文章强调漏洞管理需变革,传统方法已失效。建议重新构建漏洞管理程序,纳入人员、工具、流程及管控,并利用现代工具如AI和威胁情报,关注运行时环境,实现高效风险降低。强调灵活性和情境感知,确保漏洞管理以正确方式进行。
译自:Turn Down the CVSS Noise: Use AI and Runtime Context to Silence Vulnerability Alarms
作者:Crystal Morin
说实话,现在是时候重新思考和构建漏洞管理方法了。
作为一名语言学家和情报分析师,我在美国空军和博思艾伦汉密尔顿公司工作了十多年,主要负责剖析对抗性策略和技术。我追踪过国家级威胁行为者,并帮助组织构建和维护在现代云原生时代有效的安全程序。在 Sysdig 工作的近三年里,我从 Sysdig 威胁研究团队的实际分析工作转向为更广泛的社区扩大安全趋势。我看到了团队快速适应和协调时取得的惊人成就。漏洞管理早就应该进行这种变革了。
20 多年来,漏洞管理一直是安全程序中不可或缺但令人沮丧的组成部分。尽管组织对此高度关注,并投入了大量时间、金钱和人力,但现实情况是,大多数漏洞管理程序并没有跟上对抗性策略和不断发展的技术的步伐。我们的安全团队一直被未修复的漏洞压得喘不过气来。每个组织都在重复着同样的主题:噪音太多,信号太少。如果一切都很重要,那就意味着一切都不重要。几十年后,我们仍然对漏洞管理感到沮丧,并且仍然暴露在外,这是有原因的。
虽然漏洞管理的机制基本相同——资产发现、扫描和分析、评分和优先级排序以及修复——但漏洞管理程序的范围已经大大扩展。在过去的二十年里,我们看到从本地基础设施到使用微服务和无服务器功能的多云服务的大规模迁移。现代运营复杂性加剧了我们在本地环境中始终未能完全解决的优先级排序和修复方面持续存在的挑战。
传统漏洞管理的失败
一些当前的漏洞管理方法仍然过于依赖过去不适用且无效的做法。太多被归类为“严重”和“高危”的漏洞并不值得我们认为的关注。我们都见过扫描结果显示,多年前在我们的运营环境中首次发现的严重风险从未得到修复。显然,它们并不像多年前的 CVSS 评分最初显示的那样“严重”。这并不是说这些分数本身是错误的,而是它们根本缺乏运营背景。
漏洞的实际可能性和影响被非上下文的 CVSS 基本分数所掩盖。即使对 CVSS 基本分数进行了改进,包括漏洞利用预测评分系统 (EPSS) 和 CISA 的已知被利用漏洞 (KEV) 目录,我们仍然像是在大海捞针。拥有数万个漏洞的组织并不是危险信号。事实上,这很正常。
负责确定漏洞优先级和修复的团队经常缺乏组织背景。漏洞管理的基本治理模式面临着安全团队进行时间点扫描,并将背景信息不足的结果传递给不堪重负的基础设施和运营 (I&O) 以及开发团队的挑战。这让每个人都注定要失败。
因此,漏洞的数量随着时间的推移而增加,而我们组织面临的真正相关风险却被忽视了。这些数字使得传统的“消除”(一种风险降低的委婉说法)方法变得徒劳。当出现问题时,这导致了高级领导和利益相关者(尤其是 CIO、CTO 和 CISO)之间的互相指责。随着监管要求和审计结果的出现,紧张局势持续加剧。
事实是:现状对任何人都没有好处,除了那些试图利用我们组织的威胁行为者。
如何重建您的漏洞管理程序
我们需要重新思考如何在我们的组织中实施和管理漏洞管理。漏洞管理需要的不仅仅是一个扫描资产以查找错误配置、未修补软件和暴露的工具。
漏洞管理应该是一个战略性程序,应该有自己定义的运营模式。该模型应包含关键变量,包括:
- 正确的资源组合,如人员、工具和自动化。
- 明确定义所有资源的角色和职责。
- 该程序的核心功能和工作流程。
- 该程序所需的 technical 和管理控制。
安全领导者应该为他们的团队制定新的行动计划,使组织更具弹性和安全性。通过建立明确的指导和期望,团队可以更快地行动,避免日后陷入危机模式,利益相关者可以确定验证程序状态和有效性所需的指标和数据点。
为漏洞管理起草目标运营模式是基础,但我们仍然需要为我们的团队提供更好的优先级排序。这首先要拒绝所有 CVE 都应受到同等对待的想法。我们需要更好的过滤器。
利用现代工具实现有效的风险降低
然而,实现更高保真度的漏洞优先级排序是有希望的。虽然我们可能会从静态扫描和其他类型的分析中发现漏洞,但并非所有 CVE 都会带来实质性风险,我们需要帮助我们的团队识别、确定优先级和修复那些确实存在的漏洞。最有效的方法之一是关注运行时上下文:那些实际在生产环境中运行的漏洞。
一些现代安全工具正在将漏洞数据的优先级排序和分析提升到一个新的水平。例如,通过使用自然语言查询,分析师可以接收运营背景以及 AI 辅助的对已发现的漏洞和错误配置的修复,这些漏洞和错误配置会使他们的组织面临风险。即时访问且实时的漏洞背景是安全团队的倍增器。利用可操作的威胁情报来补充 AI 衍生的洞察力,可以帮助安全分析师及其在 I&O 和开发部门的同事专注于真正重要的事情,并帮助他们领先一步。
我们现在看到了漏洞管理隧道尽头的光芒。我们可以从历史上与开发环境隔离的时间点扫描转变为紧密集成的分析,后者成为集成开发环境 (IDE) 和持续开发/持续交付 (CI/CD) 管道的一部分,从而提供持续的洞察力和与流程对齐的修复。从开发到生产,现代漏洞管理工具背后的工程能力都是为云原生现实而构建的。
通过包括无代理和轻量级代理在内的选项,我们的团队现在可以访问解决那些需要立即关注的优先级排序的漏洞和错误配置所需的遥测数据,无论它们存在于何处。精心设计的漏洞管理程序的价值在于它们能够根据情况需要进行自定义。在漏洞管理方面,灵活性和有效性是相辅相成的。
安全领导者依赖他们的团队和他们使用的工具来提供我们的组织所需的保证和弹性。他们不应该在速度和安全之间做出选择。漏洞管理已经过重新设计,旨在授权团队做出更好、更知情的风险决策。现代方法结合了 AI、威胁情报和漏洞数据,以提供灵活且具有上下文意识的建议,从而确保我们的漏洞管理以正确的方式完成。
现在是时候消除漏洞管理中的旧方法了。不再有噪音。不再有猜测。只有真正的风险降低。
