青藤云安全：漏洞管理新說

漏洞管理(Vulnerability Management)是一個老生常談的概念，也是信息安全領(lǐng)域最為人熟知的概念。漏洞管理不等于漏洞掃描，漏洞掃描充其量只是過程中的一個步驟。大家經(jīng)常會把漏洞管理和補(bǔ)丁管理(Patch Management)混為一談，兩者區(qū)別也在這里說下，補(bǔ)丁管理是指更新軟件、操作系統(tǒng)和應(yīng)用的一個過程，補(bǔ)丁通常包括功能類、性能類和安全類補(bǔ)丁。把漏洞管理和補(bǔ)丁管理放在一起，基本有一定的銜接關(guān)系，在存在漏洞的時候，需要打補(bǔ)丁來進(jìn)行修復(fù)。但是有時候的漏洞短時間內(nèi)并沒有補(bǔ)丁，比如0Day，或者是放棄維護(hù)的軟件、系統(tǒng)以及應(yīng)用，比如Windows XP。漏洞有時候就算發(fā)現(xiàn)了，也會因為業(yè)務(wù)問題而無法打補(bǔ)丁，要通過其他的方式降低影響，比如安全流量設(shè)備的虛擬補(bǔ)丁。

將企業(yè)的漏洞管理計劃與安全框架或標(biāo)準(zhǔn)進(jìn)行對照，如 Center for Internet Security (CIS, 互聯(lián)網(wǎng)安全中心) Controls，將有助于揭示有差距以及潛在的改進(jìn)領(lǐng)域。目前CIS Controls的版本是V7.1發(fā)布時間是2019年4月。CIS控制是一系列有優(yōu)先級的縱深防御行為，可以降低大部分常見的攻擊方式。CIS控制一共分為三個大的部分，初級、基礎(chǔ)級、組織級。每個級別是遞進(jìn)關(guān)系，每個級別里面表明了相應(yīng)的安全手段。如下圖所示，這里看到持續(xù)的漏洞檢測是作為初級能力中的第三項出現(xiàn)，也是在安全能力要求比較低的情況下就需要做出的表現(xiàn)。

關(guān)于持續(xù)漏洞管理的細(xì)分要求

上圖中共展示了七個要求：3.1 運(yùn)行自動化掃描工具主要講的是非認(rèn)證式掃描，指外部通過網(wǎng)絡(luò)指紋方式的掃描;3.2 運(yùn)行認(rèn)證的掃描，主要指登錄到相應(yīng)的設(shè)備進(jìn)行掃描;3.3 設(shè)定專用賬號，這個是掃描的方式要求，這樣可以一方面方便掃描，另一方面可以降低誤報;3.4部署系統(tǒng)的自動化補(bǔ)丁管理工具，是針對于系統(tǒng)的漏洞進(jìn)行修復(fù);3.5部署軟件的自動化補(bǔ)丁管理工具，這是針對于軟件的漏洞進(jìn)行修復(fù);3.6 進(jìn)行背靠背的漏洞掃描，是為了驗證漏洞是否補(bǔ)丁成功的驗證性掃描;3.7 采用風(fēng)險評級流程，是一種按照風(fēng)險來對漏洞進(jìn)行評估的方式。以上七個要求只是說明了應(yīng)該做到的方面，但并不代表漏洞管理流程，下一章將對漏洞管理流程進(jìn)行解析。

漏洞管理流程

漏洞管理流程一般情況下分為四個步驟：漏洞識別、漏洞評估、漏洞處理、漏洞報告。

漏洞識別是我們通常意義下的漏洞掃描，也是漏洞管理的第一步。根據(jù)現(xiàn)有資產(chǎn)的情況，目前可分為筆記本、PC、服務(wù)器、數(shù)據(jù)庫、防火墻、交換機(jī)、路由器、打印機(jī)等。漏洞掃描進(jìn)行全部資產(chǎn)的掃描發(fā)現(xiàn)已知的漏洞。后面會詳細(xì)介紹漏洞識別的相關(guān)原理。

漏洞評估是在漏洞識別的基礎(chǔ)上進(jìn)行漏洞嚴(yán)重性的評估，這一步非常重要會影響到后面的處理步驟。比較常見的漏洞評估是使用CVSS評分法，根據(jù)CVSS的分?jǐn)?shù)可以分為危急、高危、中危和低危。但是這種評估方法被業(yè)界詬病太多，需要結(jié)合其他的方式來進(jìn)行評估。做法會更進(jìn)一步結(jié)合資產(chǎn)的重要性來評估漏洞影響，更好的方式是結(jié)合風(fēng)險和威脅評估。后文也會重點(diǎn)說明這種方式。

漏洞處理是在漏洞評估的基礎(chǔ)上進(jìn)行相關(guān)的修復(fù)、降低影響或者不修復(fù)的操作。修復(fù)動作不是簡單的打補(bǔ)丁，是一個流程上的東西。修復(fù)過程通常包括以下幾個步驟：

1. 獲取廠商的補(bǔ)丁;

2. 分析補(bǔ)丁的依賴和系統(tǒng)的兼容性以及補(bǔ)丁的影響;

3. 建立回滾計劃，防止補(bǔ)丁對業(yè)務(wù)造成未知影響;

4. 在測試環(huán)境測試補(bǔ)丁修復(fù)情況;

5. 在部分生產(chǎn)環(huán)境測試補(bǔ)丁修復(fù)情況;

6. 進(jìn)行灰度上線補(bǔ)丁計劃，乃至全量補(bǔ)丁修復(fù);

7. 分析補(bǔ)丁修復(fù)后的系統(tǒng)穩(wěn)定并監(jiān)控;

8. 進(jìn)行驗證補(bǔ)丁是否修復(fù)成功，漏洞是否依然存在。

對于很多無法直接根除漏洞進(jìn)行補(bǔ)丁修復(fù)的情況，比如0Day，不在支持范圍的系統(tǒng)或者軟件，業(yè)務(wù)需求無法中斷，補(bǔ)丁速度滯后等情況。我們要采取降低漏洞影響的操作，如下圖所示：

通常關(guān)于漏洞減輕的措施三個大的方面：網(wǎng)絡(luò)、終端、應(yīng)用和數(shù)據(jù)，細(xì)分可包括：

1. 隔離系統(tǒng)網(wǎng)絡(luò)，包括防火墻規(guī)則和網(wǎng)絡(luò)區(qū)域劃分;

2. 網(wǎng)絡(luò)訪問控制;

3. NIPS、WAF、SW、DAP、RASP等軟件或者設(shè)備簽名規(guī)則更新;

4. HIPS終端類安全產(chǎn)品進(jìn)行阻斷;

5. EPP類安全產(chǎn)品類似白名單機(jī)制、系統(tǒng)加固等;

6. 阻斷有漏洞軟件的網(wǎng)絡(luò)連接;

7. 主機(jī)防火墻進(jìn)行端口阻斷。

漏洞報告是漏洞管理的最后一個步驟，也是最終的一個產(chǎn)出物。這個報告的目的是為了總結(jié)每一次漏洞管理的成果以及記述過程，存檔后也可以對下一次的漏洞管理行為做參考。依照報告的涉及深度可以由淺至深分為：合規(guī)報告、修復(fù)過程報告、基于風(fēng)險報告、重點(diǎn)漏洞分析報告、趨勢和指標(biāo)報告、持續(xù)改進(jìn)報告。合規(guī)的報告比如PCI-DSS類型的報告，僅僅為了合規(guī)的需求。報告本身其實能夠說明每一次管理過程的成果，以及每次評估方法的多樣性以及合理性。

綜上所訴，漏洞管理的成熟度，可以參看下表：

漏洞識別原理

漏洞識別一般是通過漏洞掃描器實現(xiàn)的，識別漏洞的形式無外乎有四種：非認(rèn)證式掃描、認(rèn)證式掃描、API掃描、被動流量掃描。前兩種是最普遍的方式。非認(rèn)證方式掃描，也叫網(wǎng)絡(luò)掃描方式(Network Scanning)，基本原理就是發(fā)送Request包，根據(jù)Response包的banner或者回復(fù)的報文來判斷是否有漏洞，這種分析Response包內(nèi)容的主要邏輯是版本比對或者根據(jù)PoC驗證漏洞的一些詳情來判斷。認(rèn)證式掃描也叫主機(jī)掃描方式(Agent Based Scanning)，這種方式可以彌補(bǔ)網(wǎng)絡(luò)方式的很多誤報或者漏報的情況，掃描結(jié)果更準(zhǔn)，但是會要求開發(fā)登錄接口，需要在主機(jī)進(jìn)行掃描。拿Nessus舉例，基本就是下發(fā)一個腳本執(zhí)行引擎和NASL腳本進(jìn)行執(zhí)行，在主機(jī)保存相關(guān)數(shù)據(jù)然后上報服務(wù)端，最后清理工作現(xiàn)場。API掃描與接近于應(yīng)用掃描方式，這里不做深入分析，跟之前寫的一篇文章中DAST相關(guān)。被動式流量掃描比主動式的流量掃描從帶寬IO上沒有任何影響，但是需要對所有請求和返回包進(jìn)行分析，效果來說最差，因為某些應(yīng)用如果沒有請求過就無法被動地獲取相關(guān)流量數(shù)據(jù)進(jìn)行分析。

說完這些模式，漏洞識別的核心原理是什么呢?漏洞識別本身并不是很復(fù)雜的事情，因為NVD的數(shù)據(jù)全部是公開，數(shù)據(jù)來源來看除非有大量的0Day，否則漏洞數(shù)量上每個廠商的區(qū)別并不大。筆者曾研究過Nessus的實現(xiàn)原理，畢竟在3.0之前還是開源的。80%以上的漏洞識別都是通過版本比對實現(xiàn)的，但是不是CVE漏洞能夠體現(xiàn)的，而是每個廠商的安全公告(Security Announcement)獲取的。比如RedHat的Security Announcement( https://www.redhat.com/mailman/listinfo/rhsa-announce)，可以通過郵件訂閱，這里才是真正的可用數(shù)據(jù)。這里附帶一句，任何成熟的軟件廠商都應(yīng)該維護(hù)這樣的一個安全公告，要不然客戶遇到漏洞無法修復(fù)。主流的Linux系統(tǒng)都有這種公告我就不一一列舉了，還有一些核心的軟件也有這種安全公告內(nèi)容。有這個的好處是讓漏洞掃描工具可以迅速的定位漏洞問題所在。除了版本比對，各個掃描器的區(qū)別就在PoC的驗證腳本數(shù)量，老牌的漏掃三大廠Rapid7、Tenable、Qualys積累的都不少，這個就是個日積月累的活了，這種通過PoC的方式更準(zhǔn)。因為有些情況運(yùn)維圖省事，直接替換二進(jìn)制，其實漏洞已經(jīng)修復(fù)了，但是版本沒有變化，這時候PoC就起作用了，還有在版本無法獲取的情況下也可以發(fā)揮作用。PoC可以分為兩種形式，一種是本地類的驗證，比如bash的Ghost漏洞這種情況就是本地執(zhí)行PoC方式;另一種網(wǎng)絡(luò)類的驗證，比如OpenSSL的HeartBleed漏洞，就需要向其網(wǎng)站能夠發(fā)送觸發(fā)漏洞情況的Payload。其實無論是網(wǎng)絡(luò)類的掃描方式還是主機(jī)類的掃描方式都是這兩種原理。

這里可以貼個Kenna和Cyentia聯(lián)合報告的圖，記錄了每個廠商的修復(fù)漏洞時間：

微軟對待漏洞的態(tài)度還是挺堅決，75%的漏洞都會在134天內(nèi)能夠修復(fù)，反觀IBM就會慢很多，也是對于廠商選型來看有參考價值。

其實漏洞掃描廠商的最大區(qū)別并不是部署模式，或者是發(fā)現(xiàn)方式，最核心的問題是對漏洞的評估。舉個例子，如果有1000個漏洞被識別了，要如何回答客戶哪100個漏洞是最值得修復(fù)的，這才是核心區(qū)別，下面著重討論。

漏洞管理遇到新的問題

一、漏洞評估方式的改進(jìn)

漏洞的評估模型目前有三種：基于漏洞本身的評價;基于資產(chǎn)的評價;基于風(fēng)險和威脅的評價。

一般客戶能做到以漏洞為中心的第一點(diǎn)也不容易，基本都是對于所有漏洞無差別修復(fù)，這樣工作量很大，且沒有抓住重點(diǎn)。加入資產(chǎn)的重要性進(jìn)了一步，根據(jù)實際資產(chǎn)的價值進(jìn)行結(jié)合這樣更有針對性。以威脅為中心的評價方式是近幾年提出的，并不是取代上面兩者，而是這個基礎(chǔ)上綜合考慮加入威脅的因素。合起來的模型叫做逐漸降低風(fēng)險和立即處理威脅(Gradual Risk reduction & Imminent Threat Elimination (GRIT))。如下圖所示：

越靠下的部分證明修復(fù)窗口越大，越不需要緊急修復(fù)，越靠上修復(fù)窗口越小，需要緊急修復(fù)。最下面的逐漸降低風(fēng)險是對待風(fēng)險以漏洞為中心或者是以資產(chǎn)為中心的傳統(tǒng)方式。中間的普通緊急威脅是指在滲透的數(shù)據(jù)庫里比如exploitDB或者在滲透測試的工具集里，或是在惡意軟件或者勒索軟件利用里面，這些數(shù)據(jù)的來源于威脅情報，需要做一些緊急的應(yīng)對。最上面的緊急威脅是指針對性的攻擊，主要指從威脅情報獲取TTPs的攻擊，這個針對性很強(qiáng)的攻擊必須在很短的時間內(nèi)處理。

下圖是2019年十大安全項目之持續(xù)適應(yīng)風(fēng)險與信任評估的漏洞管理項目，其基本思路也是基于風(fēng)險和危險的漏洞管理方式。

二、資產(chǎn)類型的擴(kuò)展

信息化領(lǐng)域目前的兩大趨勢變化：傳統(tǒng)數(shù)據(jù)中心上云;IT和OT的結(jié)合。兩種趨勢導(dǎo)致被評估的資產(chǎn)類型發(fā)生了很大的變化且導(dǎo)致問題關(guān)注點(diǎn)的轉(zhuǎn)移。在上云的趨勢下，傳統(tǒng)的部署模式會有很大的挑戰(zhàn)，尤其是容器技術(shù)的大規(guī)模使用，之前漏洞掃描的方式基本失效。云計算在使用上方的便性有很大的提升空間，但是通過本地部署的方式去進(jìn)行漏洞并不是最合適的解決方案，基于云的掃描器可能更適用于這種情況。基于云計算的漏洞掃描方式可以跟云管平臺聯(lián)動，更好的管理云上資產(chǎn)，且毫不遺漏地進(jìn)行所有云上資產(chǎn)的漏洞管理。由于容器技術(shù)的特點(diǎn)，之前網(wǎng)絡(luò)類的還是基于agent的方式都很難對容器進(jìn)行有效的漏洞掃描，都需要對容器的文件系統(tǒng)進(jìn)行理解，對每個layer分析來進(jìn)行漏洞的分析和掃描。因為容器的網(wǎng)絡(luò)組織形式以及在運(yùn)行時狀態(tài)，會讓傳統(tǒng)的漏洞掃描失效，基本原理發(fā)生了根本的變化。所以在各個大的傳統(tǒng)廠商，需要針對容器要做新的技術(shù)演進(jìn)，同時留出了市場空間可以讓專門做容器安全的公司有時間切入這個市場。

關(guān)于IT和OT的結(jié)合，這個場景會更多，漏洞作為安全領(lǐng)域的皇冠，OT安全首當(dāng)其沖的就是考慮這個問題。OT包含的五大場景：智慧城市、智慧家庭、智慧醫(yī)療、智慧交通和智慧工業(yè)。智慧城市可以以攝像頭舉例，現(xiàn)在國內(nèi)的雪亮工程都是當(dāng)?shù)貥O大的工程，但是很少考慮攝像頭終端設(shè)備的漏洞情況和安全性問題。智慧醫(yī)療很多專業(yè)的醫(yī)療設(shè)備都會聯(lián)網(wǎng)，同時安全性問題也就暴漏出來，國外有些安全廠商已經(jīng)在關(guān)注這個特定的行業(yè)。智慧交通在車聯(lián)網(wǎng)上在車內(nèi)以及TBOX都有一些廠商切人，漏洞這塊還是以挖掘為主，漏洞管理這塊還沒有成型。智慧工業(yè)的場景是常提到的工控安全，這個領(lǐng)域已經(jīng)有相關(guān)的國內(nèi)廠商在做，但是大部分都還是傳統(tǒng)的IT思路。OT領(lǐng)域的漏洞管理還是比較初級的市場，需要更多的市場培育和關(guān)注。

三、新的產(chǎn)品類型

這里不提及Web漏洞掃描和配置安全掃描的產(chǎn)品類型，重點(diǎn)提到威脅漏洞管理(TVM)和泄漏攻擊模擬(BAS)兩種產(chǎn)品。TVM是指威脅和漏洞管理，這種產(chǎn)品本身可以不用做相關(guān)的漏洞掃描，這是將漏洞和威脅信息結(jié)合歸并，可以理解為漏洞領(lǐng)域的SoC。TVM可以使用漏洞掃描數(shù)據(jù)并利用威脅情報(TI)、攻擊的漏洞以及內(nèi)部資產(chǎn)的重要性，實現(xiàn)讓組織更好地理解漏洞風(fēng)險，防止泄漏產(chǎn)生。同時也可以跟IPDS和WAF類產(chǎn)品對接可以作為漏洞處理的方式可以迅速響應(yīng)。代表廠商有Kenna Security 和NopSec，同時這兩家廠商對于漏洞的評估也比傳統(tǒng)的漏洞掃描廠商更有針對性，更基于威脅和風(fēng)險本身。

BAS是以攻擊者視角來看待漏洞。會自動化模擬攻擊行為來利用漏洞，更真實，也更具實際意義。BAS會將漏洞識別和漏洞利用合二為一，讓客戶感覺更真實有效。代表廠商有AttackIQ和Core Security。AttackIQ基于MITRE的ATT&CK的矩陣模型進(jìn)行的攻擊模型來設(shè)計的產(chǎn)品更切實落地，基本實現(xiàn)方式是安裝agent、運(yùn)行測試腳本和場景模擬，最后查看結(jié)果。形式上看起來跟傳統(tǒng)的漏洞掃描沒有區(qū)別，就是角度上區(qū)別比較大，更貼近于實際的攻擊場景。

總結(jié)

本文主要針對于目前漏洞管理的一些新要求提出了一些見解。首先是介紹了漏洞管理的流程以及成熟度;其次，詳細(xì)介紹了漏洞掃描的相關(guān)原理，對于大部分產(chǎn)品都適用;最后重點(diǎn)引出了漏洞管理遇到的新的問題，包括：漏洞評估方式改進(jìn)、資產(chǎn)類型的擴(kuò)展以及新的產(chǎn)品類型的提及。漏洞評估方式的改進(jìn)是最重要需要注意的地方，也是目前漏洞管理里面的痛點(diǎn)所在，如果沒有基于風(fēng)險和威脅的角度，修復(fù)漏洞的優(yōu)先級就無法做判斷，漏洞管理就會走入程式化，效果可能很難得到最好的體現(xiàn)。資產(chǎn)類型的擴(kuò)充對于目前的漏洞管理方式提出了新的挑戰(zhàn)尤其是在云計算、容器技術(shù)和IoT相關(guān)的場景下，需要思考資產(chǎn)的特殊性來進(jìn)行漏洞管理的適配。新的產(chǎn)品類型其實也是基于上述提到的產(chǎn)品變化衍生出來的產(chǎn)品，包括TVM和BAS類型的產(chǎn)品，漏洞掃描并不是沒有變化，只不過向著更有安全價值的方向在演進(jìn)。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。