今年四月,當常見漏洞與暴露(Common Vulnerabilities and Exposures, CVE)計畫面臨存亡危機時,全球資安社群屏息以待。所幸在最後關頭,該計畫獲得了挽救。儘管CVE資料庫無法全面覆蓋所有資安威脅,它仍是資訊安全防護體系中不可或缺的基石。
在過去25年,CVE計畫已成為全球資安專業人員保護系統的共享關鍵資源,這項重要工作必須持續進行。然而,現在還不是放鬆警戒的時候。我們長期依賴的弱點管理模式已存在根本性問題,實際被駭客利用的CVE漏洞僅佔企業整體資安風險的一小部分。
大多數傳統風險管理工具無法呈現完整風險全貌,原因不外乎它們只能掃描有限的漏洞項目,或無法發現企業內所有資產,甚至兩者皆是。面對這種情況,資安防護人員迫切需要一種全新的防禦思維。
為何曝險管理如此困難?
資安團隊面臨的挑戰日益增加,其中最主要的原因是企業攻擊面的規模與複雜度不斷擴大。根據組織特性的不同,攻擊面可能包含多種設備:
- 內部主機和工作站
- 遠距辦公筆電和行動裝置
- 雲端環境中的容器
- IoT感測器和工控系統(OT)等
這種情況造成了嚴重的可視性挑戰,不僅是因為資產分散各處,更因為在容器化雲端環境中,這些資產常常處於動態變化且短暫存在的狀態。同時,駭客組織正朝向更高度專業化的方向發展,展現出前所未有的決心與手段。
CVE的根本性侷限
有效的風險暴露管理是未來幾年確保組織安全的關鍵。然而,許多企業使用的工具和方法存在根本性缺陷:無法全面呈現所有弱點與暴露點。
攻擊者經常利用錯誤配置、網段隔離問題和內部暴露資產等資安議題,這些都超出了CVE的涵蓋範圍。根據科技電信公司Verizon的調查,過去一年評估的資料外洩事件中,僅有三分之一與已知被利用的漏洞有關。
更值得注意的是,美國國家標準與技術研究院(NIST)的數據顯示,即使CVE能夠代表所有暴露風險,實際在野外被利用的漏洞比例僅有0.5%。
傳統安全工具無法涵蓋企業攻擊面上的所有資產,這是攻擊者可利用的另一個弱點。這些未知且無法管理的部分包括影子IT(Shadow IT)、工業控制系統(OT)、物聯網(IoT)裝置,以及其他無法使用代理程式或需要憑證的解決方案來監控的環境。
CVE評分系統的複雜性常被低估,這成為威脅行為者的另一優勢,同時也是網路防禦人員的障礙。這些系統最終仍需依賴專家有效使用來排序和優先處理可修復的問題。
通用漏洞評分系統(CVSS)、漏洞利用預測評分系統(EPSS)和利害關係人特定漏洞分類(SSVC)框架都提供優先順序建議,但沒有一個能提供完整解決方案。這導致本已人手不足的資安團隊可能面臨警報過載問題。
確保整個攻擊面的安全策略
要有效應對攻擊面風險,資安與IT團隊必須超越傳統代理式方法,並跳脫CVE漏洞資料庫的限制。透過整合主動掃描、被動探索和API連結,我們能全面掌握內部與外部攻擊面,包括影子IT設備和難以管理的資產,如工控系統和物聯網裝置。
關鍵在於透過fingerprinting辨識技術收集豐富的情境資料,以建立每個資產的詳細檔案。
Fingerprinting辨識技術是一種透過分析目標系統回應特徵來識別設備、作業系統和應用程式的方法。這項技術會收集各種系統特徵資訊,包括TCP/IP封包標頭、HTTP回應資訊、網路協定實作差異,以及系統預設配置等,藉此建立每個資產的獨特「指紋」。
運用此技術,資安團隊能夠在不需要安裝代理程式或提供認證的情況下,快速識別網路中的設備類型、作業系統版本、應用程式資訊,以及潛在的安全漏洞。這些檔案包含資產使用的服務、擁有者、未修補漏洞、錯誤配置以及系統連接等資訊。分析越深入,建立的資產檔案就越準確。
透過結合多種資訊蒐集方法,如精確的系統層級識別和針對未受管理裝置預設密碼的客製化檢測,資安團隊能迅速且精準地建立網路環境中「隱藏資產」的完整行動檔案。
這有助於揭露先前未被發現的資安風險,包括:
- 缺失的安全控制措施
- 已過期的軟體
- 與其他網路和設備有高風險連結的資產
面對複雜的資安環境,簡化管理流程與強化資料洞察能力至關重要。透過將fingerprinting技術、主動掃描、被動探索及API連結等多項功能整合至統一平台,資安團隊能夠獲得更全面的風險視野。
這種整合式平台以風險為導向,運用智慧分析技術自動評估威脅優先級,為資安人員提供清晰明確的暴露風險警示。如此一來,即便面對龐大的資安數據,團隊也能快速聚焦於最關鍵的威脅,有效提升防護效率。
本文轉載自 HelpNetSecurity。