Ngày 12 tháng 1 năm 2023Tin tức về hacker Quản lý lỗ hổng
Dữ liệu báo cáo của Security Navigator được công bố gần đây cho thấy các doanh nghiệp vẫn đang mất 215 ngày để vá một lỗ hổng được báo cáo. Ngay cả đối với các lỗ hổng nghiêm trọng, thường mất hơn 6 tháng để vá.
Quản lý lỗ hổng tốt không phải là đủ nhanh để vá tất cả các lỗ hổng tiềm ẩn. Đó là về việc tập trung vào rủi ro thực sự bằng cách sử dụng mức độ ưu tiên của lỗ hổng để sửa các lỗi nghiêm trọng nhất và giảm khả năng tấn công của công ty nhiều nhất. Dữ liệu của công ty và thông tin tình báo về mối đe dọa cần phải được tương quan và tự động hóa. Điều này là cần thiết để cho phép các nhóm nội bộ tập trung nỗ lực khắc phục. Các công nghệ phù hợp có thể tạo thành một Nền tảng thông minh về tính dễ bị tổn thương toàn cầu. Một nền tảng như vậy có thể giúp ưu tiên các lỗ hổng bằng cách sử dụng điểm rủi ro và cho phép các công ty tập trung vào rủi ro tổ chức thực sự của họ.
Bắt đầu
Ba sự thật cần ghi nhớ trước khi thiết lập một chương trình quản lý lỗ hổng hiệu quả:
1. Số lỗ hổng được phát hiện tăng lên hàng năm. Trung bình có 50 lỗ hổng mới được phát hiện mỗi ngày nên chúng ta dễ hiểu rằng không thể vá tất cả.
2. Chỉ một số lỗ hổng được khai thác tích cực và có nguy cơ rất cao đối với tất cả các tổ chức. Khoảng 6% của tất cả các lỗ hổng đã từng bị khai thác trong tự nhiên[43]: chúng ta cần giảm bớt gánh nặng và tập trung vào rủi ro thực sự.
3. Cùng một lỗ hổng bảo mật có thể có tác động hoàn toàn khác nhau đối với hoạt động kinh doanh và cơ sở hạ tầng của hai công ty riêng biệt, do đó, cả mức độ rủi ro trong kinh doanh và mức độ nghiêm trọng của lỗ hổng bảo mật đều cần được xem xét. Dựa trên những sự thật này, chúng tôi hiểu rằng không cần phải vá mọi lỗ hổng. Thay vào đó, chúng ta nên tập trung vào những rủi ro thực sự dựa trên bối cảnh mối đe dọa và bối cảnh tổ chức
Khái niệm về quản lý lỗ hổng dựa trên rủi ro
Mục tiêu là tập trung vào các tài sản quan trọng nhất và các tài sản có rủi ro cao hơn để trở thành mục tiêu của các tác nhân đe dọa. Để tiếp cận chương trình quản lý lỗ hổng dựa trên rủi ro, chúng ta cần xem xét hai môi trường.
Môi trường bên trong
Cảnh quan của Khách hàng đại diện cho môi trường bên trong. Mạng lưới của các công ty đang phát triển và đa dạng hóa và bề mặt tấn công của họ cũng vậy. Bề mặt tấn công đại diện cho tất cả các thành phần của hệ thống thông tin mà tin tặc có thể tiếp cận. Có một cái nhìn rõ ràng và cập nhật về hệ thống thông tin của bạn và bề mặt tấn công của bạn là bước đầu tiên. Nó cũng quan trọng để xem xét bối cảnh kinh doanh. Trên thực tế, các công ty có thể là mục tiêu lớn hơn tùy thuộc vào lĩnh vực kinh doanh của họ do dữ liệu và tài liệu cụ thể mà họ sở hữu (sở hữu trí tuệ, quốc phòng được phân loại…). Yếu tố quan trọng cuối cùng cần xem xét là bối cảnh riêng của công ty. Mục tiêu là phân loại tài sản theo mức độ quan trọng của chúng và làm nổi bật những tài sản quan trọng nhất. Ví dụ: các tài sản nếu không có sẵn sẽ gây ra sự gián đoạn nghiêm trọng đối với tính liên tục của hoạt động kinh doanh hoặc các tài sản có tính bảo mật cao mà nếu có thể truy cập được sẽ khiến tổ chức phải chịu nhiều vụ kiện.
Môi trường bên ngoài
Bối cảnh mối đe dọa đại diện cho môi trường bên ngoài. Không thể truy cập dữ liệu này từ mạng nội bộ. Các tổ chức cần có nguồn nhân lực và tài chính để tìm và quản lý thông tin này. Ngoài ra, hoạt động này có thể được đưa ra bên ngoài cho các chuyên gia, những người sẽ thay mặt tổ chức giám sát bối cảnh mối đe dọa.
Biết các lỗ hổng đang được khai thác tích cực là điều bắt buộc vì chúng thể hiện rủi ro cao hơn cho một công ty. Những lỗ hổng bị khai thác tích cực này có thể được theo dõi nhờ khả năng thông minh về mối đe dọa kết hợp với dữ liệu lỗ hổng. Để có kết quả hiệu quả nhất, thậm chí còn tốt hơn nếu nhân rộng các nguồn thông tin tình báo về mối đe dọa và tương quan chúng. Hiểu hoạt động của kẻ tấn công cũng có giá trị vì nó giúp dự đoán các mối đe dọa tiềm ẩn. Ví dụ: thông tin tình báo liên quan đến zero-day mới hoặc một cuộc tấn công ransomware mới có thể được xử lý kịp thời để ngăn chặn sự cố bảo mật.
Kết hợp và hiểu cả hai môi trường sẽ giúp các tổ chức xác định rủi ro thực sự của họ và xác định chính xác hơn nơi nên triển khai các hành động phòng ngừa và khắc phục. Không cần phải áp dụng hàng trăm bản vá mà thay vào đó là mười bản vá, những bản được chọn, sẽ làm giảm đáng kể bề mặt tấn công của một tổ chức.
Năm bước chính để triển khai chương trình quản lý lỗ hổng dựa trên rủi ro
Nhận biết: Xác định tất cả nội dung của bạn để khám phá bề mặt tấn công của bạn: quét khám phá có thể giúp bạn có cái nhìn tổng quan đầu tiên. Sau đó, khởi chạy quét thường xuyên trên môi trường bên trong và bên ngoài của bạn và chia sẻ kết quả với Nền tảng thông minh dễ bị tổn thương.
Bối cảnh hóa: định cấu hình bối cảnh kinh doanh của bạn cũng như mức độ quan trọng của tài sản của bạn trong Nền tảng thông minh dễ bị tổn thương. Kết quả quét sau đó sẽ được ngữ cảnh hóa với điểm số rủi ro cụ thể cho mỗi tài sản.
Làm giàu: Kết quả quét cần được làm phong phú hơn bằng cách sử dụng các nguồn bổ sung do Nền tảng thông tin về lỗ hổng bảo mật cung cấp, chẳng hạn như thông tin tình báo về mối đe dọa và hoạt động của kẻ tấn công sẽ giúp ưu tiên xem xét bối cảnh mối đe dọa.
khắc phục: Nhờ có điểm rủi ro được cung cấp cho mỗi lỗ hổng, có thể phù hợp với các tiêu chí tình báo về mối đe dọa như “dễ dàng khai thác”, “khai thác tự nhiên” hoặc “khai thác rộng rãi”, chẳng hạn, việc ưu tiên khắc phục hiệu quả sẽ dễ dàng hơn nhiều.
Sự đánh giá: Theo dõi và đo lường tiến độ của chương trình quản lý lỗ hổng của bạn bằng cách sử dụng KPI cũng như bảng điều khiển và báo cáo tùy chỉnh. Đó là một quá trình cải tiến liên tục!
Đây là một câu chuyện từ các chiến hào được tìm thấy trong báo cáo 2023 Security Navigator. Bạn có thể tìm thấy thêm thông tin về các lỗ hổng bảo mật và các nội dung thú vị khác bao gồm phân tích phần mềm độc hại và tống tiền trên mạng, cũng như rất nhiều dữ kiện và số liệu về bối cảnh bảo mật trong báo cáo đầy đủ. Bạn có thể tải xuống miễn phí hơn 120 trang báo cáo trên trang web Orange Cyberdefence. Vì vậy, có một cái nhìn, nó là giá trị nó!
Lưu ý: Câu chuyện giàu thông tin này được tạo ra một cách chuyên nghiệp bởi Melanie Pilpre, giám đốc sản phẩm tại Orange Cyberdefense.
