什麼是漏洞評估?
漏洞評估是指使用工具、技術或程序,來檢查企業的特定組成部分,進而發現特定的安全漏洞。應用程式、服務、網路、基礎結構,以及人員都可能無意造成安全問題。藉由執行自動執行修補程式檢查、程式碼分析,以及社交工程演練等漏洞評估,組織能夠緩解威脅,以及提升其整體安全狀況。
漏洞評估的優勢有哪些?
對於需求提升安全狀況的企業而言,進行漏洞評估具有若干優勢。
降低安全風險
漏洞評估可直接確認環境中可能被對手利用的漏洞。藉由了解您的安全狀況需要在哪些方面做出改進,您就能立即開始指定預防性措施來增強您的安全性。經常執行漏洞評估會發現未知的安全漏洞,從而讓您能夠提前進行修復。
改善事件回應路徑及風險管理
藉助漏洞評估,您可以規劃事件回應程序以及風險管理技術。您可透過漏洞分析,發現一些漏洞難以修復,或者需要較長時間來修補。
在這些情況下,您可指定或完善事件回應計畫,包括風險管理技術、利害關係人溝通計畫,以及其他事件後途徑。
支援合規與稽核工作
安全合規的一個重要組成部分是定期監控系統,以確保其滿足監管框架的稽核與報告條件。依照特定框架進行漏洞分析,有助於確定您可能需要改善的架構與控制措施,以便實現合規的各個領域。您可定期進行漏洞評估,藉此來建立您可用於稽核用途的安全狀況管理檢查日誌。
藉由消除確定的漏洞來增強安全狀況管理
藉助漏洞評估,可協助確定企業可增強安全狀況,或者改善目前網路安全通訊協定與控制措施的各個領域。您可了解哪些方面可改善安全,依據漏洞的潛在影響,讓其優先級的確定更容易。此漏洞管理計畫提供了一個藍圖,可協助您的網路安全團隊加速解決關鍵的安全問題。
什麼是安全漏洞?
下面列出了一些企業在執行漏洞分析時,可能會遇到的最常見的安全漏洞。
未強化的網路
網路強化是指新增防護性解決方案與控制措施的程序,以便您的網路基礎結構儘可能安全。若您的部分受攻擊面缺乏特定的安全控制措施,或者有防火牆設定錯誤,則會被視為未強化的網路漏洞。開放的連接埠或公共網路可能導致第三方未經許可存取您的敏感資料。監控網路中是否存在這些潛在威脅是漏洞管理的核心內容。
已取代的軟體
眾多舊式系統與軟體都存在整個業界已知的安全漏洞。若企業繼續使用舊式系統及過時的軟體,則會面臨風險。不受支援的系統及軟體缺乏新的安全修補程式與更新,會帶來各種風險。應儘快現代化或取代這些系統。
不安全的資料管理
在高效的安全狀況管理中,資料管理是核心組成部分。若企業資料處理政策不完善,比如加密技術無效、使用預設登入帳戶,或者存取控制管理不善,那麼未經授權的第三方就能更輕易地存取您的資料。
組態漏洞
組態漏洞是指數位系統中存在的設定錯誤,這些錯誤會使系統容易受到攻擊。舉例來說,公開分享 Amazon S3 儲存貯體的錯誤設定,可能會導致非預期的資訊外洩。因此,對於您的企業來說,定期檢查作用中設定來確認及解決已知漏洞非常關鍵。
較弱的使用者管理
員工及保護不周的使用者帳戶,比如密碼強度弱或未啟用多重要素驗證,可能會對您的安全狀況帶來潛在風險。企業應定期審查使用者帳戶,促進採用良好的密碼實務,要求所有帳戶皆啟用多重要素驗證,以及刪除公司不再使用的任何使用者帳戶。
未修補的漏洞
若網路安全團隊發現廣泛使用的系統中存在漏洞,產業標準慣例是公開此資訊,以及與其他團隊分享該資訊。透過私有管道執行此操作,任何工具皆可在第三方團隊開始利用漏洞之前,發布修補程序來解決問題。
因此,網路安全團隊應努力將其使用的所有軟體始終更新至最新版本,因為這些版本將包含最新的安全修補程式。
內部威脅
內部威脅是指在職員工有意或無意地觸發意外安全事件。這些威脅往往與缺乏安全知識相關,比如落入網路釣魚騙局,以及失去對帳戶的存取權。內部威脅非常普遍,因此,使用者教育是執行全方位、持續性安全措施的重要組成部分。
漏洞評估的類型有哪些?
漏洞評估有幾種不同的類型,每種漏洞評估可用於解決不同類型的漏洞。
掃描漏洞評估工具
自動化漏洞掃描可監控公司的受攻擊面,以及與公司的作業系統、網路裝置,以及應用程式互動,以便對照領先威脅監控組織確定的漏洞資料庫來進行檢查。若掃描器在您的系統的資料庫中確定其中一種常見的漏洞,則會提醒您的安全團隊執行操作。
靜態分析與動態分析技術
靜態應用程式安全測試 (SAST) 是一種用於檢查應用程式的原始程式碼,以便查出潛在漏洞的漏洞掃描工具。SAST 是安全編碼的核心,通常會整合至軟體開發管道,以便在漏洞推送至生產程式碼之前,協助開發人員發現這些漏洞。
動態應用程式安全測試 (DAST) 可在執行時期環境中觀測應用程式,以便偵測任何可能指示存在第三方互動的異常狀況。DAST 漏洞測試可確認跨站點指令碼、SQL injection 隱碼攻擊,以及不正確的工作階段處理情境等常見的攻擊手段。
內部同業評審
在軟體開發的左移時代,同業之間的內部程式碼審查已成為一種標準實務。在內部同業評審中,內部網路安全團隊會檢查彼此的現有程式碼與系統,以便確定設定錯誤、可能存在的漏洞,以及邏輯缺陷,這些皆可能會在非預期安全事件中被第三方利用。
外部審查與滲透測試
外部審查遵循與內部同業審查類似的程序,但由外部安全公司執行。這些公司專門從事安全狀況的細緻檢查,檢查工具、系統、應用程式,以及程式碼是否有可能的漏洞。此外,外部審查還可能包括紅隊模擬演練與滲透測試。
整合式評估程序
AWS Security Hub 等眾多雲端安全漏洞評估工具可主動從各種內部來源收集資料,比如資料日誌、存取控制系統,以及組態設定,以便提供雲端環境的整體概觀。藉助整合的漏洞分析,安全團隊能夠全面了解其安全狀況。
社交工程與實體評估
之所以存在安全漏洞,其中一個主要原因是人為錯誤,員工不小心落入網路釣魚騙局或者按下惡意連結,這會造成潛在的安全漏洞。安全團隊可提供研討會與培訓機會,以便設法減少此類事件的發生。另外,企業還可啟動自動化社交工程測試,以便評估員工確定及應對這些威脅的有效程度。
什麼是持續性漏洞評估?
持續性漏洞評估程序是一個預定或即時漏洞掃描系統,用於監控異常狀況。藉助這種漏洞分析方法,可持續做出回應,因為任何異常狀況皆能被識別出來,以及儘快設定修補的優先級。
漏洞評估報告可對系統目前的運作狀況,隨時提供更深入的洞察。報告可整合統一的安全解決方案,以便提供更深入的安全洞察。
風險評估與漏洞評估有何差異?
風險評估是指企業為了要了解已發現漏洞的潛在影響,可採用的額外評估方法。舉例來說,在執行漏洞評估之後,企業可進行風險評估與漏洞分析,以便確定哪些漏洞對其目標與安全性構成最大威脅。
結合全方位的漏洞評估與針對已確定漏洞的風險評估,能夠為公司提供更多關聯內容,讓其能夠更好地確定優先級,來先修復某些漏洞。
漏洞模擬與漏洞評估有何差異?
入侵與攻擊模擬 (BAS) 是一種紅隊演練形式,其中內部或外部團隊模可擬對您的網路防禦系統發起的攻擊。這些演練旨在密切模擬攻擊,採用未經授權的第三方團體可能會採取的真實世界策略。通常情況下,BAS 會遵循已知的攻擊媒介框架,例如 MITRE ATT&CK 中記錄的那些框架。
漏洞評估旨在確定漏洞,而入侵模擬目標則是在安全可控的環境中,利用這些漏洞來測試事件回應。企業在修復已知漏洞之後,可能會使用漏洞模擬來測試修復的有效性。
漏洞評估如何為實現網路安全合規提供支援?
絕大多數網路安全合規框架,比如 ISO 27001、SOC 2 及 PCI DSS,皆要求企業定期執行漏洞評估。藉由持續執行這些評估,企業可履行其應盡的盡職調查義務,並提交報告來證明其合規。
經常執行漏洞評估可協助公司為稽核做好準備,以及降低出現違規行為時可能面臨的處罰風險。
AWS 如何為您的漏洞評估工作提供支援?
AWS 雲端安全解決方案能夠為您的資產、網路,以及人員管理提供保護。
Amazon Inspector 能自動發現Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、容器映像及 AWS Lambda AWS Lambda 函式、以及程式碼儲存庫等工作負載,並且加以掃描以得知軟體漏洞及網路安全攻擊。這項持續性的漏洞評估服務可藉助目前常見的漏洞與入侵程式 (CVE) 資訊及網路可存取性,來建立情境風險分數,以協助設定漏洞資源的優先級,以及針對易遭受入侵的資源解決問題。
AWS Security Hub 可統一管理您的雲端安全運營,包括整合式、持續性漏洞評估,以及全天候威脅偵測。
AWS Security Hub Cloud Security Posture Management (CPSM) 可執行安全最佳實務檢查,以及擷取 AWS 安全服務與合作夥伴的安全調查結果。該服務可將這些結果與其他服務及合作夥伴安全工具的調查結果相結合,從而依據您的 AWS 資源自動執行檢查,以便協助確認錯誤設定,並對您的安全狀況做出評估。
即刻建立一個免費帳戶,開始在 AWS 上進行漏洞評估。