其他
合理化威胁排序的五个顶级漏洞管理工具
最近一段时间以来,漏洞管理背后的科学技术发生了很大变化。最初部署时,漏洞管理公司的操作与杀毒软件供应商非常类似,都试图让扫描器发现尽可能多的潜在威胁,甚至吹嘘能够比竞争对手检测出更多的隐藏漏洞。
这种逻辑的问题在于,与病毒和其他类型的恶意软件不同,漏洞仅是潜在的问题。只有攻击者可以相对容易地利用漏洞,漏洞才是真正的威胁。所以,位于内部资源上的漏洞算不上太大的潜在威胁,需要靠额外的组件安全访问其他网络服务的漏洞,也不算十分危险。知道什么才是真正的危险很重要,因为只有知道真正的危险,才可以规划哪些问题要优先修复,哪些可以稍后修复,哪些干脆可以忽略。
根据漏洞的潜在影响对漏洞进行分类也很有帮助。潜在影响包括漏洞利用的潜在严重性,比如删除整个数据库就比锁定单个用户要严重得多,也涉及受影响资源的价值。企业面向公众的网站遭篡改是挺尴尬的,但机密数据失窃却可能伤及企业的根本。
最好的漏洞管理程序应在扫描中添加上下文,有些甚至使用人工智能(AI)提供自动修复、培训或预防性帮助。了解适用于企业执行扫描的合规标准、法律法规和最佳实践也很重要。任何大型企业网络中都可能隐藏着数千个漏洞,想要可靠而合理地安排修复的优先顺序就得这么做。
下列五个产品至少在漏洞管理的某个方面有所突破。
Kenna安全漏洞管理
Kenna安全漏洞管理平台几年前就将实时威胁数据纳入了漏洞管理。自那时起,该平台不断纳入威胁馈送源,其中就包括公司专门基于客户网络管理的一个威胁数据源。平台还增加了对其他漏洞扫描器的支持,如今几乎可与市场上所有供应商合作。
Kenna本身不做任何扫描,而是提供连接器,从Tripwire、Qualys、迈克菲和CheckMarx等几乎全部漏洞扫描器处抽取数据。平台本身作为服务部署,客户登录到云门户检查其信息,授予Kenna权限访问所要保护的网络。
Kenna收集扫描器发送的诸多漏洞警报,将之与威胁数据进行实时比较。该平台可将所发现漏洞回连至利用该漏洞的活跃威胁,然后优先安排快速修复动作。出现野生漏洞利用程序的任何漏洞都会被自动提升优先级,以便防御者可抢在攻击者发现和利用之前修复这些最危险的问题。
该平台能很好地解释为什么受保护网络中会出现漏洞,并能给出修复建议。平台能根据受影响资产和问题严重性排序所发现的漏洞。这是个很好的功能,但基于活跃威胁活动的漏洞排序,才是令Kenna平台长于凸显绝对必须及时处理的高优先级漏洞的关键。
Flexera漏洞管理器
虽然许多漏洞管理器专注于公司自行开发的应用和代码,但Flexera平台更关注几乎每个企业都会用来执行业务的第三方软件程序。大多数情况下,修复所购程序或许可软件中的漏洞是通过应用修复程序完成的。对企业而言,应用修复程序可不是什么小事,尤其是当企业必须下线数千个系统或关键服务才能修复时。由于当今软件紧密集成,甚至有可能修复一个问题反而引发几个其他问题。
通过创建跨整个企业的安全修复程序管理流程,Flexera软件漏洞管理器有助于解决这个问题。此漏洞管理器可以发现第三方软件中的漏洞,并就潜在威胁的严重性向管理员提供建议。向成千上万的用户推送大规模修复程序来修复小漏洞,或者修补受保护企业压根儿未安装或使用的功能,可捞不到什么好处。Flexera可以通过提供上下文,以及在需要时部署修复程序,来帮助做出这些决策。
Flexera还可用于锚定自动化修复程序管理系统,以不伤及运营的方式在需要的时候修复漏洞。最后,此平台可以生成定制报告,描述漏洞和修复程序管理,以及企业如何遵守相关框架、法律和最佳实践的情况。
Tenable.io
Tenable因可为任意环境创建安全仪表板而蜚声业界,其漏洞管理程序Tenable.io也运用了相同的诊断技术。此平台在云中进行管理,因而在受保护企业中占用空间很小。平台综合运用主动扫描代理、被动监视和云连接器来搜索漏洞,然后应用机器学习、数据科学和人工智能来预测要首先修复哪些漏洞才可以抢先攻击者一步。
Tenable.io的最大优势是同时使用仪表板和定制报告来呈现漏洞,让任何人都能轻易理解。无论是开发人员、运营团队成员,还是IT安全团队成员,都可以轻松理解Tenable.io生成的警告。某种程度上,无需任何专业培训或专业知识,Tenable.io即可为所有人提供漏洞管理。
ZeroNorth
在漏洞管理程序中包含ZeroNorth似乎有些奇怪,因为该平台本身实际上并不扫描任何内容。相反,ZeroNorth旨在整合其他漏洞扫描器,帮助弥补这些扫描器的不足。鉴于多数大型企业面临的漏洞数量过于庞大,ZeroNorth的有效性很快便能彰显。
ZeroNorth作为服务部署,用户登录到安全Web平台就能监视自身环境。将测试网络中的各种扫描器连接到ZeroNorth平台很容易,启动运行也很便捷。当然,环境中要安装有漏洞扫描器才能开始使用ZeroNorth获取数据,但此平台可以处理从网络任何位置传来的数据,从开发环境到生产环境无所不包。即使没有任何扫描器也不用太过担心,ZeroNorth自有一套向用户环境中添加开源或商业扫描器的简便方法,并且这些扫描器添加后会自动接入平台。
ZeroNorth平台致力于整合与分析来自扫描器的数据。显示漏洞间的相互关联和依赖关系是ZeroNorth很不错的一个功能。例如,虽然原始扫描可能会发现20个新漏洞,但大多数情况下扫描器不会告诉你其中19个漏洞都是由于第一个漏洞而存在的。ZeroNorth就能揭示这一点。然后,仅需修复这一个漏洞,即可从网络中清除全部整整20个漏洞。在测试网络中,ZeroNorth建议修复的每个漏洞平均清除了14个其他漏洞。
ZeroNorth平台还可以很好地跟踪谁创建了易受攻击的资源,以及谁在管理这些资源。当然,将所有发现报告给管理员及其中央控制台,以及向应用拥有者发送警报和修复建议,也属于这个平台的基本功能。这样一来,脆弱应用的负责人,以及最关心修复问题的人员,都可以立即着手修复工作。
该平台还可以很好地监视漏洞扫描器本身。例如,平台会告诉你某个扫描器是否漏掉了其他扫描器发现的严重漏洞。这样你就可以判断投资特定漏洞扫描器是否值回票价了。因此,想要通过新策略或新工具来控制扫描器喷出的警报洪流,或想提高扫描准确性,不妨考虑将ZeroNorth作为一个非常有价值的补充。
Infection Monkey
Guardicore的Infection Monkey程序可能是漏洞汇总的另一个奇怪选择,但此程序提供的安全缺陷与漏洞的详细信息,却对几乎所有企业都极具价值。而且这还是款可修改源代码的免费软件,试试不亏。
Infection Monkey不仅能够识别漏洞,还能显示攻击者会如何利用漏洞。用户可以利用该程序检查Windows、Linux、OpenStack、vSphere、Amazon Web Services、Azure、OpenStack和谷歌云平台环境中的安全漏洞。由于同时提供基于Python的源代码,用户也可以将程序配置为在任何专用或独特的环境中运行。
该程序采用Guardicore时常升级更新的真实攻击和技术。事实上,这已经不能称之为模拟了,因为根本就是在实际攻击网络,只不过没有加载恶意载荷而已。如果你的现有安全工具能够阻止Infection Monkey,那就再好不过了,因为这意味着此防御机制背后隐藏的任何漏洞,都可被认为是低优先级的。
Infection Monkey的真正价值存在于成功突破受测网络之时,根据受攻击网络的复杂程度,突破耗时可能从几分钟到几小时不等。一旦找到漏洞并加以利用,Infection Monkey会记录下过程中每一步动作,包括利用了哪些漏洞和绕过或骗过了哪些防御措施。
如果扫描出的漏洞数量太多,不妨使用Infection Monkey来找出哪些是攻击者可以利用的。然后优先修复这些漏洞,并再次部署Infection Monkey来检查自己的修复工作。
工具网址:
Kenna安全漏洞管理:https://www.kennasecurity.com/
Flexera漏洞管理器:https://www.flexera.com/products/operations/software-vulnerability-management.html
Tenable.io:https://www.tenable.com/products/tenable-io
ZeroNorth:https://www.zeronorth.io/
Infection Monkey:https://www.guardicore.com/infectionmonkey/
关键词:漏洞管理;