漏洞修复(修复漏洞最彻底的方法是什么)

什么是漏洞修复?

首先我们来定义漏洞修复这个概念。开发人员和安全团队为了防止外部恶意攻击,使用一些方法来识别、优先考虑、修复和监控漏洞,这个过程就是漏洞修复了。

在检测方面,企业可以使用各种应用程序安全测试 (Application Security Testing, AST) 工具来识别软件应用程序和其他系统中的漏洞。例如,软件成分分析 (SCA) 工具通过对开源软件组件与软件开发环境中的漏洞数据库、安全公告或问题跟踪器进行检查,来验证其完整性,以确保不包含漏洞。

当 AST 工具发现问题时,安全团队会尝试拦截或消除漏洞,这一步就被称为修复。修复有时可以像应用软件补丁一样简单,有时也会像更换一组物理服务器或硬件设备一样棘手困难。

补救的目的是在漏洞成为安全威胁之前对其进行修补或修复。这一步骤并不容易达成,因此需要开发团队、系统所有者、安全团队和运营人员共同构建有效的漏洞修复流程。

修复(Remediation)和缓解(mitigation)之间的主要区别在于,Remediation 修复了漏洞,而 Mitigation 解决了漏洞带来的安全威胁,而不必修复底层漏洞。

虽然修复是更彻底和全面的解决方案,但在某些情况下,这可能没有必要也无法实现,比如:

有时部分企业由于技术原因无法修复漏洞。例如,某些硬件设备可能不支持软件升级或修复。这对于连接的医疗设备很常见。还有一部分情况是不同团队对修复存在意见冲突。比如,开发团队担心他们没有充足的时间实施漏洞修复措施,而面向客户的团队则担心所涉及的停机时间可能对客户活动的造成干扰。当企业将优先级评分应用于漏洞管理时,安全团队可能会选择缓解漏洞风险而不是修复构成威胁较小的低风险漏洞。这使他们能够优先处理更严重的威胁,或者腾出开发人员的时间来专注于构建应用程序的主要目标。

在这些无法实施修复的情况下,缓解措施提供了替代方案。缓解措施降低了漏洞被利用的可能性,并给企业在修复漏洞之前提供了缓冲时间。在选择是修复漏洞还是缓解漏洞风险时,需要时刻记住缓解漏洞风险只能减少漏洞带来的威胁并不能让漏洞完全消失。因此只要有可能,修复应当是首选解决方案,从根本解决漏洞带来的安全风险。

漏洞修复流程

漏洞修复过程包括以下四个步骤:

1.漏洞检测

这一步涉及识别攻击者可以利用的代码或系统配置中的任何已知缺陷。安全团队可以通过测试和扫描来检测漏洞,了解暴露的资产或系统至关重要

软件漏洞的其中一个例子是访问控制配置不足,例如单因素身份验证。不严格的身份验证会让未经授权的用户更容易获得访问权限,并获取敏感信息或发起恶意攻击。

理想情况下,DevSecOps 团队应当在整个 SDLC 中执行漏洞扫描,在此阶段,可以利用 SCA、SAST 或 DAST 等工具。当然并不是所有的漏洞都需要修复。例如,如果在产品代码实际未调用的函数中发现漏洞,则无法利用该漏洞,自然也就无需修复。

2. 优先级排序

这一步需要识别漏洞带来的风险,并确定哪些问题更紧迫或需要更多关注,并为这些漏洞做优先级排序。企业往往面临许多漏洞又无法快速管理,而安全团队的人员又十分有限,这时优先级排序的重要性便凸显出来了。

安全团队可以根据系统配置、潜在漏洞利用的可能性、实际事件的业务影响以及任何现有的安全控制来确定风险的优先级。需要特别注意,企业应当隔离其最重要的资产。如果 DevSecOps 团队发现关键核心系统存在风险,可以优先修复相关漏洞并在整个团队中分配工作负载。这可以帮助企业避免开发生命周期中断的情况发生。

在管理开源漏洞时,建议使用工具来汇总来自列出已知漏洞的各种存储库的信息,因为这能够帮助过滤安全警报,有效节省时间。比如使用 SCA 工具来确定代码是否容易受到易受攻击的组件的影响。当然如之前所提,并不是所有的漏洞都会带来重大风险。使用合适的方式来识别影响代码的漏洞,并用有效的工具进行分析,这些能够帮助企业深入了解实际影响代码的开源组件。

3. 整治

当判断漏洞可能会影响代码时,就需要进行修复。这一步涉及应用补丁、删除或禁用易受攻击的组件、更新系统或其配置,或阻止某些操作。

对于专有代码,需要确定漏洞的根本原因才能进行修复。企业可以尝试使用 SAST 来执行此操作。安全团队需要结合自动和手动来进行修复,在此过程中可以添加额外的安全措施来强化边界。需要注意的是,企业需要在安全、隔离的环境(例如沙盒)中测试修复工作,而不是完全在生产环境中进行此步骤

对于开源漏洞,企业需要考虑开源社区的去中心化和协作性质,因为开源社区经常跨多个平台发布修复程序,因此可能很难在一个地方找到所有相关支持。

最可靠的风险缓解策略之一是不断修补开源组件,以避免暴露于已知漏洞。实践和维护该策略的最佳方法是使用自动修复工具,这个工具能够自动进行修复并在发布新修复时进行提醒。不过值得注意的是,仅仅更新单个源文件是无法有效解决复杂的漏洞威胁,因此企业需要更新整个组件。然而在某些情况下新版本可能与其它组件不兼容,所以企业可能需要更改系统配置并阻止执行组件中易受攻击的操作。

4. 持续监控

企业应该持续监控代码以查找新的漏洞。这里企业可以使用自动化工具提供实时警报,并允许持续进行漏洞修复过程。 有效的监控工具应根据上下文对漏洞进行优先级排序,这样能够有效减少 DevSecOps 团队处理低优先等级警报所耽误的时间。在连续修复的循环周期中,这一步也就是下一个循环的第一步了。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 16699894@qq.com 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年12月24日 12:25:11
下一篇 2022年12月24日 12:27:47

相关推荐

  • Windows如何取消用户账户控制

      第一可以使用快捷键 WIN+R,然后输入 msconfig 再点确定,选择工具-更改 UAC 设置,进行设置即可。第二也可以通过此电脑中的属性-安全和维护-安全-用户账户控制,…

    2022年10月19日
  • 4.1号是不是愚人节

      优质答案: 是   4月1日是西方的节日愚人节。愚人节也称万愚节、幽默节,愚人节。节期为公历4月1日,是从19世纪开始在西方兴起流行的民间节日,并未被任何国家认定为法定节日。在…

    2022年10月19日
  • 板木家具品牌排行榜(板式家具知名品牌有哪些)

    板式家具是由中密度纤维板或刨花板进行表面贴面等工艺制成的家具,因其具有可拆卸、造型富于变化、外观时尚、不易变形、质量稳定、价格实惠等而深受消费者的青睐。现在市场上出售的一些板式家具…

    投稿 2022年10月22日
  • 水果店经营模式(水果店怎么经营比较好)

    开店不易,感恩有一群良师益友! 以下为更多内容分享,欢迎一起交流。 开水果店有哪些经营方式和技巧。 1、开水果店主要是损耗和了解顾客 开一家水果店,要有足够的资金,因为现在水果价位…

    2022年10月22日
  • 腾讯为什么把微信总部放在了广州,而不是放在大本营深圳

    有人问:腾讯为什么把微信总部放在了广州,而不是放在大本营深圳? 按道理说,腾讯的总部在深圳,微信这么重要的一块业务,怎么会在广州呢? 这个事情还是要从微信是怎么开发出来的说起!但说…

    2022年5月9日 投稿
  • 2022撩妹专用的男生签名 最新版微信撩妹签名

         做个洒脱人,毕竟我全身上下哪点都不像是个痴情人。   跟我走吧,我想给你一个家。   我哪有能力,顾全所有人的感受,我自己的心情感受,我都照顾不好。   思念到极致是什么…

    2022年10月24日
  • 原神镇守之森破除结界(原神神樱大祓任务怎么做)

      说到原神这款游戏,相信很多小伙伴对它都一定有所了解,甚至有很多的小伙伴都在玩这款非常好玩的开放世界冒险类的游戏。而在原神游戏的稻妻版本当中,神樱大祓是2.0版本世界之中的最为复…

    2022年12月24日 投稿
  • 我会一直等等故事发生什么歌

      抖音上经常会有很多歌曲走红,最近我会一直等等故事发生这句歌词非常火,是很多视频的背景音乐,那么我会一直等等故事发生什么歌?谁唱的?歌词完整版有吗?下面小编为大家带来我会一直等等…

    投稿 2022年10月24日
  • 对很多事情无所谓淡然的签名 很洒脱无畏的淡然签名

         你做到了,我清醒了,不是不在乎了,而是无所谓了,反正别人没有这么想,你何必委屈自己,一切看淡~平平淡淡才是真理~   时光越老,人心越淡;在意越少,快乐越多;失望少一点,…

    2022年10月24日
  • 实习总结表怎么写

      实习期个人工作总结1   ??在实习过程中我也遇到各种不一样的顾客,他们会用各种各样的态度来对待你,这就要求你有很强的应变本事。实习中不仅仅要应对顾客,还要搞好和同事与上级的关…

    投稿 2022年10月21日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注