漏洞是造成網(wǎng)絡(luò)安全問題的重大隱患���,它不僅存在于硬件���、軟件、操作系統(tǒng)中��,也給全球政府機(jī)構(gòu)�、關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)和個(gè)人帶來了巨大的網(wǎng)絡(luò)安全威脅����。
隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的快速發(fā)展和新興技術(shù)的廣泛應(yīng)用����,漏洞數(shù)量持續(xù)增長����。根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計(jì)的數(shù)據(jù),自 2018 年以來全球漏洞數(shù)量逐年遞增����,最高增幅接近 20%。在當(dāng)前復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)下���,要做好漏洞管理與運(yùn)營,需要聯(lián)動(dòng)產(chǎn)學(xué)研用各方力量���,提升漏洞發(fā)現(xiàn)���、研判和處置的效率,促進(jìn)國家漏洞資源大循環(huán)體系的構(gòu)建����,推動(dòng)網(wǎng)絡(luò)安全行業(yè)高質(zhì)量發(fā)展。
一��、基于眾包模式的漏洞發(fā)現(xiàn)實(shí)踐
在漏洞頻發(fā)的時(shí)代,企業(yè)迫切需要發(fā)現(xiàn)大規(guī)模��、深層次的高價(jià)值漏洞����。淺層次的漏洞可通過自動(dòng)化掃描技術(shù)發(fā)現(xiàn),而深層次����、高價(jià)值漏洞需要深厚的技術(shù)積累和豐富的測(cè)試經(jīng)驗(yàn),主要依靠人工挖掘����,如黑盒和灰盒測(cè)試、源代碼審計(jì)�、逆向分析等手段。但人工挖掘方式對(duì)技能要求高且效率較低��,難以滿足企業(yè)的安全需求��。
在企業(yè)中��,新技術(shù)和新應(yīng)用不斷帶來新的威脅和漏洞���。單一人員或團(tuán)隊(duì)難以滿足漏洞發(fā)現(xiàn)的廣度和深度要求�,眾包模式應(yīng)運(yùn)而生。斗象科技通過多年實(shí)踐�,形成了“嚴(yán)格風(fēng)控”“智能派單”“人機(jī)結(jié)合”的眾包模式,幫助企業(yè)更靈活高效地挖掘和發(fā)現(xiàn)漏洞���。一是嚴(yán)格風(fēng)控��。平臺(tái)通過實(shí)名認(rèn)證�����、技術(shù)考核等級(jí)��、簽訂保密協(xié)議等方式規(guī)范測(cè)試行為��,并監(jiān)控審計(jì)所有測(cè)試流量確保測(cè)試的可控性、規(guī)范性和可追溯性�����。二是智能派單����。平臺(tái)依據(jù)白帽的技術(shù)特長、擅長行業(yè)等多維畫像信息����,實(shí)現(xiàn)精細(xì)化派單以為測(cè)試目標(biāo)適配最契合的白帽�����。三是人機(jī)結(jié)合��。平臺(tái)提供 ARL 資產(chǎn)燈塔等工具為白帽提供自動(dòng)檢測(cè)能力����,提升測(cè)試效率和深度�����。
二����、基于全鏈路的漏洞運(yùn)營管理能力建設(shè)實(shí)踐
隨著我國信息安全產(chǎn)業(yè)的持續(xù)發(fā)展,各行業(yè)在漏洞管理方面積累了多年的經(jīng)驗(yàn)��,成為網(wǎng)絡(luò)安全領(lǐng)域中投入與成效果比最為顯著的環(huán)節(jié)��。然而�,在實(shí)際操作過程中,用戶常常會(huì)遇到以下問題:如何確定漏洞修復(fù)的優(yōu)先級(jí)���、對(duì)組件中的漏洞了解不清��、流程缺乏明確性���、未能詳細(xì)梳理自身的資產(chǎn)與業(yè)務(wù)需求以及無法直觀掌握漏洞的影響范圍和修復(fù)進(jìn)度等��。鑒于這些挑戰(zhàn)�,建立一個(gè)全鏈路的漏洞運(yùn)營管理能力體系顯得尤為迫切�����。
全鏈路漏洞運(yùn)營能力體系的建設(shè)分為四個(gè)關(guān)鍵環(huán)節(jié)�����,一是漏洞綜合知識(shí)庫建設(shè)���,即解決數(shù)據(jù)來源的問題;二是多源漏洞匯聚��,即實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一處理的目標(biāo)���;三是漏洞運(yùn)營指標(biāo)分析�����,即通過建立漏洞與業(yè)務(wù)關(guān)系并形成標(biāo)準(zhǔn)業(yè)務(wù)處理流程����;四是漏洞事件監(jiān)測(cè)處置,即實(shí)現(xiàn)漏洞利用行為監(jiān)測(cè)與處置響應(yīng)閉環(huán)需求�。
(一)漏洞綜合知識(shí)庫建設(shè)
漏洞運(yùn)營管理過程所需的知識(shí)庫是構(gòu)建漏洞運(yùn)營管理體系的必要前提,因此需要構(gòu)建一個(gè)通用的安全漏洞綜合知識(shí)庫�,其建設(shè)內(nèi)容主要包括漏洞情報(bào)基礎(chǔ)庫、漏洞輿情信息庫及漏洞檢測(cè)腳本庫三個(gè)方面��。
一是漏洞情報(bào)基礎(chǔ)庫建設(shè)�����。該庫主要用于系統(tǒng)和應(yīng)用構(gòu)建過程中�,通過對(duì)資產(chǎn)組件進(jìn)行原子化管理,并增加漏洞利用時(shí)的關(guān)鍵信息�����,可通過國家漏洞庫�、廠商情報(bào)以及第三方社區(qū)資訊等途徑來收集資產(chǎn)組件的漏洞情報(bào)信息,最終以知識(shí)庫形式進(jìn)行保存使用����。
二是漏洞輿情信息庫建設(shè)����。實(shí)時(shí)的漏洞信息能為企業(yè)提供更為及時(shí)的漏洞利用輿情���。這些信息主要來源全球的安全社區(qū)�、研究機(jī)構(gòu)和安全公司等����。
三是漏洞檢測(cè)腳本庫建設(shè)。PoC 可以提供一種方法來在受控環(huán)境中觸發(fā)和展示漏洞�;而 EXP 則包含了具體的攻擊代碼。這兩類信息對(duì)評(píng)估漏洞的嚴(yán)重性和制定有效安全防護(hù)措施至關(guān)重要����。
(二)多源漏洞數(shù)據(jù)匯聚
一是多源漏洞數(shù)據(jù)采集與結(jié)構(gòu)化。為了全面監(jiān)控漏洞信息�,需要從多個(gè)渠道采集漏洞數(shù)據(jù),包括 CNNVD��、CNVD�����、CVE 等第三方漏洞庫��、漏洞利用庫及 GitHub 等����。這些數(shù)據(jù)中包含的漏洞描述、命名和級(jí)別等信息需要統(tǒng)一化處理�����,形成標(biāo)準(zhǔn)的結(jié)構(gòu)化漏洞數(shù)據(jù)��,便于后續(xù)檢索和關(guān)聯(lián)分析�。同時(shí)根據(jù) CVSS 評(píng)分標(biāo)準(zhǔn)等通用標(biāo)準(zhǔn)對(duì)漏洞定級(jí),評(píng)估嚴(yán)重性并自動(dòng)化標(biāo)簽處理�,作為有效情報(bào)的基礎(chǔ)數(shù)據(jù)。
二是漏洞數(shù)據(jù)清洗處理��。由于多源匯集數(shù)據(jù)可能存在數(shù)據(jù)重疊的情況�����,需要通過比較各項(xiàng)屬性如 CVE 編號(hào)���、漏洞描述和影響組件等來判斷兩個(gè)漏洞是否為同一漏洞�����。確定重復(fù)漏洞后��,可選擇保留其一或信息合并�,獲得更完整的漏洞信息。
三是漏洞數(shù)據(jù)關(guān)聯(lián)分析����。整合企業(yè)資產(chǎn)數(shù)據(jù)、應(yīng)用組件數(shù)據(jù)與漏洞情報(bào)關(guān)聯(lián)分析是開展漏洞治理工作的重要措施���。通過對(duì)各種組件(例如操作系統(tǒng)�����、數(shù)據(jù)庫����、中間件等)信息與漏洞情報(bào)進(jìn)行分析對(duì)比����,揭示內(nèi)在關(guān)系�����。例如某個(gè)特定版本的組件可能存在已知安全漏洞,通過關(guān)聯(lián)分析可以快速定位并評(píng)估危害�����,從而提前制定防護(hù)策略���。
(三)漏洞運(yùn)營指標(biāo)分析
漏洞運(yùn)營指標(biāo)主要針對(duì)具備資產(chǎn)數(shù)據(jù)權(quán)限的資產(chǎn)所產(chǎn)生的漏洞數(shù)據(jù)信息而設(shè)計(jì)����。這些指標(biāo)通常包括漏洞的 URL�、IP 地址、類型����、組織架構(gòu)、等級(jí)和狀態(tài)等��。
一是漏洞處置優(yōu)先級(jí)計(jì)算��。在進(jìn)行漏洞管理時(shí)���,由于資產(chǎn)復(fù)雜性和環(huán)境多變性��,修復(fù)周期和方法可能會(huì)有所不同����。可以采用 VPT 技術(shù)來增強(qiáng)漏洞評(píng)分的實(shí)際應(yīng)用價(jià)值�����,利用智能決策排序技術(shù)結(jié)合企業(yè)資產(chǎn)實(shí)際環(huán)境和內(nèi)外威脅情報(bào)�����,對(duì)漏洞動(dòng)態(tài)排序�����,幫助運(yùn)營團(tuán)隊(duì)高效完成漏洞處置工作����。
二是漏洞數(shù)據(jù)統(tǒng)計(jì)與分析。為了有效管理漏洞�����,可以通過多渠道收集漏洞信息,及時(shí)發(fā)現(xiàn)并通報(bào)系統(tǒng)存在的漏洞����,提高響應(yīng)和處理速度。通過待辦事項(xiàng)統(tǒng)計(jì)���、已辦事項(xiàng)統(tǒng)計(jì)、漏洞趨勢(shì)��、風(fēng)險(xiǎn)分布和高危資產(chǎn)排名等方式實(shí)現(xiàn)統(tǒng)計(jì)與分析�����。
三是漏洞工單化閉環(huán)與督辦�����。漏洞管理工作需要通過靈活配置人員與角色��,適應(yīng)不同處置流程����,建立工單中心可提升漏洞處理任務(wù)效率。
(四)漏洞事件監(jiān)測(cè)處置
一是漏洞利用行為回溯分析�����。利用安全檢測(cè)引擎負(fù)責(zé)對(duì)流量進(jìn)行實(shí)時(shí)或離線檢測(cè);利用 DPI 引擎負(fù)責(zé)進(jìn)行協(xié)議識(shí)別�����、解析及文件還原����;利用 PCAP 掃描引擎對(duì)原始數(shù)據(jù)包檢索;利用統(tǒng)一查詢引擎為系統(tǒng)功能提供統(tǒng)一查詢接口����。
二是漏洞問題旁路阻斷處置。在監(jiān)測(cè)到潛在的漏洞利用行為時(shí)�����,必須迅速采取預(yù)警和防護(hù)措施����,形成一個(gè)有效的閉環(huán)響應(yīng)過程。旁路阻斷設(shè)備是專門用于攔截惡意流量的網(wǎng)絡(luò)設(shè)備��,它能夠基于預(yù)設(shè)的規(guī)則或?qū)崟r(shí)預(yù)警信息對(duì)特定的流量進(jìn)行阻斷��,防止漏洞被進(jìn)一步利用。
三�����、結(jié)語
通過運(yùn)用創(chuàng)新的漏洞眾包商業(yè)模式�����,結(jié)合技術(shù)風(fēng)控�、智能派單和人機(jī)結(jié)合策略,為企業(yè)提供更靈活���、高質(zhì)量的漏洞挖掘能力,提升漏洞挖掘效率����。同時(shí),通過建設(shè)全鏈路漏洞運(yùn)營管理能力��,包括建設(shè)漏洞綜合知識(shí)庫����、多源漏洞數(shù)據(jù)匯聚、運(yùn)營指標(biāo)分析和事件監(jiān)測(cè)處置��,能夠解決漏洞管理中的無法確定修復(fù)優(yōu)先級(jí)、責(zé)任信息不清等關(guān)鍵問題�。通過以上技術(shù)融合實(shí)踐,為企業(yè)構(gòu)建方便快捷���、高效實(shí)用的漏洞運(yùn)營體系���。
原文來源:中國信息安全
在線咨詢
在線咨詢
0371-63319761