生命中只有三件事無(wú)可避免：死亡、稅收和云安全漏洞。如今整個(gè)世界都已經(jīng)開(kāi)始往云端遷移，但是云安全(包括公有云和混合云)的安全漏洞卻依然如牛皮癬廣告般頑固。

事實(shí)上，云安全問(wèn)題之所以持續(xù)發(fā)作，自有其難言之隱。在高度動(dòng)態(tài)的云環(huán)境中管理風(fēng)險(xiǎn)和漏洞并不容易。而企業(yè)加速遷移(尤其是疫情期間)到公共云，建立數(shù)字化競(jìng)爭(zhēng)優(yōu)勢(shì)的迫切需求進(jìn)一步放大了這種風(fēng)險(xiǎn)。

[[376944]]

更加糟糕的是，很多安全團(tuán)隊(duì)使用的實(shí)踐方法、政策和工具，尤其是漏洞管理，通常是本地計(jì)算占主導(dǎo)地位的時(shí)代的產(chǎn)物，已經(jīng)無(wú)法適應(yīng)“云優(yōu)先”和“云原生”環(huán)境。

如何解決這個(gè)問(wèn)題呢?首先基于云應(yīng)用程序安全最佳實(shí)踐創(chuàng)建一個(gè)更好的漏洞管理系統(tǒng)，并能根據(jù)云環(huán)境的需求重新調(diào)整和改變傳統(tǒng)漏洞管理體系。

傳統(tǒng)漏洞管理的局限性

漏洞管理簡(jiǎn)單來(lái)說(shuō)就是一個(gè)識(shí)別、分析、補(bǔ)救或緩解和報(bào)告系統(tǒng)與軟件安全威脅的過(guò)程。漏洞評(píng)估需要定期進(jìn)行，以評(píng)估現(xiàn)有的安全狀況，以及漏洞管理計(jì)劃是否需要更改。

全面且執(zhí)行良好的漏洞管理系統(tǒng)對(duì)于管理和處理威脅，以及最大程度地減少攻擊面至關(guān)重要。

除了遵循漏洞管理最佳實(shí)踐之外，組織還需要正確的工具和解決方案。

漏洞掃描也許是最著名的漏洞管理工具，因?yàn)樗谠坪突旌显瓢踩邪缪葜匾巧?。如果您想減輕威脅，請(qǐng)經(jīng)常分析安全環(huán)境，這一點(diǎn)很重要。自動(dòng)掃描是當(dāng)下的流行工具，因?yàn)樗鼈児ぷ餍矢撸芍貜?fù)且易于使用。

但是，常規(guī)漏洞掃描存在一些重大缺陷：

• 它們通常會(huì)錯(cuò)過(guò)數(shù)據(jù)庫(kù)以外的活躍威脅，或者超出其能力范圍的更加復(fù)雜的威脅;
• 它們會(huì)產(chǎn)生誤報(bào)，從而使防御者的雷達(dá)對(duì)關(guān)鍵威脅的敏感度降低;
• 它們還可能提供一種錯(cuò)誤的安全感，如果掃描工具沒(méi)有發(fā)現(xiàn)任何異常，我們可能會(huì)以為一切太平。

即使漏洞掃描按預(yù)期工作并識(shí)別出已分類(lèi)的威脅，這項(xiàng)工作也只能算完成了一半。要了解威脅的范圍，并根據(jù)特定場(chǎng)景對(duì)業(yè)務(wù)運(yùn)營(yíng)的嚴(yán)重性和影響力進(jìn)行評(píng)估則是一項(xiàng)艱巨的任務(wù)，而傳統(tǒng)的掃描工具由于缺乏必要的深度和復(fù)雜度而無(wú)法解決。

掃描與滲透測(cè)試并無(wú)可比性，后者遠(yuǎn)遠(yuǎn)超出了識(shí)別表面威脅的范疇。滲透測(cè)試可以識(shí)別漏洞并加以利用，從而更加全面地了解安全環(huán)境的狀態(tài)，詳細(xì)說(shuō)明攻擊者在發(fā)生漏洞時(shí)可能造成的所有損害。

當(dāng)然，最根本的問(wèn)題在于云環(huán)境中傳統(tǒng)漏洞管理方法的局限性是顯而易見(jiàn)的。云環(huán)境通常是高度動(dòng)態(tài)且短暫的，容器的平均壽命僅為數(shù)小時(shí)。通過(guò)諸如漏洞掃描之類(lèi)的常規(guī)工具來(lái)保護(hù)容器是困難的，有時(shí)甚至是不可能的。由于存在周期太短，掃描程序通常無(wú)法識(shí)別容器。更復(fù)雜的是，即便掃描工具能夠識(shí)別正在運(yùn)行的容器，通常也無(wú)法提供任何評(píng)估方法。如果沒(méi)有IP地址或SSG登錄，則無(wú)法運(yùn)行憑據(jù)掃描。

下一代漏洞管理工具：BAS

盡管傳統(tǒng)的漏洞管理難以應(yīng)對(duì)云安全的某些核心挑戰(zhàn)，但組織可以進(jìn)行一些簡(jiǎn)單的更改來(lái)解決此問(wèn)題。最根本的，也是具影響力的方法是部署實(shí)施功能更強(qiáng)大、更先進(jìn)的工具來(lái)幫助保護(hù)系統(tǒng)和軟件。例如突破和攻擊模擬(BAS)平臺(tái)。

BAS解決方案通過(guò)針對(duì)安全環(huán)境發(fā)起一系列不間斷的模擬攻擊來(lái)工作。這些模擬復(fù)制了APT和其他對(duì)手使用的可能的攻擊路徑和技術(shù)。

像滲透測(cè)試一樣，這些工具不僅可以識(shí)別威脅，還可識(shí)別安全漏洞并顯示漏洞可能造成的潛在破壞，從而更全面地了解漏洞管理的真實(shí)狀態(tài)。

但是，與手動(dòng)滲透測(cè)試不同，BAS工具以自動(dòng)化和連續(xù)的方式工作。專(zhuān)為云環(huán)境和混合環(huán)境中而設(shè)計(jì)的BAS平臺(tái)能夠出色地防護(hù)臨時(shí)對(duì)象。與傳統(tǒng)的漏洞管理工具不同，BAS平臺(tái)可以輕松適應(yīng)云的動(dòng)態(tài)性。除了識(shí)別威脅并列出可能的損害外，BAS平臺(tái)還提供了基于優(yōu)先級(jí)的緩解指南。

因此，計(jì)劃對(duì)漏洞管理流程進(jìn)行現(xiàn)代化升級(jí)的組織可能會(huì)發(fā)現(xiàn)，部署B(yǎng)AS解決方案是提高云安全能力最快，也是最有效的措施之一。

總結(jié)

如果我們想降低重大云安全事件的數(shù)量和損失，就必須創(chuàng)建一個(gè)能夠真實(shí)反映組織所面臨的實(shí)際安全挑戰(zhàn)的漏洞管理流程。選擇適當(dāng)?shù)墓ぞ咧皇菍?shí)現(xiàn)這一目標(biāo)的重要步驟之一。

通過(guò)摒棄無(wú)法應(yīng)對(duì)動(dòng)態(tài)環(huán)境的傳統(tǒng)漏洞管理方法，企業(yè)可以快速改善公有云、混合云安全性，遠(yuǎn)離嚴(yán)重?cái)?shù)據(jù)泄露事件的新聞?lì)^條。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文