来自 网络 2021-11-05 14:08 的文章

服务器防护_阿里云盾叶敏_优惠券

服务器防护_阿里云盾叶敏_优惠券

一段时间以来,我一直在谈论采用基于风险的漏洞管理(VM)方法的好处。事实上,自从Jeff Heuer和我创立了Kenna Security。对于那些已经听说过并被出售的人,我希望这篇文章能真实地反映出基于风险的("新学校")虚拟机相对于普通的、旧的(旧的)虚拟机的好处。对于那些还没有这样做的人来说,没关系,数据驱动的人如果不受欢迎的话就什么都不是了。虽然我明白"5个为什么"是一种被广泛接受的审问方式,但作为4个孩子的父亲,我习惯于多回答几次"为什么"。所以让我们开始吧。7个为什么1你不能补救所有的事情(你也不一定需要),但你很可能可以补救有风险的东西看看我们在Kenna Security的数据库,平均每个企业有3900万个漏洞。是的,没错,3900万个漏洞。同时,我们的研究还发现,任何组织,无论规模大小,都只能解决大约每10个漏洞中的一个,请参见下面的图表,以了解这是什么样子。对于听众中的数据负责人,请欣赏R2统计数据的优势。这些数字似乎相当令人沮丧,表明组织不可能跟上漏洞的数量。但不要太沮丧,有好消息。只有5%的漏洞是在组织内部观察到的,并且已知被利用,所以说真的,这些是你应该关注的地方,毕竟,防御ddoscc攻击,可能性很重要。通过基于风险的方法,您可以快速、轻松地识别这些高风险vuln,以便您的团队能够优先解决这些问题。我们与Cyentia Institute的最新研究发现,虽然组织无法修复所有可以修复的东西,但它们确实能够修复所有的高风险漏洞。 2并非所有资产或应用程序的创建都是平等的老实说,不是组织中的每个端点、服务器或应用程序都具有相同的风险状况。有些不托管敏感信息,有些没有提供有吸引力的目标,有些可能更难访问。对于传统的VM来说,这些差异很难量化,这是一个完全依靠人力进行评估的主观过程。虽然一个聪明的安全分析师可以考虑资产的关键性,即使在旧的VM方法中,它也不能扩展。新的学校虚拟机技术允许您自动考虑资产、系统或应用程序的重要性;该资产或应用程序上或内部的信息的重要性;然后使用这些信息来确定是否应将修复该系统上的漏洞放在另一个系统上的漏洞之前。请记住,应用程序或资产的重要性不仅仅在于存储或处理的数据。威胁建模是新学校虚拟机的重要组成部分。以一个流行的公共网站为例,该网站主要是"宣传册软件",供消费者了解有关给定主题的更多信息。此网站可能不需要登录或存放任何敏感数据。事实上,它可以完全公开。但是假设这个流行的网站被破坏了,被用来提供恶意软件。你的非常公开的网站现在正在攻击数以百万计的用户,防御cc的软件,以破坏他们的机器。三。从多个源和工具获取完整图片对于虚拟机来说,仅仅扫描漏洞或从一两个扫描供应商引入数据只是其中的一部分。要真正降低你的风险状况,你需要大局。你的四壁之外发生了什么?任何脆弱性的现实后果是什么?所有工具(包括AppSec)的所有漏洞是什么?在传统的虚拟机方法下,组织可能有威胁情报来源(如果他们是先进的),但这是一个手动过程,需要mad skillz和大量时间来研究每一个漏洞,访问5到10个网站,阅读有关该漏洞的信息,查看威胁情报报告,在任何可用的数据(开放或封闭源代码)中查找签名或漏洞利用,考虑漏洞的技术细节,然后进行评估。幸运的是,新学校的虚拟机使用数据科学在规模上关联威胁情报,使数百个不同的数据源正常化,并给团队宝贵的时间去做其他更具战略性的项目。此外,仅仅拥有一个供应商的feed集来确定VM策略已经不够了。通过真正基于风险的漏洞管理,您可以从您拥有的所有漏洞工具中提取数据,并将这些信息关联起来,以根据整个环境的整体情况来确定从何处开始修复工作。这一点在应用程序安全领域尤其重要,因为应用程序安全领域有着广泛的安全扫描工具,从SAST、DAST、SCA到bug奖励。4没人有时间做这件事吗?把所有事情都自动化我在上面提到了在当今数据密集的环境中自动化的重要性,但这一点非常重要,我觉得它应该得到它自己的呼吁。传统的方法是通过一个巨大的Excel电子表格手动跟踪漏洞,然后让安全团队进行评估,这已经跟不上日益增长的数据量和漏洞。今天,有更多的数据可以从中提取,但也有更多的数据超出了人类能够或应该期望的,自己筛选出来的数据。幸运的是,防御cc跳转,大量的数据是机器处理得很好的事情之一。自动化日常任务可以让安全团队自由地处理数据,而不是花宝贵的时间清理和关联这些数据。例如,漏洞数据的清理、关联、重复数据消除和映射到组织的资产都应该是自动化的。此外,应该利用自动化来消除误报,并修复扫描技术之间自然出现的误报,从而防止团队浪费宝贵的时间试图修复未损坏的内容,或者更糟的是,忽略关键问题。自动化还可以用于获取有关vuln的数据、关于这些vuln的风险的数据、关于如何修复这些vuln的数据,并通过已经用于管理事件、修复、bug和特性的工具将这些数据发送到修复vulns IT或dev的团队。所有这些自动化可以大大简化您的预防和补救工作。5根据他们真正关心的事情向管理层汇报这是一个大胆的新世界,董事会级别的审查网络安全计划。这对CISO来说是一个令人兴奋的机会,但前提是他们能够以有意义的方式向董事会报告。关注风险是一种清晰沟通的方式,也是他们在向董事会提交报告时能够理解的方式。过去,你会把一份vulns的电子表格交给董事会(或者如果你更喜欢一些3乘3矩阵的热图),然后试着解释如何根据一些看似武断的标准来修正一个子集,就足以降低违规的风险。电子表格方法速度慢,不可扩展,不切实际,它不能帮助任何人了解风险。在这种方法下,董事会成员仍然缺少了解组织风险状况所需的背景,而这正是他们真正关心的。他们想知道本组织目前在风险方面的状况,与上个月相比情况如何,在减少组织的风险敞口方面取得了哪些进展,云ddos防御,计划采取什么措施来降低风险,以及以何种成本降低风险。通过对脆弱性管理采取基于风险的方法,防御ddos虚拟主机,安全小组可以向董事会提交有意义的报告,并确信他们的努力实际上正在改变本组织的风险状况。6避免因高调违规和漏洞标识而分心尽管围绕漏洞和漏洞的炒作已经引起了人们对安全重要性的迫切关注,但并非所有的漏洞都值得"名人治疗"。随着有关安全漏洞的新闻和炒作升级,安全团队越来越难跟上威胁形势并决定如何应对优先考虑他们的努力。在某些情况下,炒作是有根据的,但在其他情况下,炒作可能导致员工搜捕和修补一个不构成任何真正危险的漏洞。同时,增加的噪音会掩盖需要注意的关键风险。安全团队需要一种方法来警惕威胁,并根据真正重要的因素确定工作的优先级。实现这一目标需要安全团队将风险作为一种客观、一致的方法来确定补救的优先级。7加强合作我们都认识到IT和dev在修复vulns上的时间非常有限,而做补丁常常会让他们不必花时间去完成关键任务。他们通常认为安全修复是一项没有回报的任务,因此任何有助于跨团队协作的东西都是受欢迎的。通过使用风险的通用语言,安全性既可以识别并简化他们要求IT和dev修复的漏洞数量,也可以清楚地说明他们为什么这么做。一个基于风险的自动化漏洞管理系统还可以自动跟踪和共享信息(如上所述),从而在团队之间带来另一个层次的合作与协作。就这样。数据驱动的新学校漏洞管理在一周中的任何一天都胜过旧的学校虚拟机,这是主要原因之一。