譯者 | 晶顏

審校 | 重樓

漏洞管理已經成為應用程序安全的一個重要方面。漏洞管理缺失的后果可能十分嚴重，正如一些引人注目的漏洞所證明的那樣。2021年，由未修補的Apache Struts漏洞（CVE-2017-5638）導致的Equifax數據泄露致使1.47億人的敏感數據泄露，造成了7億美元的和解賠償。

同樣是在2021年，對Log4Shell漏洞（CVE-2021-44228）的利用影響了微軟、亞馬遜和蘋果等公司，導致全球修復成本預計遠超100億美元。

2022年，LastPass的開發環境因一個未修補的Plex漏洞遭到破壞，導致密碼庫被盜，造成了嚴重的聲譽損害和客戶流失。

下述多項權威研究都強調了投資漏洞管理的重要性：

• IBM的《數據泄露成本報告》顯示，與沒有自動化安全流程的組織相比，完全部署了安全自動化（包括漏洞管理）的組織所經歷的泄露成本平均低305萬美元。
• Gartner關于《漏洞管理最佳實踐》的研究表明，采用基于風險的方法的組織比那些只依賴定期掃描的組織少經歷80%的漏洞。
• 波耐蒙研究所（Ponemon Institute）的《漏洞管理狀態》研究顯示，漏洞修補周期超過30天的組織被攻破的可能性要高出50%。
• NIST的《國家漏洞數據庫（NVD）統計數據》顯示，新的漏洞持續增加，突出了對強大漏洞管理的需求正日益增長。

盡管有如此多的警示性故事，許多組織仍然無法實現一個有效的、與開發生命周期同步的漏洞管理過程。VMware的一份報告顯示，78%的受訪組織在2021年至少遭遇過兩次勒索軟件攻擊，未修補的漏洞是主要的攻擊媒介。本文提供了一種構建和自動化漏洞管理管道的實用方法，該管道可以識別安全問題，幫助確定優先級并有效地修復它們。

了解現代漏洞管理

現代漏洞管理不僅僅是簡單的漏洞掃描和修補。它需要一種與你的開發生命周期無縫集成的系統方法，提供對安全漏洞的持續監視、評估和補救，以跟上新漏洞出現的速度。一個有效的漏洞管理管道應該解決三個關鍵方面：

1. 對跨應用程序的所有層進行持續的漏洞檢測
2. 基于風險評估的智能優先級
3. 在可能的情況下實現自動修復

構建漏洞管理管道

第一步：全面掃描策略

要點概述

1. 在源代碼、依賴項和容器之間實現多層掃描
2. 配置掃描器，以便在CI/CD管道期間自動執行
3. 確保SAST和SCA工具的全面覆蓋

任何漏洞管理管道的基礎都是針對應用程序堆棧多層的強大掃描策略。源代碼掃描形成了第一道防線，其中靜態應用程序安全測試（SAST）工具，如SonarQube， Checkmarx或Snyk能夠在拉取請求期間分析你的代碼庫。這些工具應該配置為增量掃描，以減少掃描時間，同時保持有效性，檢查可能導致安全問題的安全漏洞和代碼質量問題。

依賴項掃描在嚴重依賴第三方包的現代應用程序中同樣至關重要。軟件組合分析（SCA）工具提供了對直接依賴關系和傳遞依賴關系的洞察。這種全面的方法有助于識別脆弱的組件，這些組件可能位于依賴關系樹的深處。現代SCA工具還可以幫助檢查許可證合規性，從而提供額外的風險管理層。

在當今的云原生環境中，容器安全性也不容忽視。在CI/CD管道中實現容器映像掃描可確保在部署之前檢測到基本映像和添加層中的漏洞。Trivy、Aqua Security或Snyk Container等工具可以識別容器內操作系統包和應用程序依賴項中的已知漏洞。

步驟2：智能優先排序框架

要點概述

1. 將外部威脅情報與內部風險度量相結合
2. 關注可利用性和業務影響，而不僅僅是CVSS分數
3. 基于組織的特定上下文實現自定義評分

隨著檢測到的漏洞數量的增加，在不增加開發團隊工作量的情況下，有效的優先級對于維護安全性變得至關重要。智能優先級框架從外部威脅情報集成開始，結合CVE分數和CVSS指標，同時考慮現實世界的攻擊嘗試。這些數據應不斷更新，以反映最新的威脅情況和漏洞利用的可用性。

基于風險的評分構成了優先級框架的核心。這包括評估受影響組件的業務影響及其暴露級別，無論它們是面向內部還是面向外部。該框架還應考慮補償性控制，并根據多個因素計算自定義風險評分。這些包括CVSS基本分數、資產關鍵性、漏洞利用可用性、補丁可用性和業務上下文。這種全面的評分可以幫助安全團隊專注于對其組織構成最大現實風險的漏洞。

步驟3：自動化修復

要點概述

1. 部署帶有測試保障的自動化依賴更新工具
2. 實現帶有回滾功能的自動補丁管理工作流
3. 將安全修復程序集成到現有的開發過程中

自動化對于跨大型代碼庫和組織有效地擴展漏洞管理是必不可少的。像Dependabot或Renovate這樣的工具可以實現自動依賴更新，自動創建非中斷更新的拉取請求。這些工具應該配置為運行自動化測試來驗證更新，并為關鍵依賴項實現逐步推出策略。

補丁管理自動化不僅僅是簡單的更新。它包括為補丁應用程序、測試和回滾過程創建自動化工作流。這種自動化應該與你的開發工作流程無縫集成，自動為修復創建分支，并管理安全更新的整個生命周期。與問題跟蹤系統的集成確保了安全問題的適當可見性和跟蹤，以及基于代碼所有權的自動票據創建和分配。

衡量成功的關鍵指標

在流程結束之前，重要的是建立指標來驗證漏洞管理管道的有效性。這些關鍵指標主要包括以下幾點：

• 平均檢測時間（MTTD）：跟蹤識別新漏洞的速度。
• 平均補救時間（MTTR）：測量從檢測到修復的平均時間。
• 修復率：監控SLA內修復的漏洞的百分比。
• 風險降低：隨時間跟蹤總體風險評分的降低情況。

結語

在當今的威脅環境中，構建有效的漏洞管理管道不再是可有可無的選項。本文中概述的方法——實現全面掃描、智能優先級和自動修復——為組織提供了一種可以適應其特定需求的框架。成功的關鍵在于不再將漏洞管理作為周期性任務，而是作為集成到開發生命周期中的連續過程。

組織必須認識到，實現強大的漏洞管理管道的成本遠遠低于安全漏洞的潛在影響。正如前面引用的實際案例和行業研究所證明的那樣，未修補的漏洞仍然是主要的攻擊媒介，會導致重大的財務和聲譽損失。

具體來說，組織可以通過如下步驟來改進漏洞管理流程：

1. 首先對當前的安全狀態和工具進行評估；
2. 在轉向自動化之前，執行基本的掃描和優先級排序；
3. 通過率先解決高風險、易修復的漏洞，專注于快速獲勝；
4. 隨著流程的成熟，逐步擴大覆蓋范圍和自動化程度。

請記住，漏洞管理不僅僅是安全團隊的責任，它需要安全、開發和運營團隊之間的協作。通過遵循本文中概述的實用方法并持續關注改進流程，組織可以在保持開發速度的同時顯著降低其安全風險。

漏洞管理的未來在于進一步的自動化，與開發工作流程更好的集成，以及使用人工智能和機器學習實現更復雜的優先級排序。但是，本文中概述的基本原則對于構建強大的安全基礎仍然至關重要。

原文標題：A Practical Approach to Vulnerability Management: Building an Effective Pipeline，作者：Mayank Singhi