趨勢科技指出漏洞修補為資安防禦預防針 企業須知四大漏洞生命週期

2024-05-14 12:42:58 蔡秀娥 記者

【記者蔡秀娥台北報導】隨著企業網路基礎架構日益複雜,漏洞管理及修補的資安事務比過往更加消耗企業資源;同時間,駭客也時刻找尋並利用漏洞入侵企業系統架構以獲取情資或部署攻擊,2023年Zero Day Initiative (ZDI)漏洞懸賞計畫就發現並揭露了1,914個零時差漏洞,相較於2022年增加了12%。為此,全球網路資安領導廠商趨勢科技在今年共同主辦的CYBERSEC 2024台灣資安大會中,針對不同垂直產業回應漏洞所面臨的獨特挑戰,提出四大漏洞生命週期樣態,帶領現代企業審視自身場域制定修補流程機制;同時呼籲企業應增強資安設備的可視性,並隨時關注漏洞資安情報,方能即時有效評估並降低曝險。趨勢科技估計,2023年期間凡是按部就班套用所有虛擬修補的企業客戶,平均可省下高達100萬美元,顯見漏洞修補對企業營運至關重要,更是強化內部系統資安體質的重點任務。

趨勢科技指出漏洞管理三要點:針對自身場域制定修補流程、提升可視性、關注資安情報。

經趨勢科技觀察,漏洞管理的生命週期從發現漏洞、發布補丁、到修補完成的每個階段,企業應根據自身獨特場域特性和資安需求制定相應舉措。針對漏洞管理模式,主要區分為以下四種類型:一、典型漏洞管理模式、二、敏捷漏洞管理模式、三、客戶部署導向漏洞管理模式、四、無線軟體更新OTA漏洞管理模式等。

 

趨勢科技威脅研究副總裁,亦是全球最大非限定廠商獨立漏洞懸賞計畫Zero Day Initiative(ZDI)負責人Brian Gorenc表示:當今產業面對漏洞揭露和修補時,不僅需要依照其不同的資安場域需求制定相應策略,以確保其適切性,還需要根據所在行業的揭露模式進行風險評估,以提高防範能力。此外,隨著生成式人工智慧不斷迭代的大勢,未來的漏洞威脅將變得更加棘手。要想在面對漏洞攻擊時拉高風險防禦線,需透過專業工具的協助以提高對資安可視性的掌握,並於駭客攻擊前就預先發現可能的資安破口,方能達到預防與防禦的協同效應。

趨勢科技於CYBERSEC 2024現場展出Trend Vision One平台,分享最新漏洞與雲端資安管理、資安風險管理等情報資訊,助企業強化資安佈局。

趨勢科技台灣區總經理洪偉淦表示:漏洞修補是資安風險管理中相當重要的一環,但對於如漏洞管理、權限控管等幫助強化自身資安體質的基本工作,卻相對地欠缺獲得風險可視性並進行管理的有效機制,導致有越來越多的資安破口,為駭客增加入侵的機會。此外,企業也面臨資產設備增多、系統架構日趨複雜、資料串接頻繁所導致曝險面積擴大的問題。對於企業所面臨的困難挑戰,企業唯有著眼於將資安佈局『左移』,即在風險早期階段就採取行動,搭配全面的偵測及回應,如此才能對內部破口與外部威脅做全方位的資安風險控管,有效抵禦駭客威脅。

 

趨勢科技Trend Vision One™平台能夠為企業偵測重大漏洞,透過檢查所有受影響的端點,同時考量安全控制和配置、威脅活動以及暴露情況,提供企業整體風險及可能遭受的衝擊評估。這有助於企業識別未修補或配置錯誤的系統以及有風險的用戶行為、優先考慮漏洞修復措施、降低攻擊的潛在嚴重性以及通知安全遠程訪問。此外,趨勢科技也呼籲企業應隨時關注資安威脅情報,透過全球最大的非限定廠商漏洞懸賞計畫Zero Day Initiative(ZDI),獲取零時差漏洞與虛擬修補的第一手資訊,降低遭受駭客發動零時差攻擊的風險。

 

趨勢科技將於5月14日到16日期間,於台灣資安大會中展出助力企業抵禦漏洞攻擊和強化風險管理的前瞻性整合平台Trend Vision One™,同時也將於現場演講議程中分享最新漏洞資安管理、雲端資安管理、資安風險管理等情報資訊,協助企業強化資安佈局。