账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 新闻 /
趋势科技指漏洞修补为资安预防针 企业须知4大生命周期样态
 

【CTIMES / SMARTAUTO ABC_1 报导】    2024年05月14日 星期二

浏览人次:【1563】

面对企业网路基础架构日益复杂,漏洞管理及修补的资安事务比过往更加消耗企业资源;骇客也时刻找寻,并利用漏洞入侵企业系统架构,以获取情资或部署攻击。谁能最快速修补漏洞或藉此发动攻击,便成为资安风险管理的重要关键。

趋势科技指出漏洞管理三要点:针对自身场域制定修补流程、提升可视性、关注资安情报。
趋势科技指出漏洞管理三要点:针对自身场域制定修补流程、提升可视性、关注资安情报。

为此,趋势科技在今年共同主办的CYBERSEC 2024台湾资安大会中,针对不同垂直产业应用场域漏洞所面临的独特挑战,提出4大漏洞生命周期样态,带领现代企业审视自身场域制定修补流程机制;同时呼吁企业应增强资安设备的可视性,并随时关注漏洞资安情报,方能即时有效评估并降低曝险。

如今修补漏洞已不仅是一项技术工作,更是一场全面的战略行动,涉及组织内部的流程、资源分配和资安文化的建立。然而,漏洞管理的生命周期从发现漏洞、发布补丁、到修补完成的每个阶段,企业应根据自身独特场域特性和资安需求制定相应举措,强化前期预防,并将漏洞管理模式区分为以下4种类型:

1. 典型漏洞管理模式:传统软体供应商如微软、思科和苹果等,通常会遵循定期发布修补程式的惯例。惟从发现漏洞、通知厂商、揭露漏洞并提供补丁,直到实际套用完成更新,约须耗费长达3~10个月时间,足以让骇客准备进攻,企业资安亦危机四伏。

2. 敏捷漏洞管理模式:为了更快回应环境中的漏洞风险,包括Google等云端服务供应商会采取更敏捷的策略来执行修补更新作业,须随时保持灵活性,以免手忙脚乱。

3. 客户部署导向漏洞管理模式:诸如工控与自动化厂商在管理漏洞时,会优先考量如何协助其客户快速部署修补更新,而非对外揭露漏洞。因此,公共漏洞揭露资料库(Common Vulnerabilities and Exposures,CVE)较难以发挥价值,企业反而须透过付费型的漏洞管理协议,来强化其纵深防御策略。

4. 无线软体更新OTA漏洞管理模式:如终端行动装置、汽车供应商,常透过无线软体更新(On The Air;OTA)方式向客户发布补丁。却常因地缘区域有别,即使厂商已完成修补更新,对於终端用户是否确实完成修补更新的掌握度低、延迟部署到终端装置,也容易会引发骇客入侵攻击。

趋势科技威胁研究??总裁,亦是全球最大「非限定厂商独立漏洞悬赏计画Zero Day Initiative(ZDI)负责人Brian Gorenc表示:「当今产业面对漏洞揭露和修补时,不仅需要依照其不同的资安场域需求制定相应策略,以确保其适切性,还需要根据所在行业的揭露模式进行风险评估,以提高防范能力。

此外,随着生成式AI不断迭代的大势,未来的漏洞威胁将变得更加棘手。要想在面对漏洞攻击时拉高风险防御线,须透过专业工具的协助,以提高对资安可视性的掌握;并於骇客攻击前,就预先发现可能的资安破囗,方能达到预防与防御的协同效应。

趋势科技台湾区总经理洪伟淦表示:「漏洞修补是资安风险管理中相当重要的一环,当今企业为抵挡日益严峻的外部威胁,投入许多心力在强化侦测回应能力上。但对於如漏洞管理、权限控管等,帮助强化自身资安体质的基本工作却相对欠缺。获得风险可视性并进行管理的有效机制,导致有越来越多的资安破囗,为骇客增加入侵的机会。」

此外,企业也面临资产设备增多、系统架构日趋复杂、资料串接频繁所导致曝险面积扩大的问题。对於企业所面临的困难挑战,企业唯有着眼於将资安布局『左移』,即在风险早期阶段就采取行动,搭配全面的侦测及回应,掌握风险预防与威胁情。才能对内部破囗与外部威胁做全方位的资安风险控管,为资安防御力施打预防针,有效抵御骇客威胁。

趋势科技Trend Vision One平台则能为企业侦测重大漏洞,透过检查所有受影响的端点,同时考量安全控制和配置、威胁活动以及暴露情况,提供企业整体风险及可能遭受的冲击评估。这有助於企业识别未修补或配置错误的系统,以及有风险的用户行为、优先考虑漏洞修复措施、降低攻击的潜在严重性及通知安全远程访问。

關鍵字: 資安  趋势科技 
相关新闻
资拓宏宇云端永续智能方案 打造数位转型新解方
报告:全球企业拥有7x24网路资安防护效能仅三分之一
2024 TIE:资策会5G资安技术守护全球网路安全
趋势科技获Google Cloud Ready-Regulated&Sovereignty Solutions认证
TXOne Networks新一代Edge工控网路防护方案 新机更新韧体并纳入AI
comments powered by Disqus
相关讨论
  相关文章
» 利用Cybersecurity Compass消除沟通落差
» AI时代常见上网行为的三大资安隐??
» 您需要了解的五种软体授权条款
» 挑选混合云资安解决方案的诀窍
» 使用PyANSYS探索及优化设计


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8C36BJGKSSTACUKJ
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: [email protected]