隨著企業網路基礎架構日益複雜,漏洞管理及修補的資安事務比過往更加消耗企業資源;同時間,駭客也時刻找尋並利用漏洞入侵企業系統架構以獲取情資或部署攻擊,2023 年 Zero Day Initiative(ZDI)漏洞懸賞計畫就發現並揭露了 1,914 個零時差漏洞,相較於 2022 年增加了 12%。
在企業及駭客的資安攻防戰中,誰能最快速達成修補漏洞或利用漏洞發動攻擊,成為資安風險管理的重要關鍵。為此,全球網路資安領導廠商趨勢科技在今年共同主辦的CYBERSEC 2024台灣資安大會中,針對不同垂直產業回應漏洞所面臨的獨特挑戰,提出四大漏洞生命週期樣態,帶領現代企業審視自身場域制定修補流程機制。
同時呼籲企業應增強資安設備的可視性,並隨時關注漏洞資安情報,方能即時有效評估並降低曝險。趨勢科技估計,2023 年期間凡是按部就班套用所有虛擬修補的企業客戶,平均可省下高達 100 萬美元,顯見漏洞修補對企業營運至關重要,更是強化內部系統資安體質的重點任務。
增強資安可視性,強化前期預防以應對不同應用場域的漏洞攻擊挑戰
修補漏洞不僅僅是一項技術工作,更是一場全面的戰略行動,涉及組織內部的流程、資源分配和資安文化的建立。經趨勢科技觀察,漏洞管理的生命週期從發現漏洞、發布補丁、到修補完成的每個階段,企業應根據自身獨特場域特性和資安需求制定相應舉措。針對漏洞管理模式,主要區分為以下四種類型:
一、典型漏洞管理模式:
傳統軟體供應商如微軟、Adobe、甲骨文、思科和蘋果等,通常會遵循定期發布修補程式的慣例,這種預測性揭露使企業能夠定期規劃新的補丁。然而,從發現漏洞、通知廠商、揭露漏洞並提供補丁,到實際套用完成更新,需耗費長達至少 3 到 10 個月的時間,這段時間也足以讓駭客準備進攻,企業資安亦危機四伏。
二、敏捷漏洞管理模式:
為了更快地對環境中的漏洞風險做出回應,如 Google 等雲端服務供應商會採取更敏捷的策略來執行修補更新作業。透過縮短開發進程來加快補丁部署速度,從而縮短駭客利用未修補漏洞來發動攻擊的空窗期;不過此模式對企業的挑戰是因漏洞修補作業具有無法預測之特性,企業團隊需隨時抱持靈活性,以免於面對漏洞風險來襲時呈現手忙腳亂的局面。
三、客戶部署導向漏洞管理模式:
諸如工控與自動化廠商在管理漏洞時,會優先考量如何協助其客戶快速部署修補更新,而非對外揭露漏洞。因此,公共漏洞揭露資料庫(Common Vulnerabilities and Exposures,CVE)較難在此類型模式發揮其價值,企業反而需透過付費型的漏洞管理協議來強化其縱深防禦策略。
四、無線軟體更新OTA漏洞管理模式:
如終端行動裝置、汽車供應商,這類型的廠商常透過無線軟體更新(On The Air,簡稱 OTA)方式向客戶發布補丁,且漏洞修補常受地緣區域不同而有所不同。然而,此類型模式常見的問題是對終端用戶是否確實完成修補更新的掌握度低,造成即便廠商已完成修補更新、但終端用戶延遲部署到終端裝置,而引發駭客入侵攻擊的事件發生。
趨勢科技威脅研究副總裁,亦是全球最大非限定廠商獨立漏洞懸賞計畫 Zero Day Initiative(ZDI)負責人 Brian Gorenc 表示:「當今產業面對漏洞揭露和修補時,不僅需要依照其不同的資安場域需求制定相應策略,以確保其適切性,還需要根據所在行業的揭露模式進行風險評估,以提高防範能力。
此外,隨著生成式人工智慧不斷迭代的大勢,未來的漏洞威脅將變得更加棘手。要想在面對漏洞攻擊時拉高風險防禦線,需透過專業工具的協助以提高對資安可視性的掌握,並於駭客攻擊前就預先發現可能的資安破口,方能達到預防與防禦的協同效應。」
資安佈局向「左移」!掌握風險預防與威脅情報 為資安防禦力施打預防針
趨勢科技台灣區總經理洪偉淦表示:「漏洞修補是資安風險管理中相當重要的一環,然而我們發現當今企業為抵擋日益嚴峻的外部威脅,投入許多心力在強化偵測回應能力上,但對於如漏洞管理、權限控管等幫助強化自身資安體質的基本工作,卻相對地欠缺獲得風險可視性並進行管理的有效機制,導致有越來越多的資安破口,為駭客增加入侵的機會。
此外,企業也面臨資產設備增多、系統架構日趨複雜、資料串接頻繁所導致曝險面積擴大的問題。對於企業所面臨的困難挑戰,企業唯有著眼於將資安佈局『左移』,即在風險早期階段就採取行動,搭配全面的偵測及回應,如此才能對內部破口與外部威脅做全方位的資安風險控管,有效抵禦駭客威脅。」
趨勢科技 Trend Vision One 平台能夠為企業偵測重大漏洞,透過檢查所有受影響的端點,同時考量安全控制和配置、威脅活動以及暴露情況,提供企業整體風險及可能遭受的衝擊評估。這有助於企業識別未修補或配置錯誤的系統以及有風險的用戶行為、優先考慮漏洞修復措施、降低攻擊的潛在嚴重性以及通知安全遠程訪問。
此外,趨勢科技也呼籲企業應隨時關注資安威脅情報,透過全球最大的非限定廠商漏洞懸賞計畫 Zero Day Initiative(ZDI),獲取零時差漏洞與虛擬修補的第一手資訊,降低遭受駭客發動零時差攻擊的風險。
趨勢科技將於 5 月 14 日到 16 日期間,於台灣資安大會中展出助力企業抵禦漏洞攻擊和強化風險管理的前瞻性整合平台 Trend Vision One,同時也將於現場演講議程中分享最新漏洞資安管理、雲端資安管理、資安風險管理等情報資訊,協助企業強化資安佈局。
- 延伸閱讀:趨勢科技擴充 AI 輔助網路資安平台,協助企業防止 AI 遭誤用與外部濫用
- 延伸閱讀:趨勢科技公佈勒索病毒集團 LockBit 犯罪細節讓駭客無所遁形
- 延伸閱讀:趨勢科技全新資安風險管理功能,為企業預測並消除資安事件
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!