漏洞管理已經(jīng)成為應(yīng)用程序安全的一個(gè)重要方面。漏洞管理缺失的后果可能十分嚴(yán)重，正如一些引人注目的漏洞所證明的那樣。2021年，由未修補(bǔ)的Apache Struts漏洞（CVE-2017-5638）導(dǎo)致的Equifax數(shù)據(jù)泄露致使1.47億人的敏感數(shù)據(jù)泄露，造成了7億美元的和解賠償。

同樣是在2021年，對(duì)Log4Shell漏洞（CVE-2021-44228）的利用影響了微軟、亞馬遜和蘋果等公司，導(dǎo)致全球修復(fù)成本預(yù)計(jì)遠(yuǎn)超100億美元。

2022年，LastPass的開發(fā)環(huán)境因一個(gè)未修補(bǔ)的Plex漏洞遭到破壞，導(dǎo)致密碼庫被盜，造成了嚴(yán)重的聲譽(yù)損害和客戶流失。

下述多項(xiàng)權(quán)威研究都強(qiáng)調(diào)了投資漏洞管理的重要性：

• IBM的《數(shù)據(jù)泄露成本報(bào)告》顯示，與沒有自動(dòng)化安全流程的組織相比，完全部署了安全自動(dòng)化（包括漏洞管理）的組織所經(jīng)歷的泄露成本平均低305萬美元。
• Gartner關(guān)于《漏洞管理最佳實(shí)踐》的研究表明，采用基于風(fēng)險(xiǎn)的方法的組織比那些只依賴定期掃描的組織少經(jīng)歷80%的漏洞。
• 波耐蒙研究所（Ponemon Institute）的《漏洞管理狀態(tài)》研究顯示，漏洞修補(bǔ)周期超過30天的組織被攻破的可能性要高出50%。
• NIST的《國家漏洞數(shù)據(jù)庫（NVD）統(tǒng)計(jì)數(shù)據(jù)》顯示，新的漏洞持續(xù)增加，突出了對(duì)強(qiáng)大漏洞管理的需求正日益增長。

盡管有如此多的警示性故事，許多組織仍然無法實(shí)現(xiàn)一個(gè)有效的、與開發(fā)生命周期同步的漏洞管理過程。VMware的一份報(bào)告顯示，78%的受訪組織在2021年至少遭遇過兩次勒索軟件攻擊，未修補(bǔ)的漏洞是主要的攻擊媒介。本文提供了一種構(gòu)建和自動(dòng)化漏洞管理管道的實(shí)用方法，該管道可以識(shí)別安全問題，幫助確定優(yōu)先級(jí)并有效地修復(fù)它們。

了解現(xiàn)代漏洞管理

現(xiàn)代漏洞管理不僅僅是簡單的漏洞掃描和修補(bǔ)。它需要一種與你的開發(fā)生命周期無縫集成的系統(tǒng)方法，提供對(duì)安全漏洞的持續(xù)監(jiān)視、評(píng)估和補(bǔ)救，以跟上新漏洞出現(xiàn)的速度。一個(gè)有效的漏洞管理管道應(yīng)該解決三個(gè)關(guān)鍵方面：

1. 對(duì)跨應(yīng)用程序的所有層進(jìn)行持續(xù)的漏洞檢測(cè)
2. 基于風(fēng)險(xiǎn)評(píng)估的智能優(yōu)先級(jí)
3. 在可能的情況下實(shí)現(xiàn)自動(dòng)修復(fù)

構(gòu)建漏洞管理管道

第一步：全面掃描策略

要點(diǎn)概述

1. 在源代碼、依賴項(xiàng)和容器之間實(shí)現(xiàn)多層掃描
2. 配置掃描器，以便在CI/CD管道期間自動(dòng)執(zhí)行
3. 確保SAST和SCA工具的全面覆蓋

任何漏洞管理管道的基礎(chǔ)都是針對(duì)應(yīng)用程序堆棧多層的強(qiáng)大掃描策略。源代碼掃描形成了第一道防線，其中靜態(tài)應(yīng)用程序安全測(cè)試（SAST）工具，如SonarQube， Checkmarx或Snyk能夠在拉取請(qǐng)求期間分析你的代碼庫。這些工具應(yīng)該配置為增量掃描，以減少掃描時(shí)間，同時(shí)保持有效性，檢查可能導(dǎo)致安全問題的安全漏洞和代碼質(zhì)量問題。

依賴項(xiàng)掃描在嚴(yán)重依賴第三方包的現(xiàn)代應(yīng)用程序中同樣至關(guān)重要。軟件組合分析（SCA）工具提供了對(duì)直接依賴關(guān)系和傳遞依賴關(guān)系的洞察。這種全面的方法有助于識(shí)別脆弱的組件，這些組件可能位于依賴關(guān)系樹的深處?，F(xiàn)代SCA工具還可以幫助檢查許可證合規(guī)性，從而提供額外的風(fēng)險(xiǎn)管理層。

在當(dāng)今的云原生環(huán)境中，容器安全性也不容忽視。在CI/CD管道中實(shí)現(xiàn)容器映像掃描可確保在部署之前檢測(cè)到基本映像和添加層中的漏洞。Trivy、Aqua Security或Snyk Container等工具可以識(shí)別容器內(nèi)操作系統(tǒng)包和應(yīng)用程序依賴項(xiàng)中的已知漏洞。

步驟2：智能優(yōu)先排序框架

要點(diǎn)概述

1. 將外部威脅情報(bào)與內(nèi)部風(fēng)險(xiǎn)度量相結(jié)合
2. 關(guān)注可利用性和業(yè)務(wù)影響，而不僅僅是CVSS分?jǐn)?shù)
3. 基于組織的特定上下文實(shí)現(xiàn)自定義評(píng)分

隨著檢測(cè)到的漏洞數(shù)量的增加，在不增加開發(fā)團(tuán)隊(duì)工作量的情況下，有效的優(yōu)先級(jí)對(duì)于維護(hù)安全性變得至關(guān)重要。智能優(yōu)先級(jí)框架從外部威脅情報(bào)集成開始，結(jié)合CVE分?jǐn)?shù)和CVSS指標(biāo)，同時(shí)考慮現(xiàn)實(shí)世界的攻擊嘗試。這些數(shù)據(jù)應(yīng)不斷更新，以反映最新的威脅情況和漏洞利用的可用性。

基于風(fēng)險(xiǎn)的評(píng)分構(gòu)成了優(yōu)先級(jí)框架的核心。這包括評(píng)估受影響組件的業(yè)務(wù)影響及其暴露級(jí)別，無論它們是面向內(nèi)部還是面向外部。該框架還應(yīng)考慮補(bǔ)償性控制，并根據(jù)多個(gè)因素計(jì)算自定義風(fēng)險(xiǎn)評(píng)分。這些包括CVSS基本分?jǐn)?shù)、資產(chǎn)關(guān)鍵性、漏洞利用可用性、補(bǔ)丁可用性和業(yè)務(wù)上下文。這種全面的評(píng)分可以幫助安全團(tuán)隊(duì)專注于對(duì)其組織構(gòu)成最大現(xiàn)實(shí)風(fēng)險(xiǎn)的漏洞。

步驟3：自動(dòng)化修復(fù)

要點(diǎn)概述

1. 部署帶有測(cè)試保障的自動(dòng)化依賴更新工具
2. 實(shí)現(xiàn)帶有回滾功能的自動(dòng)補(bǔ)丁管理工作流
3. 將安全修復(fù)程序集成到現(xiàn)有的開發(fā)過程中

自動(dòng)化對(duì)于跨大型代碼庫和組織有效地?cái)U(kuò)展漏洞管理是必不可少的。像Dependabot或Renovate這樣的工具可以實(shí)現(xiàn)自動(dòng)依賴更新，自動(dòng)創(chuàng)建非中斷更新的拉取請(qǐng)求。這些工具應(yīng)該配置為運(yùn)行自動(dòng)化測(cè)試來驗(yàn)證更新，并為關(guān)鍵依賴項(xiàng)實(shí)現(xiàn)逐步推出策略。

補(bǔ)丁管理自動(dòng)化不僅僅是簡單的更新。它包括為補(bǔ)丁應(yīng)用程序、測(cè)試和回滾過程創(chuàng)建自動(dòng)化工作流。這種自動(dòng)化應(yīng)該與你的開發(fā)工作流程無縫集成，自動(dòng)為修復(fù)創(chuàng)建分支，并管理安全更新的整個(gè)生命周期。與問題跟蹤系統(tǒng)的集成確保了安全問題的適當(dāng)可見性和跟蹤，以及基于代碼所有權(quán)的自動(dòng)票據(jù)創(chuàng)建和分配。

衡量成功的關(guān)鍵指標(biāo)

在流程結(jié)束之前，重要的是建立指標(biāo)來驗(yàn)證漏洞管理管道的有效性。這些關(guān)鍵指標(biāo)主要包括以下幾點(diǎn)：

• 平均檢測(cè)時(shí)間（MTTD）：跟蹤識(shí)別新漏洞的速度。
• 平均補(bǔ)救時(shí)間（MTTR）：測(cè)量從檢測(cè)到修復(fù)的平均時(shí)間。
• 修復(fù)率：監(jiān)控SLA內(nèi)修復(fù)的漏洞的百分比。
• 風(fēng)險(xiǎn)降低：隨時(shí)間跟蹤總體風(fēng)險(xiǎn)評(píng)分的降低情況。

結(jié)語

在當(dāng)今的威脅環(huán)境中，構(gòu)建有效的漏洞管理管道不再是可有可無的選項(xiàng)。本文中概述的方法——實(shí)現(xiàn)全面掃描、智能優(yōu)先級(jí)和自動(dòng)修復(fù)——為組織提供了一種可以適應(yīng)其特定需求的框架。成功的關(guān)鍵在于不再將漏洞管理作為周期性任務(wù)，而是作為集成到開發(fā)生命周期中的連續(xù)過程。

組織必須認(rèn)識(shí)到，實(shí)現(xiàn)強(qiáng)大的漏洞管理管道的成本遠(yuǎn)遠(yuǎn)低于安全漏洞的潛在影響。正如前面引用的實(shí)際案例和行業(yè)研究所證明的那樣，未修補(bǔ)的漏洞仍然是主要的攻擊媒介，會(huì)導(dǎo)致重大的財(cái)務(wù)和聲譽(yù)損失。

具體來說，組織可以通過如下步驟來改進(jìn)漏洞管理流程：

1. 首先對(duì)當(dāng)前的安全狀態(tài)和工具進(jìn)行評(píng)估；
2. 在轉(zhuǎn)向自動(dòng)化之前，執(zhí)行基本的掃描和優(yōu)先級(jí)排序；
3. 通過率先解決高風(fēng)險(xiǎn)、易修復(fù)的漏洞，專注于快速獲勝；
4. 隨著流程的成熟，逐步擴(kuò)大覆蓋范圍和自動(dòng)化程度。

請(qǐng)記住，漏洞管理不僅僅是安全團(tuán)隊(duì)的責(zé)任，它需要安全、開發(fā)和運(yùn)營團(tuán)隊(duì)之間的協(xié)作。通過遵循本文中概述的實(shí)用方法并持續(xù)關(guān)注改進(jìn)流程，組織可以在保持開發(fā)速度的同時(shí)顯著降低其安全風(fēng)險(xiǎn)。

漏洞管理的未來在于進(jìn)一步的自動(dòng)化，與開發(fā)工作流程更好的集成，以及使用人工智能和機(jī)器學(xué)習(xí)實(shí)現(xiàn)更復(fù)雜的優(yōu)先級(jí)排序。但是，本文中概述的基本原則對(duì)于構(gòu)建強(qiáng)大的安全基礎(chǔ)仍然至關(guān)重要。

原文標(biāo)題：A Practical Approach to Vulnerability Management: Building an Effective Pipeline，作者：Mayank Singhi