iThome
2023漏洞事件层出不穷,从Progress旗下的MFT档案共享系统、NetScaler网路设备、HTTP/2通讯协定漏洞、到解压缩软体常用的WinRAR工具漏洞,影响更遍及各行各业,导致这些企业内部的机敏资料泄。在今天(5/14)台湾资安大会首日主题演讲中,趋势科技威胁研究副总Brian Gorenc剖析各产业软体漏洞生命周期各阶段的挑战,以及应对策略,更提出他对于生成式AI如何影响漏洞揭露的观察。
Brian Gorenc过去主要专注在带领团队开发防护技术与威胁情报,以对抗精密攻击,他同时也是供应商发起的全球最大ZDI零日漏洞悬赏计划的负责人,并在知名Pwn2Own骇客竞赛中担任裁判。
根据ZDI公布的2023年数据显示,零时差漏洞呈现逐年增长的趋势,仅在2023年就揭露了1,914个零时差漏洞,较2022年增加了12%。
一家供应商收到零时差漏洞通知,通常需花费约90至120天的时间来修复这些漏洞,如微软、苹果会在90天后发布修补更新,若是工业控制系统(ICS)出现漏洞,厂商修补的时间可能更长,达180或200天。这还未考虑到在收到通知前漏洞被发现的时间。
在更新发布后,企业可能隔一段时间才开始在受影响的软体上进行更新修补漏洞,这段期间可能长达180天,因此从收到漏洞通知到实际修补漏洞可能需要300天。Brian Goren坦言,这段空窗期间,等于是让骇客有可趁机之机。
厂商收到0-day漏洞通知到企业实际修补漏洞可能长达300天
他指出,传统漏洞管理发布周期,包含发现错误、披露错误、修补错误等过程,大多是由软体供应厂,如微软、甲骨文等定期发布修补程式,由企业定期更新有问题的程式,但这样的做法,不仅耗时费日,在这样的发布周期中,骇客可以利用厂商的漏洞披露期,在漏洞被披露但尚未修补之前对企业发动攻击。
他表示,零时差漏洞并不罕见,他们的团队每年向不同的供应商揭露超过1,000个漏洞资讯。企业需要根据身处的产业和生产环境,来拟定漏洞修补策略。
垂直产业漏洞管理的4种类型
相较于传统的漏洞管理方式,Brian Gorenc另外还提出3种垂直产业漏洞管理的类型,分别是敏捷漏洞管理模式(rapid release cycle)、客户部署导向漏洞管理模式(customer notification first)、以及OTA更新,这些模式对应到不同垂直产业对于漏洞管理的做法。
在敏捷漏洞管理模式中,提供的是一种最低限度的披露方式,使企业能够采用快速修补策略来进行漏洞修补,将补丁发布到企业实际套用完成更新的时间缩短为30天内。如Google等云端服务供应商就是采用这种管理模式。
对于制造业常用的工控系统或 SCADA 系统,在漏洞管理上则通常采用客户部署导向漏洞管理模式。他表示,这是因为这些系统的客群相对较小,可以透过付费平台或客户支援系统等方式,来提供软体漏洞的补丁,减少对任何资讯揭露或仅提供有限资讯,以便让这些客户在公告前就完成更新。
OTA更新是最后一类漏洞管理类型,常见于终端行动装置、汽车等领域,供应商通常透过OTA更新向用户更新软体。然而,Brian Gorenc指出,OTA软体更新在漏洞揭露生命周期中产生了新问题,例如无法同时让所有受影响的用户进行更新,而是需要分批完成更新修补,这也增加了遭受骇客攻击的风险。
在处理漏洞揭露和修补漏洞上,他强调,没有一套做法可以适用到所有的产业, 每个垂直行业都有各自独特应对方式,用以管理内部的漏洞。此外,进行风险评估时,必须基于适合企业所在产业的真实揭露风格,这样才能更好地应对漏洞带来的风险。
这两年,生成式AI快速窜红,Brian Gorenc相信生成式AI将会对漏洞发现和揭露过产生影响,例如骇客可能利用生成式AI或LLM来加快新漏洞的发现等。他提醒,企业必须及早开始准备制定因应对策。