隨著企業網路基礎架構日益複雜,漏洞管理及修補的資安事務比過往更加消耗企業資源;同時間,駭客也時刻找尋並利用漏洞入侵企業系統架構以獲取情資或部署攻擊,2023年Zero Day Initiative (ZDI)漏洞懸賞計畫就發現並揭露了1,914個零時差漏洞,相較於2022年增加了12%。在企業及駭客的資安攻防戰中,誰能最快速達成修補漏洞或利用漏洞發動攻擊,成為資安風險管理的重要關鍵。
全球網路資安廠商趨勢科技針對不同垂直產業回應漏洞所面臨的獨特挑戰,提出四大漏洞生命週期樣態,帶領現代企業審視自身場域制定修補流程機制;同時呼籲企業應增強資安設備的可視性,並隨時關注漏洞資安情報,方能即時有效評估並降低曝險。趨勢科技估計註一,2023年期間凡是按部就班套用所有虛擬修補的企業客戶,平均可省下高達100萬美元,顯見漏洞修補對企業營運至關重要,更是強化內部系統資安體質的重點任務。
四種類型的漏洞管理模式
經趨勢科技觀察,漏洞管理的生命週期從發現漏洞、發布補丁、到修補完成的每個階段,企業應根據自身獨特場域特性和資安需求制定相應舉措。針對漏洞管理模式,主要區分為以下四種類型:
一、典型漏洞管理模式
傳統軟體供應商如微軟、Adobe、甲骨文、思科和蘋果等,通常會遵循定期發布修補程式的慣例,這種預測性揭露使企業能夠定期規劃新的補丁。然而,從發現漏洞、通知廠商、揭露漏洞並提供補丁,到實際套用完成更新,需耗費長達至少3到10個月的時間,這段時間也足以讓駭客準備進攻,企業資安亦危機四伏。
二、敏捷漏洞管理模式
為了更快地對環境中的漏洞風險做出回應,如Google等雲端服務供應商會採取更敏捷的策略來執行修補更新作業。透過縮短開發進程來加快補丁部署速度,從而縮短駭客利用未修補漏洞來發動攻擊的空窗期;不過此模式對企業的挑戰是因漏洞修補作業具有無法預測之特性,企業團隊需隨時抱持靈活性,以免於面對漏洞風險來襲時呈現手忙腳亂的局面。
三、客戶部署導向漏洞管理模式
諸如工控與自動化廠商在管理漏洞時,會優先考量如何協助其客戶快速部署修補更新,而非對外揭露漏洞。因此,公共漏洞揭露資料庫(Common Vulnerabilities and Exposures,CVE)較難在此類型模式發揮其價值,企業反而需透過付費型的漏洞管理協議來強化其縱深防禦策略。
四、無線軟體更新OTA漏洞管理模式
如終端行動裝置、汽車供應商,這類型的廠商常透過無線軟體更新(On The Air,簡稱OTA)方式向客戶發布補丁,且漏洞修補常受地緣區域不同而有所不同。然而,此類型模式常見的問題是對終端用戶是否確實完成修補更新的掌握度低,造成即便廠商已完成修補更新、但終端用戶延遲部署到終端裝置,而引發駭客入侵攻擊的事件發生。
趨勢科技台灣區總經理洪偉淦呼籲企業著眼於將資安佈局「左移」
繼續閱讀,下一頁