譯者 | 晶顏

審校 | 重樓

漏洞管理已經(jīng)成為應(yīng)用程序安全的一個重要方面。漏洞管理缺失的后果可能十分嚴重，正如一些引人注目的漏洞所證明的那樣。2021年，由未修補的Apache Struts漏洞（CVE-2017-5638）導(dǎo)致的Equifax數(shù)據(jù)泄露致使1.47億人的敏感數(shù)據(jù)泄露，造成了7億美元的和解賠償。

同樣是在2021年，對Log4Shell漏洞（CVE-2021-44228）的利用影響了微軟、亞馬遜和蘋果等公司，導(dǎo)致全球修復(fù)成本預(yù)計遠超100億美元。

2022年，LastPass的開發(fā)環(huán)境因一個未修補的Plex漏洞遭到破壞，導(dǎo)致密碼庫被盜，造成了嚴重的聲譽損害和客戶流失。

下述多項權(quán)威研究都強調(diào)了投資漏洞管理的重要性：

• IBM的《數(shù)據(jù)泄露成本報告》顯示，與沒有自動化安全流程的組織相比，完全部署了安全自動化（包括漏洞管理）的組織所經(jīng)歷的泄露成本平均低305萬美元。
• Gartner關(guān)于《漏洞管理最佳實踐》的研究表明，采用基于風險的方法的組織比那些只依賴定期掃描的組織少經(jīng)歷80%的漏洞。
• 波耐蒙研究所（Ponemon Institute）的《漏洞管理狀態(tài)》研究顯示，漏洞修補周期超過30天的組織被攻破的可能性要高出50%。
• NIST的《國家漏洞數(shù)據(jù)庫（NVD）統(tǒng)計數(shù)據(jù)》顯示，新的漏洞持續(xù)增加，突出了對強大漏洞管理的需求正日益增長。

盡管有如此多的警示性故事，許多組織仍然無法實現(xiàn)一個有效的、與開發(fā)生命周期同步的漏洞管理過程。VMware的一份報告顯示，78%的受訪組織在2021年至少遭遇過兩次勒索軟件攻擊，未修補的漏洞是主要的攻擊媒介。本文提供了一種構(gòu)建和自動化漏洞管理管道的實用方法，該管道可以識別安全問題，幫助確定優(yōu)先級并有效地修復(fù)它們。

了解現(xiàn)代漏洞管理

現(xiàn)代漏洞管理不僅僅是簡單的漏洞掃描和修補。它需要一種與你的開發(fā)生命周期無縫集成的系統(tǒng)方法，提供對安全漏洞的持續(xù)監(jiān)視、評估和補救，以跟上新漏洞出現(xiàn)的速度。一個有效的漏洞管理管道應(yīng)該解決三個關(guān)鍵方面：

1. 對跨應(yīng)用程序的所有層進行持續(xù)的漏洞檢測
2. 基于風險評估的智能優(yōu)先級
3. 在可能的情況下實現(xiàn)自動修復(fù)

構(gòu)建漏洞管理管道

第一步：全面掃描策略

要點概述

1. 在源代碼、依賴項和容器之間實現(xiàn)多層掃描
2. 配置掃描器，以便在CI/CD管道期間自動執(zhí)行
3. 確保SAST和SCA工具的全面覆蓋

任何漏洞管理管道的基礎(chǔ)都是針對應(yīng)用程序堆棧多層的強大掃描策略。源代碼掃描形成了第一道防線，其中靜態(tài)應(yīng)用程序安全測試（SAST）工具，如SonarQube， Checkmarx或Snyk能夠在拉取請求期間分析你的代碼庫。這些工具應(yīng)該配置為增量掃描，以減少掃描時間，同時保持有效性，檢查可能導(dǎo)致安全問題的安全漏洞和代碼質(zhì)量問題。

依賴項掃描在嚴重依賴第三方包的現(xiàn)代應(yīng)用程序中同樣至關(guān)重要。軟件組合分析（SCA）工具提供了對直接依賴關(guān)系和傳遞依賴關(guān)系的洞察。這種全面的方法有助于識別脆弱的組件，這些組件可能位于依賴關(guān)系樹的深處。現(xiàn)代SCA工具還可以幫助檢查許可證合規(guī)性，從而提供額外的風險管理層。

在當今的云原生環(huán)境中，容器安全性也不容忽視。在CI/CD管道中實現(xiàn)容器映像掃描可確保在部署之前檢測到基本映像和添加層中的漏洞。Trivy、Aqua Security或Snyk Container等工具可以識別容器內(nèi)操作系統(tǒng)包和應(yīng)用程序依賴項中的已知漏洞。

步驟2：智能優(yōu)先排序框架

要點概述

1. 將外部威脅情報與內(nèi)部風險度量相結(jié)合
2. 關(guān)注可利用性和業(yè)務(wù)影響，而不僅僅是CVSS分數(shù)
3. 基于組織的特定上下文實現(xiàn)自定義評分

隨著檢測到的漏洞數(shù)量的增加，在不增加開發(fā)團隊工作量的情況下，有效的優(yōu)先級對于維護安全性變得至關(guān)重要。智能優(yōu)先級框架從外部威脅情報集成開始，結(jié)合CVE分數(shù)和CVSS指標，同時考慮現(xiàn)實世界的攻擊嘗試。這些數(shù)據(jù)應(yīng)不斷更新，以反映最新的威脅情況和漏洞利用的可用性。

基于風險的評分構(gòu)成了優(yōu)先級框架的核心。這包括評估受影響組件的業(yè)務(wù)影響及其暴露級別，無論它們是面向內(nèi)部還是面向外部。該框架還應(yīng)考慮補償性控制，并根據(jù)多個因素計算自定義風險評分。這些包括CVSS基本分數(shù)、資產(chǎn)關(guān)鍵性、漏洞利用可用性、補丁可用性和業(yè)務(wù)上下文。這種全面的評分可以幫助安全團隊專注于對其組織構(gòu)成最大現(xiàn)實風險的漏洞。

步驟3：自動化修復(fù)

要點概述

1. 部署帶有測試保障的自動化依賴更新工具
2. 實現(xiàn)帶有回滾功能的自動補丁管理工作流
3. 將安全修復(fù)程序集成到現(xiàn)有的開發(fā)過程中

自動化對于跨大型代碼庫和組織有效地擴展漏洞管理是必不可少的。像Dependabot或Renovate這樣的工具可以實現(xiàn)自動依賴更新，自動創(chuàng)建非中斷更新的拉取請求。這些工具應(yīng)該配置為運行自動化測試來驗證更新，并為關(guān)鍵依賴項實現(xiàn)逐步推出策略。

補丁管理自動化不僅僅是簡單的更新。它包括為補丁應(yīng)用程序、測試和回滾過程創(chuàng)建自動化工作流。這種自動化應(yīng)該與你的開發(fā)工作流程無縫集成，自動為修復(fù)創(chuàng)建分支，并管理安全更新的整個生命周期。與問題跟蹤系統(tǒng)的集成確保了安全問題的適當可見性和跟蹤，以及基于代碼所有權(quán)的自動票據(jù)創(chuàng)建和分配。

衡量成功的關(guān)鍵指標

在流程結(jié)束之前，重要的是建立指標來驗證漏洞管理管道的有效性。這些關(guān)鍵指標主要包括以下幾點：

• 平均檢測時間（MTTD）：跟蹤識別新漏洞的速度。
• 平均補救時間（MTTR）：測量從檢測到修復(fù)的平均時間。
• 修復(fù)率：監(jiān)控SLA內(nèi)修復(fù)的漏洞的百分比。
• 風險降低：隨時間跟蹤總體風險評分的降低情況。

結(jié)語

在當今的威脅環(huán)境中，構(gòu)建有效的漏洞管理管道不再是可有可無的選項。本文中概述的方法——實現(xiàn)全面掃描、智能優(yōu)先級和自動修復(fù)——為組織提供了一種可以適應(yīng)其特定需求的框架。成功的關(guān)鍵在于不再將漏洞管理作為周期性任務(wù)，而是作為集成到開發(fā)生命周期中的連續(xù)過程。

組織必須認識到，實現(xiàn)強大的漏洞管理管道的成本遠遠低于安全漏洞的潛在影響。正如前面引用的實際案例和行業(yè)研究所證明的那樣，未修補的漏洞仍然是主要的攻擊媒介，會導(dǎo)致重大的財務(wù)和聲譽損失。

具體來說，組織可以通過如下步驟來改進漏洞管理流程：

1. 首先對當前的安全狀態(tài)和工具進行評估；
2. 在轉(zhuǎn)向自動化之前，執(zhí)行基本的掃描和優(yōu)先級排序；
3. 通過率先解決高風險、易修復(fù)的漏洞，專注于快速獲勝；
4. 隨著流程的成熟，逐步擴大覆蓋范圍和自動化程度。

請記住，漏洞管理不僅僅是安全團隊的責任，它需要安全、開發(fā)和運營團隊之間的協(xié)作。通過遵循本文中概述的實用方法并持續(xù)關(guān)注改進流程，組織可以在保持開發(fā)速度的同時顯著降低其安全風險。

漏洞管理的未來在于進一步的自動化，與開發(fā)工作流程更好的集成，以及使用人工智能和機器學(xué)習(xí)實現(xiàn)更復(fù)雜的優(yōu)先級排序。但是，本文中概述的基本原則對于構(gòu)建強大的安全基礎(chǔ)仍然至關(guān)重要。

原文標題：A Practical Approach to Vulnerability Management: Building an Effective Pipeline，作者：Mayank Singhi