修補(bǔ)安全漏洞理論上看似乎是一個(gè)并不復(fù)雜的過(guò)程，供應(yīng)商針對(duì)已知的缺陷發(fā)布補(bǔ)丁，隨后所有受影響的組織及時(shí)應(yīng)用該補(bǔ)丁看起來(lái)就沒(méi)問(wèn)題了。但是，看起來(lái)如此簡(jiǎn)單的事情只會(huì)發(fā)生在非常理想的情況下，現(xiàn)實(shí)中并非如此。安全企業(yè)Rezilion 發(fā)布了一份報(bào)告，分析了供應(yīng)商已經(jīng)修補(bǔ)的舊有漏洞如何仍然對(duì)組織持續(xù)構(gòu)成風(fēng)險(xiǎn)。

　　Rezilion在其報(bào)告《Vintage vulnerability Are Still Style》中研究了CISA維護(hù)的已知exploit vulnerability Catalog（圖A）。

　?。▓D片來(lái)源：Rezilion 按年統(tǒng)計(jì)存在的安全漏洞數(shù)量）

　　在名單上的790個(gè)漏洞中，有400多個(gè)可以追溯到2020年以前。2019年有104個(gè)，2018年有70個(gè)，2017年有73個(gè)。2010年的還有17個(gè)。

　　研究數(shù)據(jù)顯示，從2010年到2020年發(fā)現(xiàn)的漏洞影響了超過(guò)450萬(wàn)個(gè)面向互聯(lián)網(wǎng)的系統(tǒng)和設(shè)備。

　　對(duì)陳舊漏洞的無(wú)效補(bǔ)丁管理使公司容易受到攻擊

　　盡管針對(duì)這些“陳舊漏洞”的修復(fù)補(bǔ)丁都已經(jīng)存在多年，但許多用戶和組織仍然沒(méi)有修復(fù)它們。因此，它們?nèi)匀豢梢员蛔杂衫茫o未更新的軟件和設(shè)備帶來(lái)風(fēng)險(xiǎn)。Rezilion表示，在過(guò)去的一個(gè)月中，他們發(fā)現(xiàn)了針對(duì)大多數(shù)安全漏洞的主動(dòng)掃描和利用企圖。

　　這個(gè)問(wèn)題存在于安全漏洞的生命周期中。一開(kāi)始，產(chǎn)品中存在的安全缺陷可能會(huì)被利用，因?yàn)檫€沒(méi)有補(bǔ)丁存在，盡管沒(méi)有人會(huì)意識(shí)到它。如果攻擊者知道了這個(gè)漏洞，那么它就被歸類為0day。廠商發(fā)布并部署補(bǔ)丁后，仍可利用該漏洞，但只適用于尚未應(yīng)用補(bǔ)丁的環(huán)境。

　　但是，IT和安全團(tuán)隊(duì)需要了解供應(yīng)商提供的可用補(bǔ)丁，確定優(yōu)先應(yīng)用哪些補(bǔ)丁，并實(shí)現(xiàn)用于測(cè)試和安裝這些補(bǔ)丁的系統(tǒng)。如果沒(méi)有一個(gè)有效的補(bǔ)丁管理方法，整個(gè)過(guò)程很容易在其中的任何一個(gè)環(huán)節(jié)上出錯(cuò)。精明的攻擊者肯定會(huì)意識(shí)到這一點(diǎn)，這就是為什么他們繼續(xù)利用這些供應(yīng)商其實(shí)早已修復(fù)的漏洞而繼續(xù)發(fā)起攻擊。

　　在Rezilion的研究中，也列舉了一些攻擊者常用的所謂“經(jīng)典”安全漏洞，主要有如下幾個(gè)：

　　● CVE - 2012 - 1823

　　PHP CGI遠(yuǎn)程代碼執(zhí)行是一個(gè)驗(yàn)證漏洞，它允許遠(yuǎn)程攻擊者通過(guò)在PHP查詢字符串中放入命令行選項(xiàng)來(lái)執(zhí)行代碼。這一缺陷在野外被利用了10年。

　　● CVE - 2014 - 0160

　　OpenSSL進(jìn)程內(nèi)存敏感信息泄漏漏洞（HeartBleed）影響TLS（Transport Layer Security）擴(kuò)展。在OpenSSL 1.0.1到1.0.1f之間，這個(gè)漏洞會(huì)將服務(wù)器的內(nèi)存內(nèi)數(shù)據(jù)泄露給客戶端，反之亦然，可以允許互聯(lián)網(wǎng)上的任何人使用OpenSSL軟件的脆弱版本讀取這些內(nèi)容。2014年4月，它被公之于眾。

　　● CVE - 2015 - 1635

　　微軟HTTP.sys遠(yuǎn)程代碼執(zhí)行漏洞是Microsoft Internet Information Service （IIS）中的HTTP協(xié)議處理模塊（HTTP.sys）存在的漏洞，攻擊者可以通過(guò)向易受攻擊的Windows系統(tǒng)發(fā)送特殊的HTTP請(qǐng)求來(lái)遠(yuǎn)程執(zhí)行代碼。這一漏洞在野外已經(jīng)活躍了七年多。

　　● CVE - 2018 - 13379

　　Fortinet FortiOS和FortiProxy是FortiProxy SSL VPN門戶網(wǎng)站的一個(gè)漏洞，可以使遠(yuǎn)程攻擊者通過(guò)特殊的HTTP資源請(qǐng)求下載FortiProxy系統(tǒng)文件。

　　● CVE - 2018 - 7600

　　Drupal遠(yuǎn)程代碼執(zhí)行漏洞（Drupalgeddon2）是一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，影響多個(gè)不同版本的Drupal。攻擊者可能會(huì)利用這個(gè)漏洞迫使運(yùn)行Drupal的服務(wù)器執(zhí)行惡意代碼，從而破壞安裝。　　為了幫助組織更好地管理安全漏洞及相關(guān)補(bǔ)丁，Rezilion提供了幾個(gè)建議：

　　首先，組織、企業(yè)應(yīng)建立并應(yīng)用軟件物料清單（SBOM），以管理好應(yīng)用程序中所有開(kāi)源和第三方組件的清單，確保在相關(guān)組件出現(xiàn)問(wèn)題時(shí)，能夠及時(shí)排查風(fēng)險(xiǎn)，并及時(shí)應(yīng)用供應(yīng)商發(fā)布的相關(guān)補(bǔ)丁。

　　其次，為了保證補(bǔ)丁管理策略的有效性，應(yīng)該有特定的過(guò)程，包括變更控制、測(cè)試和質(zhì)量保證，所有這些過(guò)程都可能導(dǎo)致潛在的兼容性問(wèn)題。在擁有管理流程后，還需要能夠輕松地?cái)U(kuò)展它，這意味著隨著發(fā)現(xiàn)更多的漏洞，需要擴(kuò)展補(bǔ)丁工作。

　　再次，需要優(yōu)先考慮最關(guān)鍵的漏洞，由于發(fā)現(xiàn)了大量安全缺陷，您不可能對(duì)它們?nèi)窟M(jìn)行修補(bǔ)。相反，你應(yīng)該專注于最重要的補(bǔ)丁。優(yōu)先級(jí)由這樣的指標(biāo)單獨(dú)CVSS可能是不夠的。還應(yīng)該采用一種基于風(fēng)險(xiǎn)的方法（基于風(fēng)險(xiǎn)的漏洞管理），通過(guò)這種方法，可以識(shí)別高風(fēng)險(xiǎn)漏洞，并將其優(yōu)先級(jí)置于較小的Bug之上。要做到這一點(diǎn)，可以通過(guò)已知被利用漏洞目錄或其他威脅情報(bào)來(lái)源來(lái)檢查哪些漏洞正在被利用，然后，確定您的環(huán)境中甚至存在哪些漏洞并及時(shí)應(yīng)對(duì)，目前國(guó)內(nèi)企業(yè)中，零零信安（偏向于EASM）和華云安（偏向于CAASM）都提供了相關(guān)的應(yīng)對(duì)策略和解決方案，可以通過(guò)引入這種專業(yè)力量來(lái)快速的幫助你建立有效的應(yīng)對(duì)方案。

　　最后，要持續(xù)監(jiān)測(cè)和評(píng)估補(bǔ)丁管理策略，并建立起常態(tài)化的環(huán)境監(jiān)控，以確保漏洞被修復(fù)，補(bǔ)丁也被正常安裝。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<