思科、飛塔、Juniper等11家企業聯合成立網絡彈性聯盟
責編:gltian |2023-07-28 15:51:497 月 25 日,網絡、安全和服務提供商領域的 11 家科技行業領導者發起了網絡彈性聯盟,以解決網絡硬件和軟件彈性的持續缺乏問題。該聯盟正在通過鼓勵及時更新和修補以及更好的溝通來解決這個問題。
網絡彈性聯盟成員包括 AT&T、博通、BT Group、思科、Fortinet、Intel、瞻博網絡、Lumen Technologies、Palo Alto Networks、Verizon 和 VMware。其目標是提供開放和協作的技術,以幫助提高整個行業網絡硬件和軟件的安全性。
該聯盟隸屬于網絡安全政策與法律中心,是一個非營利組織,致力于提高網絡、設備和關鍵基礎設施的安全性,目前該聯盟的重點將放在那些可能已經達到了生命周期,或者已經被忽視了安全補丁或更換的較舊的路由器、交換機和防火墻上。
“我們看到了許多針對報廢和超出保修設備、軟件和通信平臺的攻擊,目標包括路由器、虛擬化軟件和防火墻。這些產品都有補丁,但由于各種原因,這些補丁沒有被應用,而是被敵對方利用,”網絡安全政策和法律中心協調員 Ari M. Schwartz 在發布會上表示。
“如果我們要解決這個問題,我們就需要共同努力。這就是網絡彈性聯盟的目標——共同努力推薦需要由軟件和硬件供應商、通信平臺和政策制定者實施的解決方案。”
網絡安全和基礎設施安全局 (CISA) 執行助理主任Eric Goldstein也表示,這項工作應該是全球技術供應商和政府之間的合作。
“這樣做可以最大限度地減少許多最終用戶組織的負擔,特別是那些在 CISA 中被我們稱為‘目標豐富、資源匱乏’的組織,”他說,這些最終用戶組織需要找出哪些產品已經終止服務,然后想辦法修復它們,但他們不一定知道該給誰打電話,也不一定有更換或升級這些設備的資源,這對他們來說是一種負擔。“對手利用這一負擔為自己謀利,”他說。
到今年年底,該聯盟打算發布一份報告,在通信平臺上共同解決與報廢和超出保修期設備相關的問題,并尋找未來需要關注的其他類似領域。在這份報告中,聯盟成員將共同努力,針對技術提供商、技術用戶以及負責制定或監管安全政策的人員,提出可操作的建議,以改善網絡安全。
網絡彈性聯盟的目標
在網絡安全領域,最普遍的問題之一是未能及時應用補丁。
思科高級副總裁兼首席安全和信任官Brad Arkin指出,有一種情況一直在發生,取證顯示惡意對手能夠控制被遺忘或忽視的網絡設備,他們的方法是利用一個有補丁的漏洞,通常在攻擊發生前幾年就有補丁可用。
他舉了一個例子,思科在2017年發布了公共補丁,并在2018年初更新了安全公告,以展示該漏洞的利用情況。然而五年后的2023年,許多組織依舊沒有采取必要的預防措施。
在另一個例子中,Bishop Fox 的一項研究發現了一個嚴重漏洞 ( CVE-2023-27997 ),Fortinet 最初于今年 6 月識別并發布了補丁,但近一個月后,近 70% 的漏洞受影響的防火墻設備仍未修補。
“我們的設備到處都是,有些可能是通過世界某個角落的合作伙伴出售的,他們永遠不會收到我們的信息。我感興趣的是(我們)能做些什么,讓更多人明白,這些設備可以打補丁,如果不打補丁,你就會暴露在正在進行的各種攻擊中,”瞻博網絡安全事件響應團隊高級主管Derrick Scholl表示。
漏洞管理是大型企業面臨的一個持續挑戰。最近一份關于DevSecOps漏洞管理狀況的報告發現,在634名IT和IT安全從業人員中,超過一半的人積壓了超過100,000個漏洞。54%的受訪者表示,他們能夠修補的漏洞還不到積壓漏洞的50%,大多數受訪者(78%)表示,他們環境中的高風險漏洞需要超過三周的時間來修補。77% 的受訪者表示,僅檢測、優先處理和修復生產中的一個漏洞就需要超過 21 分鐘。
報告指出,未解決問題的主要原因包括無法確定需要修復的優先級(47%)、缺乏有效的工具(43%)、缺乏資源(38%)以及關于利用漏洞的風險的信息不足(45%)。
一旦出現漏洞,企業的成本就會攀升。根據 IBM Security 的年度數據泄露成本報告, 2023 年全球數據泄露的平均成本將達到 445 萬美元,比過去三年增加 15% 。
網絡彈性聯盟現在提供了解決所有這些問題的機會,將制造產品的供應商、使用產品的客戶等多方結合在一起,共同解決這個問題。
來源:SDNLAB