为什么企业威胁缓解需要自动化、单一用途的工具

尽管威胁缓解在一定程度上是一项涉及网络安全专家的专业任务，但威胁缓解的日常工作通常仍取决于系统管理员。然而，对于这些系统管理员来说，这并非易事。在企业IT中，系统管理员团队的职权范围很广，但资源有限。

对于系统管理员来说，找到时间和资源来缓解不断增长和不断移动的威胁是一项挑战。在本文中，我们概述了企业威胁缓解所隐含的困难，并解释了为什么自动化、专门构建的缓解工具是前进的方向。

威胁管理是一项艰巨的任务

威胁管理领域有很多专家，但威胁管理策略的实际实施往往取决于系统管理员。无论是补丁管理、入侵检测还是攻击后补救，系统管理员通常首当其冲。

鉴于威胁的日益严重，这是一项不可能完成的任务。仅在2021，披露了28000个漏洞。这是一个如此之大的数字，事实上，有很大一部分人从未被分配到CVE。这在专注于跟踪CVE、测试CVE在我们系统中的存在情况以及部署提及特定CVE编号的补丁的行业激光器中尤其重要。你无法抵御你不知道自己易受伤害的东西.如果给定的漏洞没有附加CVE，并且您的所有工具/思维方式/流程都集中在CVE上，那么某些东西就会失败。不将CVE分配给漏洞的原因很多，超出了本文的范围，但这些都不会减少必须在安全性方面完成的工作。

即使一个组织有一个三位数的系统管理员团队，也很难跟踪不断增长的漏洞列表。我们甚至不是在讨论一个漏洞可能以一种不太明显的方式影响基础设施上运行的辅助系统的交互。

随着时间的推移，它只会融入漏洞的“背景噪音”。有一种假设是，修补程序会有条理地进行，每周或可能每天进行；但在现实中，CVE公告中的相关详细信息永远不会出现在脑海中。

不堪重负的团队承担风险

随着包括补丁在内的安全任务变得如此艰巨，难怪系统管理员会开始走捷径。也许系统管理员错过了新漏洞与辅助系统之间的交互，或者在部署最新补丁之前忽略了正确测试补丁；其中任何一种都无法防止整个网络崩溃。

如果不小心处理，修补等安全管理任务可能会产生后果。一个小的变化会回来，并通过破坏其他他们没有预料到的东西，在未来几天、几周或几个月困扰着安全团队。

在这种情况下，“封闭漏洞”也是一个问题。例如，以Log4j漏洞为例，更改Log4j默认配置可以轻松地提供显著的缓解。这是一个明显而明智的步骤，但真正的问题是系统管理员团队是否有足够的资源来完成任务？并不是说表演很难本质上– 但是很难在整个系统中追踪log4j的每一次使用，而且所需的工作是此外所有其他常规活动。

再一次，提到补丁，持续进行补丁所需的资源往往不存在。考虑到应用补丁意味着重新启动底层服务，补丁尤其困难。重启既耗时又具有破坏性，对于关键组件，重启可能根本不现实。

最终的结果是，基本的安全任务根本无法完成，这让系统管理员感到不安，认为安全性不是它应该具备的。它还用于安全监控，包括渗透测试和漏洞扫描。是的，有些组织可能有专家来完成这项任务；甚至有红队和蓝队。

但是，在许多情况下，安全监控是系统管理员的另一项任务，他们将不可避免地超载，最终承担更多的任务。

而且情况越来越糟

有人可能会认为，需要做的就是让系统管理员超越负担；肌肉放松，把它做好。通过处理积压工作，或者获得一些额外的帮助，系统管理员可以管理工作负载并完成所有工作。

但这里有一个小问题。漏洞的数量正在迅速增长；一旦团队处理了已知的问题，毫无疑问，它将面临更多的问题。而且漏洞的速度正在加快，每年报告的漏洞越来越多。

试图跟上步伐意味着团队规模同比增长30%。这不是一场人工团队能够赢得的战斗。显然，需要替代方案，因为这种性质的持续战斗不可能通过以几乎指数的方式逐年增加团队规模而获胜。

威胁管理自动化是关键

当然，计算的好处是，自动化通常提供了一种摆脱棘手的资源限制的方法–；威胁管理也是如此。事实上，如果您希望在应对日益增长的威胁环境方面取得任何进展，那么跨漏洞管理为任务部署自动化是关键。从监控新漏洞到修补和报告。

一些工具将有助于特定方面，其他工具将有助于所有这些方面，但随着工具变得更具包容性，工具的效率往往会下降。更专业的工具往往比那些声称一次完成所有事情的工具更擅长于它们的特定功能。将其视为Unix工具哲学–；做一件事，把它做好，而不是试图同时做每件事。

例如，修补可以而且应该是自动化的。但是，补丁是需要一个专用工具的安全任务之一，该工具可以通过一致地、以最小的中断进行补丁来帮助系统管理员。

半心半意的方法是行不通的，因为接受维护窗口仍会阻碍修补。这将使IT团队失去几乎实时响应新威胁的灵活性，而不会影响组织的业务运营。通过TuxCare的KernelCare Enterprise tool之类的工具进行实时补丁非常适合这些要求，该工具可为Linux发行版提供自动、无中断的实时补丁。

当然，不仅仅是配线需要自动化。就像网络罪犯使用自动化来探测漏洞一样，技术团队也应该依赖自动化、连续的漏洞扫描和渗透测试。在这个自动化领域还应该包括防火墙、高级威胁保护、端点保护等等。

没有安全的藏身之地

显然，威胁问题正在恶化，而且迅速恶化；如果公司真的想手动解决这些问题，那么他们的安全团队的增长速度可能比他们希望的要快得多。就使用中的解决方案而言，坐在一个特定的角落也不能提供任何安慰，部分原因是解决方案现在与跨多个平台共享的代码集成得如此之多，以至于单个漏洞几乎可以产生普遍的影响。

此外，正如最近的研究所发现的，最脆弱产品的前十名排除了一些值得注意的产品。例如，以前被视为最易受攻击的操作系统之一的微软Windows甚至不在前十名；它被基于Linux的操作系统所主导。依靠被认为更安全的替代品不是一个好主意。

它强调了如何在安全自动化中找到唯一真正的安全。从漏洞扫描到修补，自动化确实是唯一能帮助不知所措的系统管理员在一定程度上控制爆炸性局势的途径；事实上，这是唯一的可管理的解决方案。