如何做到准确、有效、快速地发现主机风险?

全球产业互联网化,让一大批企业享受到了巨大的互联网红利。然而,任何事物都有其两面性,“红利”背后隐藏着可能就是风险。软件缺陷、配置错误、代码Bug……这些问题都会导致系统存在风险。但是不论风险来源于哪,它们都不会自行消失。

根据密歇根大学的一项研究表明,一台有开放端口或漏洞的服务器连网后,在23分钟内就会被攻击者扫描,在56分钟内开始被漏洞探测,第一次被彻底入侵平均时间是19小时。为了在黑客入侵前发现系统风险点,安全人员需要通过专业的风险评估工具,对风险进行检测、移除和控制,来缩减攻击面。

    风险从何而来,为什么会成为黑客“蜜糖”

据计算机科学家估计,管理良好的软件产品中,每千行代码中大约包含一个错误,而未经仔细检查的代码中,每千行代码中将包含25个错误。当然,代码问题并不是风险的唯一来源。据Hewlett Packard Co.的一项研究结果表明,80%的应用程序包含由错误配置暴露的漏洞。例如,防火墙配置不当,导致本该关闭的端口未关闭而被黑客利用。

面对漏洞、系统配置错误等风险,需要即时、主动的进行控制和管理,才能降低总体安全风险。对于资产拥有者而言,漏洞是让人厌恶的东西,但对于黑客而言,漏洞则是它们最喜欢的“高价值资产”。例如,黑客通过系统漏洞进入服务器内部,盗取的数据信息可以在黑市上变现,同时也可以让被控制的“肉鸡”,进一步成为攻击其它网络平台的“滩头阵地”。

    六大步骤:助力准确、有效、快速地发现风险

在实践中,风险管理意味着系统地、持续地查找和消除系统中存在的风险。这个过程既需要使用专业技术工具,也需要IT人员参与执行打补丁、软件更新以及后续工作。为尽可能准确、有效、快速地发现风险,笔者建议企业安全负责人采取下述六个步骤对风险进行全面的管理。

 步骤1:明确风险管理的范围

确定资产范围的目的,是为了根据资产在业务中扮演的角色来确定安全评估的基线。因此,找到主机系统风险薄弱点,前提就是全面了解运行的资产情况(如服务器、虚拟机、容器等),也包括那些被遗忘的“影子设备”以及负责维护这些资产的人员。

确定风险评估的资产范围

    步骤2:评估资产的安全状态

在确定风险评估范围后,就是确认资产的安全状态。通过扫描,输出包括漏洞优先级、应用补丁、软件更新等主要信息的扫描报告供安全负责人进行决策。以漏洞检测为例,扫描是发现和修复漏洞的基本过程。虽然市面上所有扫描产品都是通过与已知漏洞数据库进行比对发现风险,但漏洞库的覆盖范围、质量和更新频率却各不相同。同时,传统扫描产品需要在机器上安装和维护软件应用程序,会占用不少资源。相比之下青藤风险评估产品只需在主机中安装一个轻量级Agent(内存占用<40M,CPU占用<1%),就可以在虚拟机、物理机、容器、混合云等各种环境下一键部署。

当然,一次性扫描也只能够输出资产在某一个特定时刻的安全快照,而无法保持实时更新的数据,那么持续监控也就无从说起。为保证企业核心资产的安全,青藤云安全建议企业每天多次扫描甚至是持续扫描企业中重要、高价值的资产。

青藤的风险评估产品允许用户连续地、自动地扫描主机中的任何资产,帮助用户获得最新漏洞数据。系统会每天进行一次全局扫描,用户也可自行手动触发全部扫描,也可按业务组、按主机进行扫描。例如,青藤风险评估产品在新漏洞爆发时候,支持24内进行漏洞响应,无需升级系统,通过提供漏洞规则包导入系统,支持用户自行进行该漏洞的检测。因此,用户无需担心扫描技术的更新,都是在系统中自动应用。

    步骤3:按轻重缓急处理风险

想要一次性修复所有风险点绝无可能,因此需要对风险进行分类、排序并标记好优先级,优先处理对系统危害最大、影响范围最广的风险点。此时,一份好的报告就显得尤为重要,安全负责人可以通过扫描报告对风险一目了然。笔者认为扫描报告应该是全面的、具体的、易于理解、无漏报和误报。误报会占用IT人员大量精力和时间进行排查,而漏报则会导致因为存在未修补漏洞而被黑客利用的严重风险。

青藤的风险评估产品能够提供详细的风险报告,可对系统各类风险进行全面扫描,包括安全补丁、漏洞、弱密码、应用风险、系统风险、账号风险,并给予对应安全评级分数。同时,可以根据应用和业务组进行筛选,也可以根据风险项进行搜索。如下图所示查找受Linux内核本地提权(脏牛)漏洞(CVE-2016-5195)影响的主机。

确认受漏洞影响的主机

    步骤4:尽快修复风险点

修复是风险管理最重要步骤之一,一旦出错将对企业组织产生重要影响。传统人工排查漏洞、提供修复建议以及打补丁的过程耗费大量时间和精力,而且出错率高。复杂的修复过程会导致企业组织选择延迟修复,这些积累的“技术债务”对于企业而言就是一个定时炸弹。因此尽快修复漏洞不同优先级的补丁,并将系统风险降到最低至关重要。

以漏洞修复为例,为简化补丁处理过程以及将成本降到最低,建议采用自动化的补丁管理解决方案。青藤风险评估产品,提供补丁的详细信息,包括补丁的修复建议、修复命令、修复影响,补丁当前版本和修复后版本,并提供各维度的补丁风险特征:内核风险、存在exp、远程利用、本地提权、CVSS详情、相关的CVE编号等。

    步骤5:获取最新风险信息

对于一线操作人员而言,最有用的报告功能是了解需要修复哪些风险,以及如何完成该任务。因此报告应该提供风险的严重性、风险性检测细节和修复步骤,以帮助IT管理员完成解决漏洞的任务。但是为满足不同职位人员需求,风险管理解决方案应该支持根据需要定制风险信息的类型和展现形式。通常情况下,风险管理报告至少包括以下4块内容:

(1)风险概览,提供一个“一目了然”的风险评级及各风险点概况和趋势。

(2)风险汇总,按优先级列出主机上的所有风险点。

(3)风险分析,详细描述主机资产面临的具体威胁,并允许对具体问题进行深入审查。

(4)补丁报告,显示补丁的状态以及负责人。

青藤漏洞检查报告

    同时,安全报警应该能立即发送到对应管理员手中,以便立即进行补救。确保风险管理解决方案能够使IT安全团队尽快分析修复趋势,包括已解决和未解决的漏洞的长期趋势,帮助客户跟踪进度并分析企业安全趋势。

    步骤6:持续不断地监控

风险管理是一个持续不断的过程。在过去,企业网络是相对静态的,变化极少。随着业务数字化快速发展,企业网络是高度动态的。新漏洞每天都会出现、系统配置每分钟都在变化。同时,黑客通过对新技术利用,攻击速度和能力都得到大幅提升。这些变化决定企业安全状态一直处于动态变化过程中,因此持续安全监控显得尤为重要。在这个网络犯罪的新时代,谁能最快地识别和修补漏洞,谁就能更好应对攻击。安全攻与防是一场没有终点的马拉松,通过持续监控是确保安全团队应对黑客攻击的重要方法。

    写在最后

事实证明,90% 的攻击事件都利用了未修补的漏洞,且攻击者的手段不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。而传统的漏洞扫描器仅为按季度或按年的周期性扫描,在未进行检测期间,新的漏洞很容易被黑客利用入侵。因此,企业需要快速实现风险持续性地监测与分析,化被动为主动,深入发现内部暴露的问题和风险,持续有效地对风险进行处理,从而提高攻击门槛,缩减修复窗口期。