译者 | 晶颜
审校 | 重楼
漏洞管理已经成为应用程序安全的一个重要方面。漏洞管理缺失的后果可能十分严重,正如一些引人注目的漏洞所证明的那样。2021年,由未修补的Apache Struts漏洞(CVE-2017-5638)导致的Equifax数据泄露致使1.47亿人的敏感数据泄露,造成了7亿美元的和解赔偿。
同样是在2021年,对Log4Shell漏洞(CVE-2021-44228)的利用影响了微软、亚马逊和苹果等公司,导致全球修复成本预计远超100亿美元。
2022年,LastPass的开发环境因一个未修补的Plex漏洞遭到破坏,导致密码库被盗,造成了严重的声誉损害和客户流失。
下述多项权威研究都强调了投资漏洞管理的重要性:
- IBM的《数据泄露成本报告》显示,与没有自动化安全流程的组织相比,完全部署了安全自动化(包括漏洞管理)的组织所经历的泄露成本平均低305万美元。
- Gartner关于《漏洞管理最佳实践》的研究表明,采用基于风险的方法的组织比那些只依赖定期扫描的组织少经历80%的漏洞。
- 波耐蒙研究所(Ponemon Institute)的《漏洞管理状态》研究显示,漏洞修补周期超过30天的组织被攻破的可能性要高出50%。
- NIST的《国家漏洞数据库(NVD)统计数据》显示,新的漏洞持续增加,突出了对强大漏洞管理的需求正日益增长。
尽管有如此多的警示性故事,许多组织仍然无法实现一个有效的、与开发生命周期同步的漏洞管理过程。VMware的一份报告显示,78%的受访组织在2021年至少遭遇过两次勒索软件攻击,未修补的漏洞是主要的攻击媒介。本文提供了一种构建和自动化漏洞管理管道的实用方法,该管道可以识别安全问题,帮助确定优先级并有效地修复它们。
了解现代漏洞管理
现代漏洞管理不仅仅是简单的漏洞扫描和修补。它需要一种与你的开发生命周期无缝集成的系统方法,提供对安全漏洞的持续监视、评估和补救,以跟上新漏洞出现的速度。一个有效的漏洞管理管道应该解决三个关键方面:
- 对跨应用程序的所有层进行持续的漏洞检测
- 基于风险评估的智能优先级
- 在可能的情况下实现自动修复
构建漏洞管理管道
第一步:全面扫描策略
要点概述
- 在源代码、依赖项和容器之间实现多层扫描
- 配置扫描器,以便在CI/CD管道期间自动执行
- 确保SAST和SCA工具的全面覆盖
任何漏洞管理管道的基础都是针对应用程序堆栈多层的强大扫描策略。源代码扫描形成了第一道防线,其中静态应用程序安全测试(SAST)工具,如SonarQube, Checkmarx或Snyk能够在拉取请求期间分析你的代码库。这些工具应该配置为增量扫描,以减少扫描时间,同时保持有效性,检查可能导致安全问题的安全漏洞和代码质量问题。
依赖项扫描在严重依赖第三方包的现代应用程序中同样至关重要。软件组合分析(SCA)工具提供了对直接依赖关系和传递依赖关系的洞察。这种全面的方法有助于识别脆弱的组件,这些组件可能位于依赖关系树的深处。现代SCA工具还可以帮助检查许可证合规性,从而提供额外的风险管理层。
在当今的云原生环境中,容器安全性也不容忽视。在CI/CD管道中实现容器映像扫描可确保在部署之前检测到基本映像和添加层中的漏洞。Trivy、Aqua Security或Snyk Container等工具可以识别容器内操作系统包和应用程序依赖项中的已知漏洞。
步骤2:智能优先排序框架
要点概述
- 将外部威胁情报与内部风险度量相结合
- 关注可利用性和业务影响,而不仅仅是CVSS分数
- 基于组织的特定上下文实现自定义评分
随着检测到的漏洞数量的增加,在不增加开发团队工作量的情况下,有效的优先级对于维护安全性变得至关重要。智能优先级框架从外部威胁情报集成开始,结合CVE分数和CVSS指标,同时考虑现实世界的攻击尝试。这些数据应不断更新,以反映最新的威胁情况和漏洞利用的可用性。
基于风险的评分构成了优先级框架的核心。这包括评估受影响组件的业务影响及其暴露级别,无论它们是面向内部还是面向外部。该框架还应考虑补偿性控制,并根据多个因素计算自定义风险评分。这些包括CVSS基本分数、资产关键性、漏洞利用可用性、补丁可用性和业务上下文。这种全面的评分可以帮助安全团队专注于对其组织构成最大现实风险的漏洞。
步骤3:自动化修复
要点概述
- 部署带有测试保障的自动化依赖更新工具
- 实现带有回滚功能的自动补丁管理工作流
- 将安全修复程序集成到现有的开发过程中
自动化对于跨大型代码库和组织有效地扩展漏洞管理是必不可少的。像Dependabot或Renovate这样的工具可以实现自动依赖更新,自动创建非中断更新的拉取请求。这些工具应该配置为运行自动化测试来验证更新,并为关键依赖项实现逐步推出策略。
补丁管理自动化不仅仅是简单的更新。它包括为补丁应用程序、测试和回滚过程创建自动化工作流。这种自动化应该与你的开发工作流程无缝集成,自动为修复创建分支,并管理安全更新的整个生命周期。与问题跟踪系统的集成确保了安全问题的适当可见性和跟踪,以及基于代码所有权的自动票据创建和分配。
衡量成功的关键指标
在流程结束之前,重要的是建立指标来验证漏洞管理管道的有效性。这些关键指标主要包括以下几点:
- 平均检测时间(MTTD):跟踪识别新漏洞的速度。
- 平均补救时间(MTTR):测量从检测到修复的平均时间。
- 修复率:监控SLA内修复的漏洞的百分比。
- 风险降低:随时间跟踪总体风险评分的降低情况。
结语
在当今的威胁环境中,构建有效的漏洞管理管道不再是可有可无的选项。本文中概述的方法——实现全面扫描、智能优先级和自动修复——为组织提供了一种可以适应其特定需求的框架。成功的关键在于不再将漏洞管理作为周期性任务,而是作为集成到开发生命周期中的连续过程。
组织必须认识到,实现强大的漏洞管理管道的成本远远低于安全漏洞的潜在影响。正如前面引用的实际案例和行业研究所证明的那样,未修补的漏洞仍然是主要的攻击媒介,会导致重大的财务和声誉损失。
具体来说,组织可以通过如下步骤来改进漏洞管理流程:
- 首先对当前的安全状态和工具进行评估;
- 在转向自动化之前,执行基本的扫描和优先级排序;
- 通过率先解决高风险、易修复的漏洞,专注于快速获胜;
- 随着流程的成熟,逐步扩大覆盖范围和自动化程度。
请记住,漏洞管理不仅仅是安全团队的责任,它需要安全、开发和运营团队之间的协作。通过遵循本文中概述的实用方法并持续关注改进流程,组织可以在保持开发速度的同时显著降低其安全风险。
漏洞管理的未来在于进一步的自动化,与开发工作流程更好的集成,以及使用人工智能和机器学习实现更复杂的优先级排序。但是,本文中概述的基本原则对于构建强大的安全基础仍然至关重要。
原文标题:A Practical Approach to Vulnerability Management: Building an Effective Pipeline,作者:Mayank Singhi
