漏洞管理：亡羊補牢，未為遲也

重大軟件漏洞是不可避免的生活現實(shí)，看各大軟件公司每年放出的補丁數據就知道了：微軟今年每月修復55到110個(gè)漏洞，其中7%到17%的漏洞是關(guān)鍵漏洞。

5月漏洞數量最少，總數55個(gè)漏洞當中僅4個(gè)評級為關(guān)鍵漏洞。但問(wèn)題在于，這些關(guān)鍵漏洞是伴隨我們多年的老面孔了，比如遠程代碼執行漏洞和提權漏洞。

經(jīng)常修補重大漏洞的軟件巨頭不止微軟一家，蘋(píng)果、Adobe、谷歌、思科等業(yè)界翹楚也每月推出安全更新。

新與舊是相對的

鑒于如此之多的應用中都存在重大漏洞，那我們還有沒(méi)有希望迎來(lái)安全的未來(lái)?答案當然是肯定的，但并不意味著(zhù)通往安全的路上沒(méi)有困難和挑戰。

經(jīng)年奮戰在防御第一線(xiàn)的安全從業(yè)人員或許跟漏洞是老相識了，但對手的戰術(shù)不停在變。

將合法資源用于邪惡目的的做法并不罕見(jiàn)，而我們在構建應用時(shí)無(wú)法為此類(lèi)濫用規劃好萬(wàn)全之策。

權限痛點(diǎn)

80%的安全事件涉及特權賬戶(hù)，提權類(lèi)漏洞利用只會(huì )愈演愈烈。勒索軟件運營(yíng)者和其他惡意黑客常會(huì )在系統上利用提權漏洞，從而合法化其操作，成功訪(fǎng)問(wèn)敏感數據。

如果信息竊賊擁有跟當前用戶(hù)一樣的權限，滲漏敏感數據的機會(huì )就顯著(zhù)增加了。同時(shí)，管理員權限幾乎可以保證入手極具價(jià)值的數據。

除了保持軟件更新，零信任倡議和數據流監測在防御提權漏洞方面也十分關(guān)鍵。至少，零信任意味著(zhù)應該應用最小權限原則，并且任何地方都要應用多因素身份驗證。

基本上，零信任可以確保不需要訪(fǎng)問(wèn)系統或文件的用戶(hù)就沒(méi)有這樣的權限，而確實(shí)需要此類(lèi)權限的用戶(hù)必須證明自己是所聲稱(chēng)的身份。數據流監測也有助于早期捕獲數據泄露事件，限制被盜數據總量。

遠程控制

遠程代碼執行(RCE)短期內都不會(huì )消失。此類(lèi)攻擊占據2020年所有攻擊的27%，遠高于上一年的7%。只要能夠找到在你系統上遠程執行任意代碼的方法，攻擊者能獲取的控制權就遠超僅僅讓用戶(hù)無(wú)意中運行帶有預定義功能的惡意軟件。

如果攻擊者能遠程執行任意代碼，他們就具有了在系統內或網(wǎng)絡(luò )上四處逡巡的能力，能夠根據自己所找的的東西更改攻擊目標和戰術(shù)。

行為監測是檢測系統上RCE的最佳方式之一。如果應用程序開(kāi)始運行不屬于其正常行為的命令和進(jìn)程，那你就可以準備早點(diǎn)兒阻止攻擊了。RCE如此普遍的事實(shí)也意味著(zhù)，用戶(hù)應該保持安全補丁更新，從而將諸多此類(lèi)攻擊防患于未然。

誰(shuí)還需要惡意軟件?

如今，備受歡迎的攻擊方式是利用合法進(jìn)程和可信應用來(lái)實(shí)現惡意目的。這種無(wú)文件，或者不需落地的攻擊，因為不用安裝惡意軟件而非常難以檢測。

PowerShell是最容易遭遇此類(lèi)利用方式的常見(jiàn)應用之一。因為PowerShell本來(lái)就是用于編寫(xiě)腳本和執行系統命令的強大應用。

無(wú)文件攻擊的例子也證明了監視應用和進(jìn)程的行為是快速阻止攻擊的關(guān)鍵。于是，PowerShell真的需要禁用安全功能嗎?

大多數情況下，未必。這種行為是可以被監測到的，即使行為出自PowerShell這樣的可信應用。監測與高級機器學(xué)習和AI相結合，就可以提取網(wǎng)絡(luò )上正常行為的特征，對不正常行為實(shí)施自動(dòng)化響應。

繼續前行

盡管常見(jiàn)攻擊類(lèi)型不會(huì )改變太多，但應用或代碼的任何改動(dòng)卻可能引入新的漏洞。這并不意味著(zhù)我們應該放棄抵抗而讓對手長(cháng)驅直入，而是意味著(zhù)現在就是加倍努力挫敗對手的好時(shí)機。

我們需要實(shí)現補丁管理策略，監測網(wǎng)絡(luò )，采用行為檢測，并避免自滿(mǎn)。主流軟件供應商定期修復重大漏洞的事實(shí)實(shí)際上是件好事，既然攻擊者都不放棄作亂，那我們也不應該放棄防御。