如何學習網絡攻防？

在攻防演練過程中，紅隊作為攻擊方，會在初始環節通過各種手段進行信息偵察，尋找防守方的脆弱點，以此作為入侵防守方的跳板。而數量不斷攀升的漏洞，則成為紅隊進行攻擊的重要突破口。2021年，新增漏洞創下歷史新高，首次超過了20,000個，達到20,175個CVE，比2020年增長了10%，這是自2018年以來最大的增長。

圖1：2017-2022年新增漏洞情況

在漏洞數量快速增長，攻擊者攻擊手段不斷更新的情況下，沒有一個行業是安全的，甚至我們賴以生存的能源、水和食物等關鍵基礎設施也受到攻擊。根據 Ponemon 研究所與 IBM 發布的《2021 數據泄露成本報告》顯示，2021 年數據泄露的平均成本是 424 萬美元。因此，漏洞管理不容忽視。

圖2：2015-2021年數據泄露的平均成本

有數據顯示，90%的攻擊事件都利用了未修補的漏洞，且攻擊手段不斷變化，網絡安全狀況也在隨著安全漏洞的增加變得日益嚴峻。但面對如此龐大的漏洞數量和嚴峻的安全形勢，防守方在攻防演練中，該從何處著手進行有效的漏洞管理呢？詳細解決方案，請掃描下方二維碼下載《2022漏洞管理指南》。

圖3：《2022漏洞管理指南》目錄

掃描二維碼下載《2022漏洞管理指南》

漏洞管理面臨的四大挑戰

隨著漏洞數量逐年攀升，IT基礎設施復雜性不斷增加，漏洞管理變得越來越艱難。在網絡安全領域，攻防雙方向來是不對等的。攻擊方只要找到一個漏洞，就可以突破整個防御體系。而防守方卻需要找到所有漏洞，才能防止攻擊者攻擊成功。面對這種窘境，每一個被忽略的漏洞，都可能會成為紅隊突破防御體系的地雷。在多年的一線實戰中，我們發現，防守方在處理漏洞管理時通常會面臨以下問題。

資產清點不完整：許多公司的資產清點數據非常少。在攻防演練這類高強度對抗中，一旦發現漏洞，防守方需要迅速通過資產列表來確定有多少資產受到該漏洞影響、都分布在哪里、以及有多少資產可以被安全修補。但如果沒有每個資產的詳細情況，就不太可能找到受影響的資產。你無法保護你看不到的東西。細粒度的資產清點對于高效的漏洞管理至關重要。掌握資產信息越多，漏洞分析和優先排序能力就越強。

漏洞難識別：漏洞掃描的目的是識別系統的脆弱點，以便迅速確保基礎設施的漏洞不被利用。但通常漏洞掃描會消耗一定的網絡帶寬資源，影響系統的正常運行。而且，漏掃工具自身可能存在漏洞，并不能收集100%的漏洞信息。而基于Agent的主機安全防護系統則是解決這一問題的不二之選。詳細掌握了資產情況以及對資產及漏洞的實時覆蓋情況，就距離保護最關鍵資產又近了一步。

漏洞進行優先排序難：根據ESG研究顯示，34%的安全人員表示，其漏洞管理中面臨的最大挑戰就是不知道該優先處理哪些漏洞。面對成百上千的漏洞，感覺有點像在玩打地鼠游戲，看不到盡頭。為了確定修復漏洞的優先次序，企業需要進行360度的風險評估，包括CVE或CVSS之外的全面風險評分。以詳細的資產信息作為漏洞管理的基礎，最關鍵或最有風險的資產有助于確定優先級，因為每個關鍵漏洞對操作系統的安全風險不盡相同。

漏洞難補救：補救漏洞的方式通常是打補丁或更新供應商發布的軟件和錯誤修復。如果60%的漏洞有可用但未應用的補丁，那問題就很好解決了，但事情并沒那么簡單。首先，有數據顯示，補丁管理只能覆蓋10%的已知漏洞，這意味著其他90%的已知漏洞無法修補。其次，即便是有補丁，但面對數量如此龐大的漏洞，企業也很少有足夠的人力、物力和財力來針對這些漏洞進行測試和修復。這時，能夠自動化處理漏洞的工具便成為了漏洞管理的重要利器。

改善漏洞管理的五大措施

針對企業在漏洞管理方面存在以上挑戰，我們建議企業在參與攻防演練前采取以下五大措施來改善漏洞管理，掃除基礎設施中隱藏的“地雷”。

定期進行滲透測試：網絡安全應優先考慮針對外部攻擊的網絡安全，在攻防演練中主要是紅隊穿透網絡。滲透測試在網絡安全威脅管理方面是公認有效的手段。它通過檢測和修復漏洞，確保企業的網絡安全。通過滲透測試定期進行漏洞管理可以讓組織機構詳細地了解安全漏洞并采取相應的控制措施。有關滲透測試的詳細信息，請參見《知己知彼：怎樣選擇一家靠譜的滲透測試服務商？滲透測試提供商選型指南》。

制定漏洞補丁時間計劃表：組織機構需要定期進行軟件更新，因為供應商的軟件始終在不斷迭代和改進。進行軟件更新后，可以對抵御攻擊者起到最佳作用。但在進行更新前，需要對更新版本進行測試，以免更新后出現問題。

進行細粒度的IT資產盤點：在對軟件進行漏洞研究的同時，硬件也需要關注，不應該被遺忘。老舊的或被遺忘的硬件或程序很容易成為攻擊者的目標。這類資產會成為企業的嚴重漏洞，因此，組織機構需要定期跟蹤或清點軟硬件資產。青藤萬相可以通過設置檢查規則，自動檢查已安裝探針主機，以及所在網絡空間未納入安全管理的主機，包括老舊的或被遺忘的服務器。此外，青藤萬相的資產清點功能可根據用戶需要，自定義時間周期，自動化構建細粒度資產信息，可對主機資產、應用資產、Web 資產等進行全面清點，保證用戶可實時掌握所有主機資產情況。

隨時更新網絡威脅情報：隨著網絡威脅數量不斷增長，組織機構掌握的威脅信息總是很少，因此，組織機構需要不斷了解并識別最新威脅和漏洞。關注和跟蹤潛在漏洞有助于組織機構改善網絡安全狀況，避免最新的威脅。

加強網絡安全基礎設施的管理：組織機構需要保持良好的網絡安全實踐，以改善基礎設施的安全性。員工和工作人員應正確理解網絡安全最佳實踐，并按此行事。任何疏忽或不良實踐都可能導致發生漏洞利用。因此，定期更新和適當的員工培訓，有助于實現網絡安全最佳實踐。

總結

面對龐大的漏洞數量，漏洞管理變得越來越艱難，但縱觀嚴峻的網絡安全形勢，制定高效的漏洞管理方案卻是刻不容緩。在攻防演練中，每一個被忽略的漏洞都可能會成為防守方看似銅墻鐵壁的防御體系中的隱藏地雷。這需要企業在事前采取高效的漏洞管理流程和措施，做好安全防備。有關漏洞管理的更多信息，請掃碼下載《2022漏洞管理指南》。