近日，Skybox Security發(fā)布《2022年漏洞和威脅趨勢(shì)報(bào)告》(以下簡(jiǎn)稱“報(bào)告”)，對(duì)當(dāng)前不斷上升的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、持續(xù)增加的漏洞管理需求進(jìn)行了分析和研究。

報(bào)告研究者認(rèn)為：在網(wǎng)絡(luò)威脅局勢(shì)快速演變的過(guò)程中，組織不能再用傳統(tǒng)的工具、過(guò)時(shí)的漏洞處置方法來(lái)應(yīng)對(duì)未來(lái)的網(wǎng)絡(luò)威脅，以傳統(tǒng)掃描和修補(bǔ)為主的安全手段，不僅緩慢、隨意、費(fèi)力、燒錢，而且在面對(duì)層出不窮的新安全威脅時(shí)，往往難以發(fā)揮作用。

報(bào)告研究背景

新冠肺炎疫情在全球肆虐，許多組織紛紛遷移到云計(jì)算，IT和OT資產(chǎn)急劇增多，攻擊面隨之大幅擴(kuò)大。與此同時(shí)，新型威脅急劇增多，攻擊越來(lái)越頻繁，而且規(guī)模之大前所未有。重大泄密事件在安全行業(yè)屢見(jiàn)不鮮，甚至涉及社會(huì)民生的關(guān)鍵基礎(chǔ)設(shè)施都受到攻擊。

除此之外，網(wǎng)絡(luò)安全組織在人員配備上持續(xù)嚴(yán)重不足，多數(shù)受訪安全負(fù)責(zé)人認(rèn)為，技能缺乏導(dǎo)致組織更難滿足安全方面的要求，更難有效地應(yīng)對(duì)各種事件。近期愈演愈烈的“辭職熱潮”進(jìn)一步加劇了人才短缺的現(xiàn)狀。安全團(tuán)隊(duì)在保護(hù)更廣大的邊界遠(yuǎn)離越來(lái)越多的威脅，同時(shí)面臨更復(fù)雜、資源更緊張的局面。

在今年的報(bào)告中，客觀展現(xiàn)了當(dāng)前信息安全官(CISO)及其團(tuán)隊(duì)面臨的新挑戰(zhàn)。報(bào)告指出目前許多組織仍然依賴速度慢、費(fèi)力氣、零碎、基本上被動(dòng)的漏洞管理方法。而另一方面，則是零日漏洞數(shù)量快速增長(zhǎng)，企業(yè)檢測(cè)并響應(yīng)網(wǎng)絡(luò)攻擊所需的平均時(shí)間延長(zhǎng)到了280天。調(diào)查結(jié)果還顯示，相比較安全防護(hù)人員，今天的網(wǎng)絡(luò)攻擊者變得更擅長(zhǎng)借助一系列新的技術(shù)手段，包括新型的惡意軟件和漏洞來(lái)發(fā)起攻擊。

報(bào)告關(guān)鍵發(fā)現(xiàn)

(1) 新漏洞數(shù)量快速增長(zhǎng)

報(bào)告數(shù)據(jù)顯示，2021年公布的新漏洞共有20175個(gè)，比2020年的18341個(gè)大幅上升。這是迄今所報(bào)告的單年數(shù)量最多的漏洞，自2018年以來(lái)同比增幅最大的一年。新漏洞導(dǎo)致累計(jì)漏洞總數(shù)很龐大，因而安全團(tuán)隊(duì)比以往任何時(shí)候更難確定問(wèn)題的優(yōu)先級(jí)并解決問(wèn)題。

(2) OT威脅進(jìn)一步加劇

運(yùn)營(yíng)技術(shù)(OT)中的漏洞從2020年的690個(gè)猛增至2021年的1295個(gè)，增幅達(dá)88%。與此同時(shí)，OT資產(chǎn)越來(lái)越多地連接到網(wǎng)絡(luò)，關(guān)鍵基礎(chǔ)設(shè)施及其他關(guān)鍵系統(tǒng)因而暴露在外。針對(duì)OT系統(tǒng)發(fā)動(dòng)的攻擊顯著增多，干擾了組織的業(yè)務(wù)運(yùn)營(yíng)，甚至危及健康和安全。

(3) 新的惡意軟件層出不窮

惡意軟件團(tuán)伙不斷推出新型的惡意軟件，尤其是加密貨幣劫持程序和勒索軟件程序，兩者分別猛增75%和42%。這些程序使威脅分子更容易發(fā)動(dòng)攻擊，并迅速牟利。它們表明了惡意軟件開(kāi)發(fā)人員響應(yīng)新的市場(chǎng)機(jī)會(huì)和經(jīng)濟(jì)動(dòng)因有多靈活。

(4) 攻擊者和漏洞利用工具在迅速變化

漏洞猛增的同時(shí)，我們看到整個(gè)網(wǎng)絡(luò)威脅領(lǐng)域也在迅速變化。網(wǎng)絡(luò)犯罪已成為一個(gè)龐大的新興行業(yè)，威脅分子通過(guò)一大批專門的產(chǎn)品和服務(wù)實(shí)施各種攻擊，另外還有龐大的基礎(chǔ)設(shè)施為秘密進(jìn)行的溝通、協(xié)作和金融交易提供便利。

(5) 威脅分子更迅速地利用漏洞

如今在外面被利用的新漏洞的數(shù)量猛增24%，這使得網(wǎng)絡(luò)犯罪分子利用新漏洞的機(jī)會(huì)更多，留給安全團(tuán)隊(duì)在遭到攻擊之前檢測(cè)和應(yīng)對(duì)漏洞的時(shí)間更短了。

(6) 模式轉(zhuǎn)變：從檢測(cè)和響應(yīng)變?yōu)閮?yōu)先考慮和預(yù)防

該報(bào)告描述的趨勢(shì)指明了一個(gè)不可回避的結(jié)論：傳統(tǒng)漏洞管理策略已與當(dāng)前的現(xiàn)狀完全脫節(jié)。以掃描和修補(bǔ)為主的方法太緩慢、太隨意、太費(fèi)力、太燒錢。它們無(wú)法揪出許多實(shí)際的威脅，同時(shí)又將寶貴的資源白白浪費(fèi)在虛假警報(bào)上。

威脅應(yīng)對(duì)建議

組織的網(wǎng)絡(luò)安全人員迫切需要采用新一代工具和技術(shù)，由被動(dòng)滅火改為積極預(yù)防，由采取手動(dòng)做法改為使用自動(dòng)化以提高效率，由隨意的權(quán)宜之計(jì)改為有系統(tǒng)、全面且持續(xù)地降低風(fēng)險(xiǎn)。

新興的漏洞生命周期管理涉及這四大部分：

(1) 全面發(fā)現(xiàn)：聚合來(lái)自所有資產(chǎn)(包括IT、OT和云)及網(wǎng)絡(luò)各個(gè)角落的數(shù)據(jù)。這不僅需要主動(dòng)掃描，還需要無(wú)需掃描的檢測(cè)，結(jié)果可以全方位洞察攻擊面。

(2) 精準(zhǔn)確定優(yōu)先級(jí)：漏洞數(shù)據(jù)整合到網(wǎng)絡(luò)模型中，隨后分析該數(shù)據(jù)以揭露暴露的風(fēng)險(xiǎn)。綜合分析暴露的風(fēng)險(xiǎn)、危險(xiǎn)程度、被利用的機(jī)率和資產(chǎn)重要性，以計(jì)算精確的風(fēng)險(xiǎn)分?jǐn)?shù)，便于精準(zhǔn)確定優(yōu)先級(jí)。

(3) 針對(duì)性緩解和修復(fù)：自動(dòng)化工具可識(shí)別和推薦有效又實(shí)用的措施，以應(yīng)對(duì)和降低風(fēng)險(xiǎn)。這些措施不僅限于打補(bǔ)丁，還包括配置變更、網(wǎng)絡(luò)隔離及更多方面。這使組織即便在補(bǔ)丁不切實(shí)際或沒(méi)有補(bǔ)丁的情況下也能預(yù)防或限制攻擊(包括零日攻擊)。

(4) 長(zhǎng)期監(jiān)管：自動(dòng)化工具可幫助安全人員實(shí)施和維護(hù)補(bǔ)救措施。工具可自動(dòng)生成工單、跟蹤性能和服務(wù)級(jí)別協(xié)議(SLA)、向團(tuán)隊(duì)告知需要更新的變更，以及確保問(wèn)題得到了及時(shí)處理。

參考鏈接：https://www.skyboxsecurity.com/wp-content/uploads/2022/04/skyboxsecurity-vulnerability-threat-trends-report-2022_041122.pdf