应对不可修补安全性的挑战 [Q&A]
![应对不可修补安全性的挑战 [Q&A]](http://139.155.240.214:7031/wp-content/uploads/2025/02/b4eb80e55047c31be90b6f75010a46dd_news_20250226.jpg)
快速阅读: 据《Beta新闻》称,许多组织已具备识别可修补CVE的方案,但诸如配置错误等不可修补的安全问题仍为威胁行为者提供攻击途径。不可修补漏洞难以识别且常被传统评估忽视,需深入了解系统及业务逻辑。组织应基于业务影响分析优先处理关键漏洞,并实施主动测试和零信任框架以管理风险。自动化的渗透测试和安全验证服务有助于提高整体安全性。
许多组织已有解决方案来识别可修补的CVE,但如配置错误等不可修补的安全问题仍为威胁行为者提供了持续的攻击途径。我们采访了Pentera公司的现场首席信息安全官(CISO)詹马腾(Jason Mar-Tang),讨论了不可修补的安全问题与CVE之间的挑战、为何它们更难被识别、修复的挑战以及组织应实施哪些标准来应对这一挑战。
BN:可修补和不可修补的安全问题之间有哪些关键区别?
詹马腾(JMT):从基础层面来看,正如名称所示,可修补漏洞是指可以通过供应商提供的补丁或补丁管理策略相对简单解决的问题。而不可修补的漏洞则是指缓解措施不够直接和简单的漏洞。可修补安全问题是通过软件更新解决的漏洞,通常会用CVE(常见漏洞和暴露)标识。这些通常是软件库或操作系统中的编码缺陷或已知漏洞。一旦发现,责任在于供应商向用户提供补丁。CVE通常易于通过安全公告和漏洞扫描器/漏洞管理工具识别和跟踪。不可修补的问题是一系列漏洞的统称,这些问题源于软件补丁无法解决的因素,例如配置错误、过度权限、业务逻辑缺陷或不安全的系统架构。这些漏洞由于缺乏像CVE那样的标准化跟踪系统而不易被发现,并且即使应用了所有可用补丁,它们也可能仍然存在。它们难以捉摸,通常不会被自动化工具检测到,需要专门的、往往是手动的干预才能解决。
BN:为什么不可修补的漏洞如此难以识别,为什么它们在传统安全评估中经常被忽视?
詹马腾(JMT):不可修补的漏洞难以识别是因为这些问题本身可能根植于系统的工作方式。它们看起来是系统内的合法功能或配置,但实际上增加了组织的风险敞口。这使得它们很难被发现,因为没有像CVE那样的特定上下文相关的数字足迹作为警示标志,它们是特定上下文相关的,需要对系统和业务逻辑有深入了解。通常情况下,这是“通过利用发现”的过程。例如,在多个现场评估中我们看到的一个例子是,基础设施中的本地管理员密码被重复使用。即使密码本身符合最佳实践并包含复杂的字母、数字和特殊字符组合,密码的重复使用也会创建一个漏洞,如果被破解,将允许横向扩散。这不是可以“修补”的问题,但它确实需要重新思考、重新配置或特别缓解以纠正暴露。
BN:随着复杂环境日益普遍,这个问题如何演变?
詹马腾(JMT):如前所述,识别和修复不可修补的漏洞越来越困难,因为它需要对系统的工作方式及其存在的上下文有深入理解。在大型运营混合环境的组织中,这一挑战更加显著,因为组织整合了内部系统、云平台和边缘技术,每种都有其自身的复杂性。没有单一的个人或团队能够真正掌握这种多样化生态系统中的每一个组件,这使得有效识别和解决漏洞变得更加困难。除此之外,混合环境的相互连接性质又增加了一层复杂性。在一个区域修复漏洞可能会无意中影响另一个区域,这需要对依赖关系和潜在影响有细微的理解。随着这些环境变得越来越复杂,漏洞与缓解所需技能之间的差距正在扩大,使组织面临越来越多的暴露风险。
BN:组织如何在处理可修补漏洞和解决不可修补的安全漏洞之间取得平衡?
詹马腾(JMT):如果可能的话,优先级应该始终基于业务影响分析;评估如果被利用,哪个漏洞会对我的关键业务资产造成最大的负面影响。当然,这说起来容易做起来难,因为评估下游业务影响并不是一项简单的任务。Pentera的《2024年渗透测试状态报告》发现,只有34%的受访者将业务影响作为指导其修复策略的首要任务,这可能是因为其他方法更容易获得并且更容易实现,特别是对于较小的安全团队。例如,CVSS评分通常被纳入大多数漏洞管理解决方案的可见性指标,而漏洞对业务运营的下游影响评估则超出了大多数组织的能力范围。我们还建议采用另一种方法,即优先考虑真正可利用的漏洞而非理论上的。具体来说,传统的漏洞管理解决方案会枚举组织内所有的CVE,但其中只有很小一部分在组织环境中有可能被利用。如果安全团队花费时间修复每个高CVSS评分的关键漏洞,那么就会牺牲其他在环境中具有更大潜在影响的漏洞。实际上,安全和IT团队无法修复每一个问题,所以我们需要确保修复的是那些真正有影响的问题。
BN:组织是否应采取某些标准或最佳实践来更好地管理由不可修补漏洞和CVE带来的风险?
詹马腾(JMT):最终,这归结为主动的测试。组织需要测试其防御措施以应对黑客实际使用的战术、技术和程序(TTP)。从攻击者的视角看待我们的环境,使我们能够在它们被入侵之前,识别出可利用的安全漏洞,无论是可修补还是不可修补的。实施零信任框架是任何组织的重要步骤,但如果没有测试,就无法确认其有效性——你当然不希望让攻击者发现它的弱点。传统上,识别可利用安全漏洞的最佳方法是手动渗透测试和红队演习。如果测试人员能突破你的组织,恶意黑客也能做到。大多数企业已经在某种程度上进行测试,但他们面临的挑战是如何扩展这些测试。将手动渗透测试和红队努力扩展到覆盖现代IT环境并不是一个可行的选择,因为在当今攻击面规模上实现连续测试的成本是不现实的。如今,有一些安全解决方案提供自动化的渗透测试和安全验证服务,使得大规模测试和验证现有安全控制的有效性成为可能。随着安全团队迅速意识到每年一次或两次的合规性渗透测试留下五到十一个月未经测试的时期,这些解决方案变得越来越重要。事实上,Gartner的持续威胁暴露管理(CTEM)框架倡导持续测试和对手模拟以提高整体安全性。
图片来源:WrightStudio / depositphotos.com
(以上内容均由Ai生成)
