趨勢科技威脅研究副總Brian Gorenc

圖片來源: 

iThome

2023漏洞事件層出不窮,從Progress旗下的MFT檔案共享系統、NetScaler網路設備、HTTP/2通訊協定漏洞、到解壓縮軟體常用的WinRAR工具漏洞,影響更遍及各行各業,導致這些企業內部的機敏資料外洩。在今天(5/14)臺灣資安大會首日主題演講中,趨勢科技威脅研究副總Brian Gorenc剖析各產業軟體漏洞生命周期各階段的挑戰,以及應對策略,更提出他對於生成式AI未來如何影響漏洞揭露的觀察。

Brian Gorenc過去主要專注在帶領團隊開發防護技術與威脅情報,以對抗精密攻擊,他同時也是供應商發起的全球最大ZDI零時差漏洞懸賞計畫的負責人,並在知名Pwn2Own駭客競賽中擔任裁判。

根據ZDI公布的2023年數據顯示,零時差漏洞呈現逐年增長的趨勢,僅在2023年就揭露了1,914個零時差漏洞,較2022年增加了12%。

一家供應商收到零時差漏洞通知,通常需花費約90至120天的時間來修復這些漏洞,如微軟、蘋果會在90天後發布修補更新,若是工業控制系統(ICS)出現漏洞,廠商修補的時間可能更長,達180或200天。這還未考慮到在收到通知前漏洞被發現的時間。

在更新發布後,企業可能隔一段時間才開始在受影響的軟體上進行更新修補漏洞,這段期間可能長達180天,因此從收到漏洞通知到實際修補漏洞可能需要300天。Brian Goren坦言,這段空窗期間,等於是讓駭客有可乘之機。

廠商收到0-day漏洞通知到企業實際修補漏洞可能長達300天

Brian Gorenc指出,傳統漏洞管理發布周期,包含發現錯誤、披露錯誤、修補錯誤等過程,大多是由軟體供應商,如微軟、甲骨文等定期發布修補程式,由企業定期更新有問題的程式,但這樣的做法,不僅耗時費日,在這樣的發布週期中,駭客可以利用廠商的漏洞披露期,在漏洞被披露但尚未修補之前對企業發動攻擊。

他表示,零時差漏洞並不罕見,他們的團隊每年向不同的供應商揭露超過1,000個漏洞資訊。關健在於企業如何根據身處的產業和生產環境,來擬定漏洞修補策略。

垂直產業漏洞管理的4種類型

相較於傳統的漏洞管理方式,Brian Gorenc另外還提出3種垂直產業漏洞管理的類型,分別是敏捷漏洞管理模式(rapid release cycle)、客戶部署導向漏洞管理模式(customer notification first)、以及OTA更新,這些模式對應到不同垂直產業對於漏洞管理的做法。

在敏捷漏洞管理模式中,提供的是一種最低限度的披露方式,使企業能夠採用快速修補策略來進行漏洞修補,將補丁發布到企業實際套用完成更新的時間縮短為30天內。如Google等雲端服務供應商就是採用這種管理模式。

對於製造業常用的工控系統或 SCADA 系統,在漏洞管理上則通常採用客戶部署導向漏洞管理模式。他表示,這是因為這些系統的客群相對較小,可以透過付費平臺或客戶支援系統等方式,來提供軟體漏洞的補丁,減少對任何資訊揭露或僅提供有限資訊,以便讓這些客戶在公告前就完成更新。

OTA更新是最後一類漏洞管理類型,常見於終端行動裝置、汽車等領域,供應商通常透過OTA更新向用戶更新軟體。然而,Brian Gorenc指出,OTA軟體更新在漏洞揭露生命週期中產生了新問題,例如無法同時讓所有受影響的用戶進行更新,而是需要分批完成更新修補,這也增加了遭受駭客攻擊的風險。

在處理漏洞揭露和修補漏洞上,他強調,沒有一套做法可以適用到所有的產業, 每個垂直行業都有各自獨特應對方式,用以管理內部的漏洞。此外,進行風險評估時,必須基於適合企業所在產業的真實揭露風格,這樣才能更好地應對漏洞帶來的風險。

這兩年,生成式AI快速竄紅,Brian Gorenc相信生成式AI將會對現有的漏洞發現和揭露過程產生影響,例如駭客可能利用生成式AI或LLM來加快新漏洞的建立等,未來也可能影響漏洞揭露的流程。他提醒,企業必須及早開始準備制定因應對策。

 相關報導 

熱門新聞

Advertisement