關注網絡安全的企業大都很熟悉這樣的場景:幾乎每天都會通過安全媒體和網絡安全廠商接收到非常多的漏洞資訊,并且會被建議盡快修複。盡管越來越多的企業對網絡安全的投入逐年增加,但第一時間修複所有漏洞,仍然是一件非常有挑戰的事。
對于企業而言,修複漏洞不僅需要專業人才的資源配給,還會涉及對業務的影響,但放任漏洞不在第一時間修複,又總擔心會造成重大安全事故。在資訊爆炸時代,企業面臨的安全問題已經不僅僅是如何發現安全問題,還包括,如何對每天接收的海量漏洞提醒進行漏洞修複的優先級排序。
為了幫助企業在第一時間修複最重要的漏洞,更好地保護企業網絡安全,阿裡雲·雲盾安騎士增加了基于漏洞所在資産實際情況的漏洞真實影響分析功能,幫助使用者從海量漏洞中找到真實有風險的漏洞,為使用者的漏洞修複優先級決策提供支援,協助漏洞修複。
從漏洞真實影響分析開始到網絡安全的“私人訂制”
漏洞真實影響分析即一個漏洞對企業目前網絡環境的真實影響,安騎士對漏洞真實影響分析是通過漏洞的最終風險得分來進行衡量。
漏洞的最終風險得分會進行四個次元的考量:漏洞的CVSS得分 x 時間因子 x 使用者實際環境因子 x 資産重要性因子
軟體漏洞的CVSS基礎分:這個因子來源于該漏洞的CVSS2/3基礎分。也就是漏洞的本身的嚴重性評分。
時間因子:即影響漏洞帶來風險的時間因素。時間因子是為了彌補CVSS分的不足,綜合了漏洞緩解措施被部署的時間延遲,和漏洞利用方法的普及因素的一條動态變化曲線。
距離漏洞爆發的時間不同,漏洞的影響也會有比較大的差異,比如在漏洞公開的前三天漏洞的曝光量較大,但漏洞利用難度可能會比較大;随着時間的推移,對漏洞成熟的利用手段将越來越多,漏洞實際利用難度在下降。在這兩個時間段内漏洞的真實影響是有一定的差距的。
使用者的實際環境因子:使用者的實際環境對判斷漏洞真實影響至關重要,安騎士會對該漏洞利用所需的條件和使用者機器的情況進行綜合考慮,得出一個風險乘數。例如:目前機器是否有公網流量,漏洞是否是遠端利用的漏洞還是鄰網利用的漏洞,不同的條件結合得出得風險系數會有差異。
使用者的資産重要性:當使用者的機器很多時,可以為不同的機器/資産賦予目前使用場景下的重要性分值,我們将把使用者自定義的分值納入漏洞修複建議分的計算當中,為使用者有序修複漏洞提供有價值的參考
最終,在一系列的算法後完全融合了這四個次元的影響因子,得出漏洞的最終風險得分的結論,也就意味着安騎士給出企業的每一個漏洞修複建議,都是充分考慮根據企業的自身情況的高度定制化安全建議。
看似不可能完成的網絡安全治理也不再是難題
試想一個場景:作為企業的安全的負責人,在某重要大會前夕接到要求對公司資訊安全進行治理,從實際上解決以前欠下的安全“債務”,需要在一周内對已有的高危漏洞進行修複。
在控制台上可以看到已經掃描出了上萬個軟體漏洞,其中一個典型的高危漏洞是 DNSMASQ 棧溢出漏洞(CVE-2017-14491)。這個漏洞可以直接從外部發起攻擊,直接導緻伺服器被攻擊者控制,也有公開且成熟的利用方式,利用難度較低,這樣的漏洞威脅非常大,是需要及時進行修複的漏洞。但該漏洞存在于許多伺服器上,修複過程涉及到重新開機DNS這種關鍵基礎設施,漏洞修複工作需要謹慎進行。
一方面是上萬個的漏洞上千台的機器,另一個方面是公司的IT部門負責資訊安全的人力是有限,如何在一周内盡可能的修複掉最能帶來危害的漏洞呢?
如果依靠傳統的方式,僅DNSMASQ這一個漏洞的修複,需要的時間可能都會超過一周。這場資訊安全治理任務将會是一場異常艱難的“戰役”,甚至有可能無法完成。
如果這個企業使用了安騎士,情況就會大不一樣了。以案例中的漏洞為例,安騎士的修複建議功能通過漏洞真實影響分析,能快速計算出漏洞真實受到影響較大的機器,在非常短的時間内給出企業修複排序的有效建議。不僅如此,其他的上萬個漏洞都會進行真實影響計算,過濾掉不需要在第一時間修複的漏洞,最終将能幫助企業聚焦精力,讓看似無法完成的資訊安全治理任務也能在規定時間内完成。
漏洞真實影響分析能為企業帶來的不僅是網絡安全治理的高效,“私人訂制”的漏洞管理也隻是一個開始。安騎士緻力通過智能學習和了解業務,讓安全不再是企業的負擔,讓業務無後顧之憂更快發展。