利用威胁情报主动缓解新出现的网络漏洞

随着数字化使用的增加, 网络犯罪也在迅速增长, 随着勒索软件的逐年激增, 网络钓鱼和恶意软件攻击.¹ 安全领导人正在努力应对攻击频率和复杂性上升等挑战, 需要保护的攻击面不断扩大, 而且缺乏熟练的网络安全专家来管理防御.² 网络安全专业人员必须设计积极主动的策略，将威胁情报集成到他们的漏洞管理流程中. 这使他们能够及时应对和缓解不断增加的各种网络攻击和漏洞，以提高他们的整体安全状况.

漏洞管理流程

漏洞类似于打开的门或窗户，黑客可以利用这些门或窗户闯入组织的系统并窃取敏感数据, 中断操作, 或者造成其他类型的损害. 通过管理漏洞, 组织可以减轻安全漏洞的风险并保护其数据, 声誉和财力. 漏洞管理涉及识别组织计算机系统中的弱点或缺陷, 软件或应用程序, 并在黑客利用之前采取措施修复或修补这些弱点.³

漏洞管理过程是识别和减轻组织中的漏洞的系统方法. 其目的是通过减少攻击面和在漏洞被利用之前解决漏洞来最大限度地降低安全漏洞的风险, 从而保护组织资产, 数据和声誉. 这个过程的步骤一般包括:⁴

• Discovery-识别IT资产和系统中的漏洞.
• 评估-使用自动化工具或手动测试检测漏洞.
• 优先级-根据漏洞的严重程度和潜在影响对漏洞进行排名.
• 修复—实施补丁管理等多方位策略, 安全配置和访问控制措施，以减轻已识别的漏洞.
• 验证-确认适当的漏洞解决方案.
• 监控-持续检测和管理新的漏洞.

发现漏洞的常用方法

有效发现漏洞是漏洞管理过程的第一步. 如果不能确定漏洞，就会妨碍启动缓解进程. 组织通常使用多种方法和工具来发现漏洞，例如:

• 漏洞扫描-扫描工具可用于定期扫描网络, 已知漏洞的系统和应用程序. 这些工具通常依赖于已知漏洞的数据库来识别目标环境中的潜在安全弱点.
• 手工测试—Scanning tools may miss some vulnerabilities; therefore, additional tests should be performed. 这种方法包括使用知识组合来模拟真实世界的攻击场景, 发现安全弱点的经验和创造力.
• 安全审计-安全审核可用于评估组织的信息系统和安全控制，以确定其有效性和对相关法规的遵从性, 标准和政策. 审计可以帮助识别系统配置等方面的漏洞, 访问控制和安全策略
• 事件响应-如果发生安全事故，应调查根本原因. 这通常会导致发现以前未知的漏洞. 从事件中吸取的经验教训可用于改善组织的安全状况，并防止将来发生类似的事件.

组织通常不考虑威胁 智力是他们的常规组成部分 漏洞管理策略.

These approaches certainly have benefits; however, they may be considered somewhat passive. 可能存在某些限制，例如:

• 有限的范围-这些方法通常关注已知的漏洞. 他们可能无法发现新的或正在出现的威胁, 零日漏洞或高级威胁参与者使用的复杂攻击技术.
• 自然反应-这些方法通常在漏洞已经被引入环境之后识别漏洞. 结果是, 组织只能对识别出的漏洞做出反应，而不是主动阻止它们的发生.
• 耗费时间的-手动测试和安全审计可能是耗时且资源密集的过程. 它们可能无法覆盖整个攻击面或有效地解决快速变化的威胁形势.
• 假阳性和假阴性-扫描工具可能产生假阳性或假阴性. 这可能会导致资源浪费或虚假的安全感.
• 对人类专业知识的依赖-这些方法严重依赖网络安全专业人员的专业知识. 缺乏熟练的专家可能会限制这些方法的有效性.

应用这些方法只是有效的漏洞管理程序的一部分. 除了这些措施, 将威胁情报集成到漏洞管理过程中势在必行, 建立主动防御和安全控制，先发制人地检测和防止安全威胁.

威胁情报

组织通常不会将威胁情报作为其漏洞管理策略的常规组成部分. 威胁情报包括收集, 分析和共享有关可能影响组织网络的潜在或当前网络威胁的信息, 系统或数据. 威胁情报的主要目的是使组织能够主动识别和处理潜在的安全风险和漏洞.⁵ 威胁情报可以从各种来源获得, 包括安全供应商, 开源情报, 社交媒体和暗网监控.

威胁情报通过及时提供，可以极大地帮助发现组织IT环境中的漏洞, 有关潜在和现有网络威胁的相关和可操作的信息. 它在识别漏洞方面的有效性取决于组织维护更新的技术库存列表和拥有有效的库存管理系统,⁶ 这需要正确的资产分类，及时更新和明确的责任分配. 这些实践共同创造了以下好处:

• 全面的可见性-维护良好的技术库存管理系统提供了所有硬件的清晰视图, 组织内的软件和网络资产. 这种可见性使组织能够将威胁情报数据映射到特定资产, 确保识别和解决相关的漏洞.
• 上下文感知优先级-组织的技术环境是否被充分理解, 威胁情报可以为漏洞优先级排序提供有价值的上下文. 当它与最新的库存相结合时, 组织可以专注于解决构成最高风险的关键系统或应用程序中的漏洞, 使漏洞管理工作更有针对性和效率.
• 及时性和准确性-更新的技术清单使组织能够从最新的威胁情报中受益, 由于威胁形势的迅速变化，哪个是至关重要的. 随时了解新出现的威胁和漏洞, 组织可以积极主动地保护其IT环境.

将威胁情报集成到网络安全战略中对于加强威胁检测和漏洞管理工作至关重要.

将威胁情报集成到网络安全战略中对于加强威胁检测和漏洞管理工作至关重要. 通过保持最新的技术库存和订阅威胁情报服务, 组织可以更有效地查明其基础设施中的漏洞. 这种方法使组织能够根据其安全状态做出明智的决策，并有效地确定修复工作的优先级, 减少他们对耗时的扫描和审查过程的依赖, 尤其是在处理各种各样的技术时.

结论

网络安全专业人员必须制定有效的策略来增强安全性，并解决他们面临的越来越多的攻击和漏洞. 通过将威胁情报集成到他们的漏洞管理策略中, 组织可以更主动、更快速、更有效地识别和减轻其IT系统和应用程序中的漏洞, 减少安全漏洞的风险，保护他们的资产, 数据和声誉.

Endnotes

¹ CyberEdge集团 2022网络威胁防御报告美国，2022年; http://cyber-edge.com/cyberthreat-defense-report-2022/
² (ISC)²,(ISC)² 网络安全劳动力研究:在文化和工作场所演变的一年里，对网络安全专业人员的迫切需求仍然存在美国，2022年; http://media.isc2.org/-/media/Project/ISC2/Main/Media/documents/research/ISC2-Cybersecurity-Workforce-Study-2022.pdf
³ Dildy, T. J; “澳门赌场官方下载 Vulnerability Management,” ISACA^® Journal, vol. 2, 2017, http://qhmy.ngskmc-eis.net/archives
⁴ Souppaya, M.; K. Scarfone; National Institute of Standards and Technology (NIST) Special Publication (SP) 800-40 Rev. 4 澳门赌场官方下载补丁管理计划指南:技术的预防性维护美国，2022年; http://csrc.nist.gov/pubs/sp/800/40/r4/final
⁵ 巴内特,P.; “How to Use Cyberthreat Intelligence to Proactively Reduce Cyberrisk,ISACA澳门赌场官方软件, 2022年11月22日, http://qhmy.ngskmc-eis.net/resources/news-and-trends/industry-news/2022/how-to-use-cyberthreat-intelligence-to-proactively-reduce-cyberrisk
⁶ 阿,Sharkasi. Y.; “Addressing 网络安全 Vulnerabilities,” ISACA杂志, vol. 5, 2015, http://qhmy.ngskmc-eis.net/archives

T. W. kwan | ph.D.、cisa、csp、ctp、cqa、isp、PMP

作为网络安全初创公司Intellect Technologies的联合创始人 专门为组织提供有效的防范 数字的威胁. 拥有30年丰富的IT职业生涯 在各个领域积累了丰富的经验和知识 领域，例如IT治理、遵从性、风险管理、 信息安全，质量保证和系统开发.