法。如果没有IP地址或SSG登录,则无法运行凭据扫描。
下一代漏洞管理工具:BAS
尽管传统的漏洞管理难以应对云安全的某些核心挑战,但组织可以进行一些简单的更改来解决此问题。最根本的,也是具影响力的方法是部署实施功能更强大、更先进的工具来帮助保护系统和软件。例如突破和攻击模拟(BAS)平台。
BAS解决方案通过针对安全环境发起一系列不间断的模拟攻击来工作。这些模拟复制了APT和其他对手使用的可能的攻击路径和技术。
像渗透测试一样,这些工具不仅可以识别威胁,还可识别安全漏洞并显示漏洞可能造成的潜在破坏,从而更全面地了解漏洞管理的真实状态。
但是,与手动渗透测试不同,BAS工具以自动化和连续的方式工作。专为云环境和混合环境中而设计的BAS平台能够出色地防护临时对象。与传统的漏洞管理工具不同,BAS平台可以轻松适应云的动态性。除了识别威胁并列出可能的损害外,BAS平台还提供了基于优先级的缓解指南。
因此,计划对漏洞管理流程进行现代化升级的组织可能会发现,部署BAS解决方案是提高云安全能力最快,也是最有效的措施之一。
总结
如果我们想降低重大云安全事件的数量和损失,就必须创建一个能够真实反映组织所面临的实际安全挑战的漏洞管理流程。选择适当的工具只是实现这一目标的重要步骤之一。
通过摒弃无法应对动态环境的传统漏洞管理方法,企业可以快速改善公有云、混合云安全性,远离严重数据泄露事件的新闻头条。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】