隨著企業網路基礎架構日益複雜,漏洞管理及修補的資安事務比過往更加消耗企業資源。同時,駭客也時刻找尋並利用漏洞入侵企業系統架構以獲取情資或部署攻擊。2023年Zero Day Initiative (ZDI)漏洞懸賞計畫就發現並揭露了1,914個零時差漏洞,相較於2022年增加了12%。在企業及駭客的資安攻防戰中,誰能最快速達成修補漏洞或利用漏洞發動攻擊,成為資安風險管理的重要關鍵。
趨勢科技提出四大漏洞生命週期樣態,帶領現代企業審視自身場域制定修補流程機制;同時呼籲企業應增強資安設備的可視性,並隨時關注漏洞資安情報,方能即時有效評估並降低曝險。
四大漏洞生命週期樣態
- 典型漏洞管理模式:傳統軟體供應商如微軟、Adobe、甲骨文、思科和蘋果等,通常會遵循定期發布修補程式的慣例,這種預測性揭露使企業能夠定期規劃新的補丁。然而,從發現漏洞、通知廠商、揭露漏洞並提供補丁,到實際套用完成更新,需耗費長達至少3到10個月的時間,這段時間也足以讓駭客準備進攻,企業資安亦危機四伏。
- 敏捷漏洞管理模式:為了更快地對環境中的漏洞風險做出回應,如Google等雲端服務供應商會採取更敏捷的策略來執行修補更新作業。透過縮短開發進程來加快補丁部署速度,從而縮短駭客利用未修補漏洞來發動攻擊的空窗期;不過此模式對企業的挑戰是因漏洞修補作業具有無法預測之特性,企業團隊需隨時抱持靈活性,以免於面對漏洞風險來襲時呈現手忙腳亂的局面。
- 客戶部署導向漏洞管理模式:諸如工控與自動化廠商在管理漏洞時,會優先考量如何協助其客戶快速部署修補更新,而非對外揭露漏洞。因此,公共漏洞揭露資料庫(Common Vulnerabilities and Exposures,CVE)較難在此類型模式發揮其價值,企業反而需透過付費型的漏洞管理協議來強化其縱深防禦策略。
- 無線軟體更新OTA漏洞管理模式:如終端行動裝置、汽車供應商,這類型的廠商常透過無線軟體更新(On The Air,簡稱OTA)方式向客戶發布補丁,且漏洞修補常受地緣區域不同而有所不同。然而,此類型模式常見的問題是對終端用戶是否確實完成修補更新的掌握度低,造成即便廠商已完成修補更新、但終端用戶延遲部署到終端裝置,而引發駭客入侵攻擊的事件發生。
趨勢科技建議企業採取以下措施,以強化漏洞管理及修補能力:
- 根據自身場域制定修補流程機制:企業應根據自身獨特場域特性和資安需求制定相應的漏洞管理流程機制,以確保漏洞修補工作的有效性和效率。
- 增強資安設備的可視性:企業應透過資安設備強化資安可視性,以全面掌握資安風險狀況,並及時發現和處理潛在的漏洞威脅。
- 關注漏洞資安情報:企業應隨時關注資安威脅情報,並通過可靠的資安情報來源獲取零時差漏洞與虛擬修補的第一手資訊,降低遭受駭客發動零時差攻擊的風險。
趨勢科技Trend Vision One 平台
趨勢科技Trend Vision One 平台能夠為企業偵測重大漏洞,透過檢查所有受影響的端點,同時考量安全控制和配置、威脅活動以及暴露情況,提供企業整體風險及可能遭受的衝擊評估。這有助於企業識別未修補或配置錯誤的系統以及有風險的用戶行為、優先考慮漏洞修復措施、降低攻擊的潛在嚴重性以及通知安全遠程訪問。
漏洞修補是資安防禦的重要一環,企業應重視漏洞管理及修補工作,並採取有效的措施強化漏洞管理能力,以降低資安風險。
