修補(bǔ)安全漏洞理論上看似乎是一個并不復(fù)雜的過程，供應(yīng)商針對已知的缺陷發(fā)布補(bǔ)丁，隨后所有受影響的組織及時(shí)應(yīng)用該補(bǔ)丁看起來就沒問題了。但是，看起來如此簡單的事情只會發(fā)生在非常理想的情況下，現(xiàn)實(shí)中并非如此。安全企業(yè)Rezilion 發(fā)布了一份報(bào)告，分析了供應(yīng)商已經(jīng)修補(bǔ)的舊有漏洞如何仍然對組織持續(xù)構(gòu)成風(fēng)險(xiǎn)。

　　Rezilion在其報(bào)告《Vintage vulnerability Are Still Style》中研究了CISA維護(hù)的已知exploit vulnerability Catalog（圖A）。

　?。▓D片來源：Rezilion 按年統(tǒng)計(jì)存在的安全漏洞數(shù)量）

　　在名單上的790個漏洞中，有400多個可以追溯到2020年以前。2019年有104個，2018年有70個，2017年有73個。2010年的還有17個。

　　研究數(shù)據(jù)顯示，從2010年到2020年發(fā)現(xiàn)的漏洞影響了超過450萬個面向互聯(lián)網(wǎng)的系統(tǒng)和設(shè)備。

　　對陳舊漏洞的無效補(bǔ)丁管理使公司容易受到攻擊

　　盡管針對這些“陳舊漏洞”的修復(fù)補(bǔ)丁都已經(jīng)存在多年，但許多用戶和組織仍然沒有修復(fù)它們。因此，它們?nèi)匀豢梢员蛔杂衫?，給未更新的軟件和設(shè)備帶來風(fēng)險(xiǎn)。Rezilion表示，在過去的一個月中，他們發(fā)現(xiàn)了針對大多數(shù)安全漏洞的主動掃描和利用企圖。

　　這個問題存在于安全漏洞的生命周期中。一開始，產(chǎn)品中存在的安全缺陷可能會被利用，因?yàn)檫€沒有補(bǔ)丁存在，盡管沒有人會意識到它。如果攻擊者知道了這個漏洞，那么它就被歸類為0day。廠商發(fā)布并部署補(bǔ)丁后，仍可利用該漏洞，但只適用于尚未應(yīng)用補(bǔ)丁的環(huán)境。

　　但是，IT和安全團(tuán)隊(duì)需要了解供應(yīng)商提供的可用補(bǔ)丁，確定優(yōu)先應(yīng)用哪些補(bǔ)丁，并實(shí)現(xiàn)用于測試和安裝這些補(bǔ)丁的系統(tǒng)。如果沒有一個有效的補(bǔ)丁管理方法，整個過程很容易在其中的任何一個環(huán)節(jié)上出錯。精明的攻擊者肯定會意識到這一點(diǎn)，這就是為什么他們繼續(xù)利用這些供應(yīng)商其實(shí)早已修復(fù)的漏洞而繼續(xù)發(fā)起攻擊。

　　在Rezilion的研究中，也列舉了一些攻擊者常用的所謂“經(jīng)典”安全漏洞，主要有如下幾個：

　　● CVE - 2012 - 1823

　　PHP CGI遠(yuǎn)程代碼執(zhí)行是一個驗(yàn)證漏洞，它允許遠(yuǎn)程攻擊者通過在PHP查詢字符串中放入命令行選項(xiàng)來執(zhí)行代碼。這一缺陷在野外被利用了10年。

　　● CVE - 2014 - 0160

　　OpenSSL進(jìn)程內(nèi)存敏感信息泄漏漏洞（HeartBleed）影響TLS（Transport Layer Security）擴(kuò)展。在OpenSSL 1.0.1到1.0.1f之間，這個漏洞會將服務(wù)器的內(nèi)存內(nèi)數(shù)據(jù)泄露給客戶端，反之亦然，可以允許互聯(lián)網(wǎng)上的任何人使用OpenSSL軟件的脆弱版本讀取這些內(nèi)容。2014年4月，它被公之于眾。

　　● CVE - 2015 - 1635

　　微軟HTTP.sys遠(yuǎn)程代碼執(zhí)行漏洞是Microsoft Internet Information Service （IIS）中的HTTP協(xié)議處理模塊（HTTP.sys）存在的漏洞，攻擊者可以通過向易受攻擊的Windows系統(tǒng)發(fā)送特殊的HTTP請求來遠(yuǎn)程執(zhí)行代碼。這一漏洞在野外已經(jīng)活躍了七年多。

　　● CVE - 2018 - 13379

　　Fortinet FortiOS和FortiProxy是FortiProxy SSL VPN門戶網(wǎng)站的一個漏洞，可以使遠(yuǎn)程攻擊者通過特殊的HTTP資源請求下載FortiProxy系統(tǒng)文件。

　　● CVE - 2018 - 7600

　　Drupal遠(yuǎn)程代碼執(zhí)行漏洞（Drupalgeddon2）是一個遠(yuǎn)程代碼執(zhí)行漏洞，影響多個不同版本的Drupal。攻擊者可能會利用這個漏洞迫使運(yùn)行Drupal的服務(wù)器執(zhí)行惡意代碼，從而破壞安裝?！　榱藥椭M織更好地管理安全漏洞及相關(guān)補(bǔ)丁，Rezilion提供了幾個建議：

　　首先，組織、企業(yè)應(yīng)建立并應(yīng)用軟件物料清單（SBOM），以管理好應(yīng)用程序中所有開源和第三方組件的清單，確保在相關(guān)組件出現(xiàn)問題時(shí)，能夠及時(shí)排查風(fēng)險(xiǎn)，并及時(shí)應(yīng)用供應(yīng)商發(fā)布的相關(guān)補(bǔ)丁。

　　其次，為了保證補(bǔ)丁管理策略的有效性，應(yīng)該有特定的過程，包括變更控制、測試和質(zhì)量保證，所有這些過程都可能導(dǎo)致潛在的兼容性問題。在擁有管理流程后，還需要能夠輕松地?cái)U(kuò)展它，這意味著隨著發(fā)現(xiàn)更多的漏洞，需要擴(kuò)展補(bǔ)丁工作。

　　再次，需要優(yōu)先考慮最關(guān)鍵的漏洞，由于發(fā)現(xiàn)了大量安全缺陷，您不可能對它們?nèi)窟M(jìn)行修補(bǔ)。相反，你應(yīng)該專注于最重要的補(bǔ)丁。優(yōu)先級由這樣的指標(biāo)單獨(dú)CVSS可能是不夠的。還應(yīng)該采用一種基于風(fēng)險(xiǎn)的方法（基于風(fēng)險(xiǎn)的漏洞管理），通過這種方法，可以識別高風(fēng)險(xiǎn)漏洞，并將其優(yōu)先級置于較小的Bug之上。要做到這一點(diǎn)，可以通過已知被利用漏洞目錄或其他威脅情報(bào)來源來檢查哪些漏洞正在被利用，然后，確定您的環(huán)境中甚至存在哪些漏洞并及時(shí)應(yīng)對，目前國內(nèi)企業(yè)中，零零信安（偏向于EASM）和華云安（偏向于CAASM）都提供了相關(guān)的應(yīng)對策略和解決方案，可以通過引入這種專業(yè)力量來快速的幫助你建立有效的應(yīng)對方案。

　　最后，要持續(xù)監(jiān)測和評估補(bǔ)丁管理策略，并建立起常態(tài)化的環(huán)境監(jiān)控，以確保漏洞被修復(fù)，補(bǔ)丁也被正常安裝。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<