在今日這個數位優先的世界,良好的修補更新管理對企業來說非常重要且不容忽視。根據身分盜用資源中心 (Identity Theft Resource Center) 的 2021 年資料外洩年度報告指出,該年確認的資料外洩案例總共 1,862 件,比 2020 年成長 68%。此外,2022 年資料外洩調查報告也發現,在這些資料外洩案例當中,因漏洞而導致的資料外洩事件數量較前一年增加 7%。
然而,漏洞與可用修補更新的數量實在大得驚人。2021 年,趨勢科技 Zero Day Initiative™ 漏洞懸賞計畫共揭露了 1,543 個漏洞,其中有 68% 被歸類為「重大」或「高嚴重性」漏洞。不僅如此,為了保護客戶,廠商幾乎每天都在發布修補更新,但卻更讓企業淹沒於大量必須解決的漏洞中。
所以,怎樣才是有效的修補更新管理策略?其實,關鍵就在於採取一種風險導向的作法,隨時掌握最新漏洞,同時還要避免造成資安流程的瓶頸。
以下提供修補更新管理的五大最佳實務原則,希望能協助企業建立強大的漏洞攻擊防禦。
1. 找出跟您最息息相關的修補更新
在去年 MITRE 發布的 28,000 個 CVE 漏洞當中,即使是最複雜的企業也不太可能每個漏洞都跟他們有關。所以當面對如此頻繁的更新,資安團隊必須先過濾掉不必要的雜訊,找出哪些修補更新跟他們的日常營運最息息相關。
企業可以優先專注在與內部應用程式系統相關的漏洞,然後檢查自己的關鍵基礎架構是否存在著目前正持續遭受攻擊的漏洞。這些就是資安團隊應優先鎖定的主要漏洞,也就是可能對您企業造成危害的漏洞。
下一步,查看哪些應用程式和作業系統目前正遭到不斷襲擊。網路上有一個不錯的資源可以參考:CISA已知遭到攻擊的漏洞 (Known Exploited Vulnerabilit) 目錄,該目錄就列出了這方面的漏洞,以及那些已有概念驗證 (POC) 程式碼並已被駭客變成攻擊武器的漏洞。
此階段的重點在於掌握整體環境的可視性,因為,企業不論規模大小都可能存在著一些被遺忘的老舊應用程式、網路、系統、裝置及伺服器。這讓駭客有各種機會攻擊一些企業甚至不曉得自己存在的漏洞。
2. 制定一套零時差漏洞應變計畫,因為這件事遲早要面對
光 2022 上半年就有 18 個 零時差漏洞 遭到攻擊,其中有半數是從先前發現的漏洞衍生而來。今日駭客的創新能力越來越強,他們現在很多都會仔細研究廠商提供的修補更新,從中找出修補更新本身的漏洞。
除此之外,零時差漏洞攻擊對駭客集團來說利潤驚人。一位名叫 Brian Krebs 的調查記者最近指出,某個 Google Chrome 零時差漏洞攻擊手法以 200 萬美元的天價賣出。因此,零時差漏洞是一個遲早 (而非是否) 要面對的問題。
本質上,零時差漏洞原本就不容易防範,因為它們是新的漏洞,而且隨時在變。因此,企業很可能自己的網路存在著某種可攻擊的漏洞而渾然不知。
也因此,持續監控網路內部的可疑活動,是防範零時差漏洞攻擊的一項必要防禦措施。企業應隨時關注一些以全球威脅情報為基礎的漏洞懸賞計畫,例如 Zero Day Initiative (ZDI) 就是企業隨時掌握最新漏洞與公開修補更新資訊的理想來源。
3. 與廠商保持聯繫
今日,企業有可能採用的是軟體服務 (SaaS) 版本的應用程式,這意味著廠商會自動幫您修補及更新軟體,您無須操心。但修補更新也是人所開發的,凡人都會犯錯,有時候,即使是好的修補更新也可能不小心造成系統癱瘓。然而這對於必須 7 天 24 小時維持營運的企業來說,將帶來龐大的機會損失。
為了防範自動化修補更新可能帶來的問題,企業應與廠商聯繫看看是否有辦法將軟體回復到先前版本。這樣的回復能力在遇到像 2021 年發生的 SolarWinds 事件時就非常有用,因為當時的情況就是被推送的更新本身就已遭到感染。此外,企業還應詢問這類回復動作是否能夠自動化執行,或者需要他們自己手動作業。
4. 善用虛擬修補
有別於手動修補,虛擬修補是一種防堵已知漏洞的短期作法。虛擬修補在套用時不須重新啟動系統,因此是企業在等待廠商釋出正式修補更新之前一個理想的暫時替代方安。您可以將它視為先暫時在滲漏的水管上纏繞強力膠帶來止水,等日後方便時候再將水管整支換掉。
虛擬修補能在幾個方面為企業帶來好處:
- 讓企業有時間針對修補更新進行完整測試以確保它能正常運作。
- 協助企業在決定要套用哪些修補更新之前,先避免自己遭到攻擊。
- 能為企業目前仍在使用、但廠商已不再支援的作業系統提供漏洞防護。
虛擬修補最主要的應用領域之一就是營運技術 (OT) 環境。OT 系統經常超過 20 多年從未更新,也無法再獲得廠商支援,這類系統越來越受到駭客的青睞。Gartner 預測到了 2025 年,OT 環境將成為駭客對企業造成商業與名譽損失的工具。虛擬修補能為這些日益普遍的攻擊管道提供一種網路層次的強力防護。
5. 讓利害關係人了解效益
網路資安計畫的成敗取決於企業是否有信心,當您在與利害關係人溝通修補更新管理的問題時,請將討論的重點放在風險上。漏洞攻擊很可能帶來極高的資安風險,隨著企業成長並導入更多軟體與硬體,其遭到駭客攻擊的可能性也隨之增加。這些攻擊絕對會帶來一些後果,根據 IBM 的 2021 年資料外洩成本報告 (Cost of a Data Breach Report) 指出,2021 年,資料外洩的平均成本已從 386 萬美元上升到 424 萬美元,這是這份報告有史以來最高的數字。
網路資安固然是一筆大投資,但不投資的成本甚至會更高。漏洞攻擊事件肯定一年比一年多,企業應努力制定一套完善的修補更新管理策略以為其網路資安奠定良好基礎,讓自己更上層樓。
良好的修補更新管理應搶先漏洞攻擊一步
今日駭客隨時都在尋找可攻擊的最新漏洞,因此,面對每天不斷增加的修補更新,企業必須有策略地根據自身的獨特需求來決定修補更新的優先次序。制定一套修補更新管理策略來防禦漏洞攻擊,您就能有效掌握並降低企業的整體資安風險。
最好的話,請採用一家能提供全方位資安平台、能善用全球威脅情報來發掘零時差與 N-Day 漏洞、而且又能提供虛擬修補的資安廠商。採用平台方案,可消除單一面向產品之間的可視性不足與資料不連貫的問題,讓資安團隊發掘及評估您整體 IT 基礎架構的漏洞,並判斷優先次序。
如需有關 Zero Day Initiative 和資安風險管理的更多資訊,請參閱以下文章: