修補安全漏洞理論上看似乎是一個并不復(fù)雜的過程，供應(yīng)商針對已知的缺陷發(fā)布補丁，隨后所有受影響的組織及時應(yīng)用該補丁看起來就沒問題了。但是，看起來如此簡單的事情只會發(fā)生在非常理想的情況下，現(xiàn)實中并非如此。安全企業(yè)Rezilion 發(fā)布了一份報告，分析了供應(yīng)商已經(jīng)修補的舊有漏洞如何仍然對組織持續(xù)構(gòu)成風(fēng)險。

　　Rezilion在其報告《Vintage vulnerability Are Still Style》中研究了CISA維護的已知exploit vulnerability Catalog（圖A）。

　　（圖片來源：Rezilion 按年統(tǒng)計存在的安全漏洞數(shù)量）

　　在名單上的790個漏洞中，有400多個可以追溯到2020年以前。2019年有104個，2018年有70個，2017年有73個。2010年的還有17個。

　　研究數(shù)據(jù)顯示，從2010年到2020年發(fā)現(xiàn)的漏洞影響了超過450萬個面向互聯(lián)網(wǎng)的系統(tǒng)和設(shè)備。

　　對陳舊漏洞的無效補丁管理使公司容易受到攻擊

　　盡管針對這些“陳舊漏洞”的修復(fù)補丁都已經(jīng)存在多年，但許多用戶和組織仍然沒有修復(fù)它們。因此，它們?nèi)匀豢梢员蛔杂衫茫o未更新的軟件和設(shè)備帶來風(fēng)險。Rezilion表示，在過去的一個月中，他們發(fā)現(xiàn)了針對大多數(shù)安全漏洞的主動掃描和利用企圖。

　　這個問題存在于安全漏洞的生命周期中。一開始，產(chǎn)品中存在的安全缺陷可能會被利用，因為還沒有補丁存在，盡管沒有人會意識到它。如果攻擊者知道了這個漏洞，那么它就被歸類為0day。廠商發(fā)布并部署補丁后，仍可利用該漏洞，但只適用于尚未應(yīng)用補丁的環(huán)境。

　　但是，IT和安全團隊需要了解供應(yīng)商提供的可用補丁，確定優(yōu)先應(yīng)用哪些補丁，并實現(xiàn)用于測試和安裝這些補丁的系統(tǒng)。如果沒有一個有效的補丁管理方法，整個過程很容易在其中的任何一個環(huán)節(jié)上出錯。精明的攻擊者肯定會意識到這一點，這就是為什么他們繼續(xù)利用這些供應(yīng)商其實早已修復(fù)的漏洞而繼續(xù)發(fā)起攻擊。

　　在Rezilion的研究中，也列舉了一些攻擊者常用的所謂“經(jīng)典”安全漏洞，主要有如下幾個：

　　● CVE - 2012 - 1823

　　PHP CGI遠(yuǎn)程代碼執(zhí)行是一個驗證漏洞，它允許遠(yuǎn)程攻擊者通過在PHP查詢字符串中放入命令行選項來執(zhí)行代碼。這一缺陷在野外被利用了10年。

　　● CVE - 2014 - 0160

　　OpenSSL進程內(nèi)存敏感信息泄漏漏洞（HeartBleed）影響TLS（Transport Layer Security）擴展。在OpenSSL 1.0.1到1.0.1f之間，這個漏洞會將服務(wù)器的內(nèi)存內(nèi)數(shù)據(jù)泄露給客戶端，反之亦然，可以允許互聯(lián)網(wǎng)上的任何人使用OpenSSL軟件的脆弱版本讀取這些內(nèi)容。2014年4月，它被公之于眾。

　　● CVE - 2015 - 1635

　　微軟HTTP.sys遠(yuǎn)程代碼執(zhí)行漏洞是Microsoft Internet Information Service （IIS）中的HTTP協(xié)議處理模塊（HTTP.sys）存在的漏洞，攻擊者可以通過向易受攻擊的Windows系統(tǒng)發(fā)送特殊的HTTP請求來遠(yuǎn)程執(zhí)行代碼。這一漏洞在野外已經(jīng)活躍了七年多。

　　● CVE - 2018 - 13379

　　Fortinet FortiOS和FortiProxy是FortiProxy SSL VPN門戶網(wǎng)站的一個漏洞，可以使遠(yuǎn)程攻擊者通過特殊的HTTP資源請求下載FortiProxy系統(tǒng)文件。

　　● CVE - 2018 - 7600

　　Drupal遠(yuǎn)程代碼執(zhí)行漏洞（Drupalgeddon2）是一個遠(yuǎn)程代碼執(zhí)行漏洞，影響多個不同版本的Drupal。攻擊者可能會利用這個漏洞迫使運行Drupal的服務(wù)器執(zhí)行惡意代碼，從而破壞安裝。　　為了幫助組織更好地管理安全漏洞及相關(guān)補丁，Rezilion提供了幾個建議：

　　首先，組織、企業(yè)應(yīng)建立并應(yīng)用軟件物料清單（SBOM），以管理好應(yīng)用程序中所有開源和第三方組件的清單，確保在相關(guān)組件出現(xiàn)問題時，能夠及時排查風(fēng)險，并及時應(yīng)用供應(yīng)商發(fā)布的相關(guān)補丁。

　　其次，為了保證補丁管理策略的有效性，應(yīng)該有特定的過程，包括變更控制、測試和質(zhì)量保證，所有這些過程都可能導(dǎo)致潛在的兼容性問題。在擁有管理流程后，還需要能夠輕松地擴展它，這意味著隨著發(fā)現(xiàn)更多的漏洞，需要擴展補丁工作。

　　再次，需要優(yōu)先考慮最關(guān)鍵的漏洞，由于發(fā)現(xiàn)了大量安全缺陷，您不可能對它們?nèi)窟M行修補。相反，你應(yīng)該專注于最重要的補丁。優(yōu)先級由這樣的指標(biāo)單獨CVSS可能是不夠的。還應(yīng)該采用一種基于風(fēng)險的方法（基于風(fēng)險的漏洞管理），通過這種方法，可以識別高風(fēng)險漏洞，并將其優(yōu)先級置于較小的Bug之上。要做到這一點，可以通過已知被利用漏洞目錄或其他威脅情報來源來檢查哪些漏洞正在被利用，然后，確定您的環(huán)境中甚至存在哪些漏洞并及時應(yīng)對，目前國內(nèi)企業(yè)中，零零信安（偏向于EASM）和華云安（偏向于CAASM）都提供了相關(guān)的應(yīng)對策略和解決方案，可以通過引入這種專業(yè)力量來快速的幫助你建立有效的應(yīng)對方案。

　　最后，要持續(xù)監(jiān)測和評估補丁管理策略，并建立起常態(tài)化的環(huán)境監(jiān)控，以確保漏洞被修復(fù)，補丁也被正常安裝。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<