勒索病毒
部分高風險漏洞,攻擊的可能性卻很低!如何判斷修補更新優先順序?
企業有上千種應用程式必須管理,因此需要一套有效的方法來判斷軟體資安漏洞修補的優先次序,而這需要一種情境化且風險導向的方法,以及良好的整體受攻擊面管理。
「勒索病毒聚光燈」(Ransomware Spotlight) 系列延伸閱讀:
IT 團隊已經被每月、每周、甚至每日的軟體修補作業所淹沒,因此需要一套策略性資安修補管理方法才能在情境當中評估風險、有效地判斷優先次序,同時管理整體的受攻擊面風險。
今日企業擁有大量的軟體必須管理並維持更新,根據 MuleSoft Research 的「2023 年連貫性評比報告」(2023 Connectivity Benchmark Report) 指出平均大約有 1,061 個應用程式。在這樣的規模下,許多軟體廠商每個月、每星期、有時甚至每天都會發布資安修補,因此 IT 團隊需要一套策略性方法來判斷哪些該優先修補以及何時修補。
首先,第一步就是建立一套適當的網路資安稽核程序來提供企業 IT 生態系的完整檢視,包括企業使用的所有裝置和軟體。有了這套程序,接下來企業必須擁有的是情境化且風險導向的方法來評估哪些修補更新最迫切需要,哪些可以暫緩,配合企業整體受攻擊面風險管理的框架。
持續不斷的修補更新洪流
除了可能需要套用的修補更新數量之外,IT 團隊還必須考量每次資安修補所需時間和人力。而且很多時候都必須關機,這會影響 IT 資產的可用性以及員工的生產力。因此,了解哪些修補更新是必要的、哪些可以暫緩實施,就是一項必要能力。
傳統上,企業都是根據漏洞的嚴重性來決定要套用哪些更新,每個漏洞都會被指派一個 0 到 10 的「嚴重性等級」。毫無疑問,這是一種很客觀的作法,但卻不夠細膩。
有些漏洞或許嚴重性很高 (例如 9.8 分),但被攻擊的可能性卻很低,因為攻擊的成本太高或太過複雜而難以執行。有些漏洞的嚴重性較低的但卻早已在網路上廣泛流傳,造成真實的威脅。所以,如果依照嚴重性高低來判斷,那就好像讓一個城市準備對抗一頭想像中的巨獸 (如酷斯拉),卻完全無視一些真正急迫的風險,例如水災和野火。
在決定該套用哪些資安修補時,企業最需要的是情境。
如何判斷應該優先套用哪些資安修補?
每一家企業的情境因素都不盡相同,不過還是有一些共通的問題可以幫助企業評估漏洞的真正風險。以下是一些最關鍵的問題:
- 漏洞是否已經在外流傳並遭到攻擊?如果是,那就應該立即套用資安修補。
- 漏洞是否已經有概念驗證 (POC) 攻擊程式嗎?POC 是威脅最一開始的程式碼實作。擁有 POC 就意味著網路駭客不須要自己從頭開發攻擊程式碼,他們可以拿 POC 作基礎。有了可用的 POC,那網路攻擊的可能性就會變高,所有一旦有了 POC,修補的順序最好是提前,而非延後。
- 漏洞可以讓駭客做些什麼?假使一個未修補的軟體可能讓駭客存取某個獨立的系統,但沒有太大機會存取其他企業資源,或執行動作的權限有限,那麼損害的風險就相對較低。反觀如果它可以讓駭客取得系統管理員權限,並且從遠端控制系統和程式碼,那麼就應該立即套用資安修補。
綜合上述因素以及其他企業特有的考量,再加上企業的業務狀況,就能提供一個更具體、更具策略意義、且更細膩的風險評分來當成修補決策的參考。顯然,上述問題的答案都無法單純從漏洞本身的技術層面獲得,必須要對受攻擊面及威脅環境有更全面的理解,而這可仰賴人工智慧 (AI) 和機器學習導向的分析以及最新的威脅情報來提供。
零時差漏洞是一項日益嚴重的風險
修補與保持軟體更新的重要性早已不是新聞:IT 專家和分析師多年來一直再不斷宣導這項訊息,但威脅情勢的變化使得企業應該聚焦的漏洞型態早已不同。
一個廠商已經釋出資安修補的已知漏洞是所謂的「N 日漏洞」(N-day vulnerability),其中 N 代表資安修補發布至今已經過多少天。絕大多數企業都已經很熟悉如何解決 N 日漏洞,因此,網路駭客會花費更多心力在零時差 (也就是零日 zero-day) 攻擊。
零時差攻擊專門攻擊當下還沒有資安修補的漏洞,駭客通常需要投入更多成本來發動這類攻擊,根據 2020 年一份 CSO Online 上的文章指出大約從 3,000 美元起跳,不過勒索病毒集團和其他駭客應該可以從漏洞攻擊當中獲得足夠的利潤,因此輕輕鬆鬆就能負擔得起。
無限期漏洞 (Forever-day) 攻擊是另一項隱憂
企業在沒有正式資安修補可用的情況下,在面對零時差漏洞時將陷入劣勢。同樣的情況也發生在無限期漏洞 (forever-day vulnerability),這些是「永遠不會修補」的漏洞。這類漏洞的形成來自於含有漏洞的軟體或作業系統已經不再獲得開發人員支援,或者其底層的硬體產品維護週期很短,因此 (理論上) 不需要修補,例如某些物聯網 (IoT) 裝置。
還有一種情況是,有些醫療和製造業裝置的廠商為了維持其裝置的完整性而「禁止」其他人修補其軟體,只有他們自己可以修補。有些甚至寫在合約裡面,如果客戶試圖自行套用資安修補,就會喪失保固。
所以,在這樣的情況下,企業該如何降低零時差漏洞與無限期漏洞的風險?
虛擬修補是個不錯的替代方案
一個很方便的選項就是採用虛擬修補。虛擬修補是由信譽優良的廠商所開發及發布,通常會在正式修補釋出之前的數個月就有虛擬修補可套用,而且在許多情況下不須將裝置重新開機。
虛擬修補通常非常彈性,而且日後若廠商釋出正式的修補更新,也可以隨時關閉。雖然虛擬修補無法適用於所有情況,但有時候還是可以在含有漏洞的裝置周圍的網路套用虛擬修補來提供一層防禦,尤其當裝置無法安裝資安軟體時。
網路資安風險的衡量必須考慮情境
細膩的資安修補管理,關鍵就在於捨棄單純以嚴重性評分為依據,在企業的業務需求以及真實世界威脅環境的情境下衡量風險。如此才能更有效判斷哪些資安修補必須立即套用。
隨著越來越多企業改用軟體服務 (SaaS) 的應用程式消費模式,修補更新的重擔將慢慢減輕。SaaS 廠商會搞定所有修補流程:一旦發現漏洞就直接在雲端內進行修補並套用至所有使用者,客戶完全不費力氣。
此外,目前也有各種工具來協助企業執行風險導向的軟體漏洞與資安修補評估,從而以更具策略意義的方式主動管理企業整體受攻擊面的風險。
原文出處:Security Patch Management Strengthens Ransomware Defense