面對企業網路基礎架構日益複雜,漏洞管理及修補的資安事務比過往更加消耗企業資源;駭客也時刻找尋,並利用漏洞入侵企業系統架構,以獲取情資或部署攻擊。誰能最快速修補漏洞或藉此發動攻擊,便成為資安風險管理的重要關鍵。
|
趨勢科技指出漏洞管理三要點:針對自身場域制定修補流程、提升可視性、關注資安情報。 |
為此,趨勢科技在今年共同主辦的CYBERSEC 2024台灣資安大會中,針對不同垂直產業應用場域漏洞所面臨的獨特挑戰,提出4大漏洞生命週期樣態,帶領現代企業審視自身場域制定修補流程機制;同時呼籲企業應增強資安設備的可視性,並隨時關注漏洞資安情報,方能即時有效評估並降低曝險。
如今修補漏洞已不僅是一項技術工作,更是一場全面的戰略行動,涉及組織內部的流程、資源分配和資安文化的建立。然而,漏洞管理的生命週期從發現漏洞、發布補丁、到修補完成的每個階段,企業應根據自身獨特場域特性和資安需求制定相應舉措,強化前期預防,並將漏洞管理模式區分為以下4種類型:
1. 典型漏洞管理模式:傳統軟體供應商如微軟、思科和蘋果等,通常會遵循定期發布修補程式的慣例。惟從發現漏洞、通知廠商、揭露漏洞並提供補丁,直到實際套用完成更新,約須耗費長達3~10個月時間,足以讓駭客準備進攻,企業資安亦危機四伏。
2. 敏捷漏洞管理模式:為了更快回應環境中的漏洞風險,包括Google等雲端服務供應商會採取更敏捷的策略來執行修補更新作業,須隨時保持靈活性,以免手忙腳亂。
3. 客戶部署導向漏洞管理模式:諸如工控與自動化廠商在管理漏洞時,會優先考量如何協助其客戶快速部署修補更新,而非對外揭露漏洞。因此,公共漏洞揭露資料庫(Common Vulnerabilities and Exposures,CVE)較難以發揮價值,企業反而須透過付費型的漏洞管理協議,來強化其縱深防禦策略。
4. 無線軟體更新OTA漏洞管理模式:如終端行動裝置、汽車供應商,常透過無線軟體更新(On The Air;OTA)方式向客戶發布補丁。卻常因地緣區域有別,即使廠商已完成修補更新,對於終端用戶是否確實完成修補更新的掌握度低、延遲部署到終端裝置,也容易會引發駭客入侵攻擊。
趨勢科技威脅研究副總裁,亦是全球最大「非限定廠商獨立漏洞懸賞計畫Zero Day Initiative(ZDI)負責人Brian Gorenc表示:「當今產業面對漏洞揭露和修補時,不僅需要依照其不同的資安場域需求制定相應策略,以確保其適切性,還需要根據所在行業的揭露模式進行風險評估,以提高防範能力。
此外,隨著生成式AI不斷迭代的大勢,未來的漏洞威脅將變得更加棘手。要想在面對漏洞攻擊時拉高風險防禦線,須透過專業工具的協助,以提高對資安可視性的掌握;並於駭客攻擊前,就預先發現可能的資安破口,方能達到預防與防禦的協同效應。
趨勢科技台灣區總經理洪偉淦表示:「漏洞修補是資安風險管理中相當重要的一環,當今企業為抵擋日益嚴峻的外部威脅,投入許多心力在強化偵測回應能力上。但對於如漏洞管理、權限控管等,幫助強化自身資安體質的基本工作卻相對欠缺。獲得風險可視性並進行管理的有效機制,導致有越來越多的資安破口,為駭客增加入侵的機會。」
此外,企業也面臨資產設備增多、系統架構日趨複雜、資料串接頻繁所導致曝險面積擴大的問題。對於企業所面臨的困難挑戰,企業唯有著眼於將資安佈局『左移』,即在風險早期階段就採取行動,搭配全面的偵測及回應,掌握風險預防與威脅情。才能對內部破口與外部威脅做全方位的資安風險控管,為資安防禦力施打預防針,有效抵禦駭客威脅。
趨勢科技Trend Vision One平台則能為企業偵測重大漏洞,透過檢查所有受影響的端點,同時考量安全控制和配置、威脅活動以及暴露情況,提供企業整體風險及可能遭受的衝擊評估。這有助於企業識別未修補或配置錯誤的系統,以及有風險的用戶行為、優先考慮漏洞修復措施、降低攻擊的潛在嚴重性及通知安全遠程訪問。