Victor Kameyama，派拓網(wǎng)絡(luò)IoT安全高級產(chǎn)品經(jīng)理

Victoria Wright，派拓網(wǎng)絡(luò)企業(yè)IoT產(chǎn)品市場副經(jīng)理

在當(dāng)今的威脅形勢下，漏洞數(shù)量成倍增長，給網(wǎng)絡(luò)和安全團(tuán)隊(duì)在確定修復(fù)工作的優(yōu)先級和實(shí)現(xiàn)業(yè)務(wù)價值最大化方面帶來了巨大挑戰(zhàn)。公開數(shù)據(jù)顯示，僅2023年就有近2.9萬個常見漏洞（CVE）被披露，較前一年的CVE數(shù)量增長了15%。

在部署工業(yè)和醫(yī)療設(shè)備的關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中，維持關(guān)鍵任務(wù)系統(tǒng)的正常運(yùn)行以及確保患者護(hù)理和安全對于運(yùn)營技術(shù)（OT）、生物醫(yī)學(xué)和網(wǎng)絡(luò)安全團(tuán)隊(duì)至關(guān)重要。影響物聯(lián)網(wǎng)（IoT）、OT和醫(yī)療物聯(lián)網(wǎng)（MIoT）資產(chǎn)的CVE數(shù)量在不斷增加，不僅給這些團(tuán)隊(duì)帶來了巨大的壓力，還妨礙了他們修復(fù)嚴(yán)重影響業(yè)務(wù)持續(xù)運(yùn)營的風(fēng)險(xiǎn)。

基于風(fēng)險(xiǎn)的漏洞管理

許多企業(yè)一直在使用通用漏洞評分系統(tǒng)（CVSS），通過這一評估網(wǎng)絡(luò)安全漏洞特征和嚴(yán)重性的行業(yè)標(biāo)準(zhǔn)來確定漏洞修復(fù)的優(yōu)先級。

自2005年發(fā)布以來，CVSS已經(jīng)過三次重大修訂，加入了更加準(zhǔn)確反映漏洞嚴(yán)重性的指標(biāo)和評分標(biāo)準(zhǔn)。通過這三次修訂，該標(biāo)準(zhǔn)使得考慮具體漏洞的上下文關(guān)系在評估其風(fēng)險(xiǎn)方面起到重要作用。雖然使用了 “時間 ”和 “環(huán)境 ”指標(biāo)組解決這一問題，但它們反映的特征隨時間變化并且是個別企業(yè)所特有的，因此屬于“可選”指標(biāo)。另外，這些指標(biāo)需要進(jìn)行人工評估，增加了企業(yè)的開銷并消耗了大量的時間和資源。由此可見，CVSS并未真正超出基礎(chǔ)指標(biāo)的范圍。

如果企業(yè)僅依靠CVSS基礎(chǔ)分?jǐn)?shù)確定優(yōu)先級，可能導(dǎo)致他們未能將重點(diǎn)放在真正關(guān)鍵的事項(xiàng)上。一個CVSS基礎(chǔ)分?jǐn)?shù)很高的CVE被攻擊者利用的可能性或許很低，或者只影響企業(yè)中不太重要的資產(chǎn)，例如：運(yùn)行關(guān)鍵工業(yè)控制系統(tǒng)的PLC中的漏洞對企業(yè)造成的業(yè)務(wù)影響可能高于一個微不足道的測試實(shí)驗(yàn)室中的漏洞。

尤其是對于關(guān)鍵的OT和醫(yī)療健康環(huán)境，系統(tǒng)正常運(yùn)行時間和患者安全是決定性的指標(biāo)，因此采用更好的漏洞優(yōu)先級排序方法更為重要。在安裝補(bǔ)丁時，需要不同團(tuán)隊(duì)提供資源和進(jìn)行協(xié)調(diào)，有時還需要外部承包商/原設(shè)備制造商配合確定補(bǔ)丁的優(yōu)先級、測試補(bǔ)丁和規(guī)劃維護(hù)窗口。在許多情況下，維護(hù)窗口由于會影響關(guān)鍵運(yùn)營并且可能需要設(shè)備長時間停機(jī)，因此很難確保安全。在進(jìn)行全部這些工作的同時，先處理優(yōu)先級較低的漏洞不僅會導(dǎo)致資源分配不合理，還可能暴露企業(yè)最關(guān)鍵的基礎(chǔ)設(shè)施，造成運(yùn)營、財(cái)務(wù)與合規(guī)方面的重大損失。

派拓網(wǎng)絡(luò)認(rèn)為更有效的漏洞優(yōu)先級排序方法應(yīng)評估漏洞帶來的風(fēng)險(xiǎn)，不僅要考慮其嚴(yán)重程度，還要考慮當(dāng)前的威脅形勢和脆弱資產(chǎn)的上下文關(guān)系。這種考慮上下文關(guān)系的方法應(yīng)能夠靈活適應(yīng)與企業(yè)環(huán)境相關(guān)的獨(dú)特因素（類似于在“時間/威脅”和“環(huán)境”指標(biāo)組中定義的因素），并自動提供優(yōu)先級排序的相關(guān)洞察，以便更快采取有力的漏洞響應(yīng)措施。這便是派拓網(wǎng)絡(luò)基于風(fēng)險(xiǎn)的漏洞管理方法所起到的作用。

推出基于風(fēng)險(xiǎn)的漏洞管理方法

派拓網(wǎng)絡(luò)很高興宣布，在我們的企業(yè)IoT/工業(yè)OT/ MIoT安全解決方案中加入基于風(fēng)險(xiǎn)的漏洞管理功能，這項(xiàng)最新功能將解決許多企業(yè)因漏洞數(shù)量成倍增長而面臨的漏洞優(yōu)先級排序難題。

派拓網(wǎng)絡(luò)的解決方案結(jié)合漏洞指標(biāo)與威脅和資產(chǎn)的深入上下文關(guān)系，在對每個漏洞進(jìn)行風(fēng)險(xiǎn)評估的同時自動進(jìn)行計(jì)算，不僅減少運(yùn)營開銷，還加快了大規(guī)模的漏洞響應(yīng)。漏洞按照風(fēng)險(xiǎn)程度分級，根據(jù)優(yōu)先級可識別和篩選客戶環(huán)境中存在實(shí)際風(fēng)險(xiǎn)的CVE。

事實(shí)上，派拓網(wǎng)絡(luò)的美國客戶群已經(jīng)采用了這種基于風(fēng)險(xiǎn)的漏洞優(yōu)先級排序方法，結(jié)果顯示該方法能夠?qū)⒙┒丛肼暯档?0%。平均只有10%的關(guān)鍵嚴(yán)重性CVE（CVSS分?jǐn)?shù)）被列為最高優(yōu)先級，這有助于區(qū)分真正有風(fēng)險(xiǎn)的CVE與其他不太會構(gòu)成重大風(fēng)險(xiǎn)的CVE。

派拓網(wǎng)絡(luò)的優(yōu)先級排序方法不僅有助于減少CVE負(fù)載，還能指出那些雖然CVSS基礎(chǔ)分?jǐn)?shù)較低，但潛在風(fēng)險(xiǎn)比高分CVE更大的CVE。若僅采用CVSS基礎(chǔ)分?jǐn)?shù)作為優(yōu)先級排序的依據(jù)，這些CVE可能會被忽略。

了解派拓網(wǎng)絡(luò)方法背后的更多技術(shù)細(xì)節(jié)，敬請?jiān)L問我們的實(shí)時社區(qū)博客。

總結(jié)

基于風(fēng)險(xiǎn)的漏洞優(yōu)先級排序方法是派拓網(wǎng)絡(luò)IoT/OT/ MIoT安全解決方案中的眾多創(chuàng)新之一。該方法在幫助企業(yè)保護(hù)各種設(shè)備安全的同時，大大優(yōu)化了運(yùn)營。這些解決方案提供的零信任架構(gòu)功能全面，使企業(yè)能夠快速發(fā)現(xiàn)每臺設(shè)備、了解它們的攻擊面、確定風(fēng)險(xiǎn)緩解工作的優(yōu)先級，并通過上下文豐富的安全策略建議和漏洞威脅簽名，保護(hù)難以安裝補(bǔ)丁的脆弱IoT、OT和MIoT設(shè)備，阻止利用漏洞的企圖。

進(jìn)一步了解派拓網(wǎng)絡(luò)的IoT/OT安全解決方案能為企業(yè)做什么，敬請?jiān)L問以下鏈接：

•  企業(yè)IoT安全簡介 | 即將舉行的實(shí)踐研討會

•  MIoT安全 – 簡介 | 即將舉行的實(shí)踐研討會

•  工業(yè)OT安全 – 簡介 | 即將舉行的實(shí)踐研討會

派拓網(wǎng)絡(luò)希望幫助企業(yè)保護(hù)設(shè)備安全，歡迎點(diǎn)擊這里免費(fèi)試用我們的產(chǎn)品。