隨著雲端服務的普及,安全漏洞管理的角色與重點已產生重大轉變。傳統上,漏洞管理團隊的主要任務是修補網路基礎架構中的漏洞。但在雲端環境中,組織無法直接控制底層基礎架構,因此漏洞修補的責任落在雲端服務提供商身上。相對的,漏洞管理團隊的工作重心則轉移到配置管理。
適當的配置管理直接影響組織的風險程度。舉例來說,MongoDB 曾因為預設密碼配置問題而導致大量伺服器受到入侵,這就凸顯了配置管理的重要性。與傳統軟體不同,雲端服務的高度可複製性,使得一個錯誤的配置可能會在整個雲端環境中大規模複製,因此潛在的安全影響更為嚴重。
然而,雲端服務提供商普遍不會為漏洞指派通用漏洞披露(CVE)編號,這使得漏洞管理團隊難以有效追蹤與分析特定的雲端漏洞。缺乏統一的識別機制,漏洞分析師常需耗費大量時間,依賴模糊的警示訊息(如「S3儲存貯體配置錯誤」)來追查並修正雲端配置問題,效率低落。
有鑑於此,業界或許應考慮針對雲端漏洞建立類似CVE的獨特識別碼,例如「Common Cloud Vulnerability Enumeration(CCVE)」。以統一格式定義雲端配置問題(如「CCVE 1-1.2:Amazon S3儲存貯體預設密碼」),可大幅簡化漏洞追蹤與修正的流程。
當前,組織僅能在有限時間內修復少部分的已知漏洞,未解決的漏洞債務年復一年地累積。追根究柢,需要思考如何協助企業有效管理雲端風險,解決漏洞債務的棘手問題。也許業界共同制定雲端漏洞識別機制,將是一個可行的出路。否則,我們勢必面臨漏洞風險失控的危機。
詳情請看: