在采访中,Nucleus Security的首席执行官Steve Carter讨论了漏洞管理方面持续存在的挑战,包括漏洞优先级排序和解决补丁延迟问题。
Carter还谈到了合规要求以及自动化如何简化漏洞管理流程。
尽管技术不断进步,你认为为什么像漏洞优先级排序和补丁延迟这样的挑战仍然存在?
企业基础设施日益复杂、攻击面不断扩大以及漏洞和暴露检测能力的提高,都导致必须进行分类的发现数量急剧增加。例如,我们已接近发布25万个CVE,年增长率为16%。大多数企业既没有充足的人员配备,也没有适当的技术来应对源源不断的漏洞。在很多方面,这是一场数字游戏,安全团队根本跟不上。
基于风险的漏洞管理越来越受到重视。你对于有效确定漏洞优先级有哪些建议策略?
关键在于建立一个涵盖所有类型漏洞、暴露和安全发现的全企业优先级排序流程。漏洞扫描器和态势管理工具在严重等级评定和风险评分方面并不一致,因此不能用于一致的优先级排序方法。必须明确对于每个企业来说,漏洞或安全发现必须满足哪些条件才能被归类为严重或高风险。
漏洞情报可以为安全团队提供确定哪些漏洞需要他们关注的必要细节。例如,了解漏洞是否正在被积极利用、哪些威胁行为者正在使用它,以及是否有可用的补丁,可以帮助漏洞管理分析师确定威胁级别。将这一情报与企业既定的风险阈值进行权衡,就为决策提供了坚实的基础。
合规要求对漏洞管理策略有何影响,企业常常忽视哪些合规挑战?
在医疗保健、金融服务和政府等高度监管的行业,合规通常通过规定漏洞缓解时间表和施加专门的报告要求来影响漏洞管理策略。漏洞检测和暴露管理能力已经扩展,现在包括身份、数据管理和SaaS系统的评估,这显著增加了必须跟踪和报告的发现数量和类型,而安全和合规团队往往忽视了这一点。
监管的一个不幸但常见的后果是,它往往成为安全工作的唯一焦点。企业在追求合规的过程中,可能会选择成本最低的路线,这对整体安全计划可能是有害的。至关重要的是,不要忽视最终目标:最大限度地降低风险并保护企业最关键的资产。
自动化通常被视为解决漏洞管理挑战的方案。你认为自动化在哪些方面影响最大,又有哪些局限性?
提高自动化程度是扩展漏洞和暴露管理程序的唯一途径。自动化可以产生的最大影响之一在于漏洞和安全发现的统一、丰富和企业。这些是优先级排序过程中最耗时的步骤,而且手动执行时极易出错。这些步骤的自动化使得漏洞分类和优先级排序能够采用一致的方法。
自动化在推动包括开票和事件响应在内的补救工作流程方面也极具影响力。历史上,补救和缓解活动的任务分配是手动执行的,因为每个企业都有自定义的工作流程来确定谁应该修复漏洞、何时应该完成修复、需要什么信息等。现在已有技术可以自动化这些流程并跟踪补救直至完成,从而加速了这一过程并消除了人为错误。
在漏洞管理的背景下,自动化的最大局限性在于响应漏洞检测而进行的补丁和配置更改的完全自动化。特别是在运营环境中,更新某些关键应用程序和服务必须严格管理,以避免中断。
你认为近期有哪些新兴的漏洞管理趋势是企业需要为不久的将来做准备的?
公开披露的漏洞数量不断增加,而且没有停止的迹象。我们预计,AI发现开源软件和商业产品中漏洞的能力只会加剧这一问题。此外,我们预计由于攻击者使用AI,漏洞利用时间(披露后)将缩短。企业必须制定一项战略和计划,使其能够在全企业范围内加快漏洞分类和响应时间,以适应这种不断发展的威胁环境。
