面对企业网路基础架构日益复杂,漏洞管理及修补的资安事务比过往更加消耗企业资源;骇客也时刻找寻,并利用漏洞入侵企业系统架构,以获取情资或部署攻击。谁能最快速修补漏洞或藉此发动攻击,便成为资安风险管理的重要关键。
|
趋势科技指出漏洞管理三要点:针对自身场域制定修补流程、提升可视性、关注资安情报。 |
为此,趋势科技在今年共同主办的CYBERSEC 2024台湾资安大会中,针对不同垂直产业应用场域漏洞所面临的独特挑战,提出4大漏洞生命周期样态,带领现代企业审视自身场域制定修补流程机制;同时呼吁企业应增强资安设备的可视性,并随时关注漏洞资安情报,方能即时有效评估并降低曝险。
如今修补漏洞已不仅是一项技术工作,更是一场全面的战略行动,涉及组织内部的流程、资源分配和资安文化的建立。然而,漏洞管理的生命周期从发现漏洞、发布补丁、到修补完成的每个阶段,企业应根据自身独特场域特性和资安需求制定相应举措,强化前期预防,并将漏洞管理模式区分为以下4种类型:
1. 典型漏洞管理模式:传统软体供应商如微软、思科和苹果等,通常会遵循定期发布修补程式的惯例。惟从发现漏洞、通知厂商、揭露漏洞并提供补丁,直到实际套用完成更新,约须耗费长达3~10个月时间,足以让骇客准备进攻,企业资安亦危机四伏。
2. 敏捷漏洞管理模式:为了更快回应环境中的漏洞风险,包括Google等云端服务供应商会采取更敏捷的策略来执行修补更新作业,须随时保持灵活性,以免手忙脚乱。
3. 客户部署导向漏洞管理模式:诸如工控与自动化厂商在管理漏洞时,会优先考量如何协助其客户快速部署修补更新,而非对外揭露漏洞。因此,公共漏洞揭露资料库(Common Vulnerabilities and Exposures,CVE)较难以发挥价值,企业反而须透过付费型的漏洞管理协议,来强化其纵深防御策略。
4. 无线软体更新OTA漏洞管理模式:如终端行动装置、汽车供应商,常透过无线软体更新(On The Air;OTA)方式向客户发布补丁。却常因地缘区域有别,即使厂商已完成修补更新,对於终端用户是否确实完成修补更新的掌握度低、延迟部署到终端装置,也容易会引发骇客入侵攻击。
趋势科技威胁研究??总裁,亦是全球最大「非限定厂商独立漏洞悬赏计画Zero Day Initiative(ZDI)负责人Brian Gorenc表示:「当今产业面对漏洞揭露和修补时,不仅需要依照其不同的资安场域需求制定相应策略,以确保其适切性,还需要根据所在行业的揭露模式进行风险评估,以提高防范能力。
此外,随着生成式AI不断迭代的大势,未来的漏洞威胁将变得更加棘手。要想在面对漏洞攻击时拉高风险防御线,须透过专业工具的协助,以提高对资安可视性的掌握;并於骇客攻击前,就预先发现可能的资安破囗,方能达到预防与防御的协同效应。
趋势科技台湾区总经理洪伟淦表示:「漏洞修补是资安风险管理中相当重要的一环,当今企业为抵挡日益严峻的外部威胁,投入许多心力在强化侦测回应能力上。但对於如漏洞管理、权限控管等,帮助强化自身资安体质的基本工作却相对欠缺。获得风险可视性并进行管理的有效机制,导致有越来越多的资安破囗,为骇客增加入侵的机会。」
此外,企业也面临资产设备增多、系统架构日趋复杂、资料串接频繁所导致曝险面积扩大的问题。对於企业所面临的困难挑战,企业唯有着眼於将资安布局『左移』,即在风险早期阶段就采取行动,搭配全面的侦测及回应,掌握风险预防与威胁情。才能对内部破囗与外部威胁做全方位的资安风险控管,为资安防御力施打预防针,有效抵御骇客威胁。
趋势科技Trend Vision One平台则能为企业侦测重大漏洞,透过检查所有受影响的端点,同时考量安全控制和配置、威胁活动以及暴露情况,提供企业整体风险及可能遭受的冲击评估。这有助於企业识别未修补或配置错误的系统,以及有风险的用户行为、优先考虑漏洞修复措施、降低攻击的潜在严重性及通知安全远程访问。