CVE差强人意的原因
在安全研究人员眼中,通用漏洞与暴露(CVE)确实是个问题,但原因可能与大众所想的不太一样。
虽然IT和安全团队会因为CVE带来的威胁和所造成的大量修复工作而很不喜欢此类漏洞,但现代安全规程与CVE相关联的方式才是问题所在。我们的缓解策略变得过于专注“漏洞管理”,过于以CVE为中心,而若想有效缩减暴露面,我们真正需要的却是以黑客为中心的方法。
以漏洞管理为主要策略其实没什么效果。美国国家标准与技术研究所(NIST)揭示,仅2021年一年就发现了两万多个新漏洞。漏洞发现数量连续五年刷新纪录,而且2022年看起来还会延续这一趋势。安全团队其实无法每年修复两万多个新漏洞,就算能修复,也不应该全都修复。
上述论点或许听起来有点违反直觉,但其背后是有原因的。首先,最近的研究揭示,仅15%的漏洞可以实际利用,所以对于满负荷运转的安全团队而言,每个漏洞都修复并不能有效利用时间。其次,同样重要的是,即使真的持续修复网络上的所有CVE,也未必真就能有效阻止黑客。
黑客策略庞杂繁多
网络钓鱼、鱼叉式网络钓鱼、各个层次的社会工程、凭证盗窃、默认凭据、未经身份验证的标准接口(FTP、SMB、HTTP等)访问、不用密码即可访问的热点、网络投毒、密码破解——黑客使用的策略丰富多样,其中许多甚至不需要高级CVE或任何CVE就可对企业造成威胁。最近的Uber数据泄露就是个绝佳案例,黑客压根儿没利用最新CVE或过于复杂的攻击方法就成功了。
取决于你是否相信黑客在Uber的Slack频道上所言,或者Uber最近的评论,黑客要么是个通过巧妙社会工程/鱼叉式网络钓鱼攻击从Uber员工那儿渗漏出数据的18岁青年,要么是执行鱼叉式网络钓鱼攻击并利用暗网所获第三方承包商被泄凭证的南美黑客组织Lapsus$。无论哪种情况,都不涉及复杂编程或漏洞利用。相反,这就是个久经验证的老套路而已。
漏洞不重要,方法是关键
别误会,漏洞修复是很重要的一项工作,是良好安全态势的关键部分,也是每个安全策略的重要构成。问题在于,现在的很多工具都重在仅基于通用漏洞评分系统(CVSS)的修复建议,却忽略了组织环境:了解如何筛选出有实际意义的那15%的漏洞。
以色列国防军资深渗透测试人员、主管渗透测试和红队队员的Pentera研究副总裁Alex Spivakovsky表示,真正其决定作用的不是漏洞,而是方法。攻击不是始于重大漏洞并不意味着攻击不会造成重大伤害。对公司而言最危险的漏洞CVSS得分可能只有5分,埋在一长串高分误报底下默默无闻。
被泄凭证威胁更大
被泄凭证对普通公司的威胁可能远大于十几个新CVE的总和,但很多公司并未设置发现自家凭证是否在暗网流传的任何规程。我们表现得好像黑客会花费无数小时开发CVE利用程序一样,而他们实际上只是在找最高效的方式来访问我们的网络。现在的很多黑客和黑客组织都是求财,既然求财,其表现就跟任何公司一样了:时间花在刀刃上,追求最佳投资回报率。既然能轻松买到或刮取登录凭证,何苦耗费时间执行复杂攻击呢?
当下,我们的防御措施效果不佳,而作为安全专业人员,我们需要重新审视弱点都在何处。尽管漏洞管理肯定是任何有意义的安全策略的核心部分,但我们不能再将其作为主要方法了。相反,我们需要仔细考虑黑客所用策略,我们的安全策略要重在如何阻止黑客上。想要有效减少威胁暴露面,我们的策略就必须专注了解现实世界中黑客用来针对我们的技术和方法。