企業資產視角下的高可利用漏洞
當我們都在討論「被疫情偷走的兩年」時,2021 年的記憶點又真真切切得提醒着我們,2021 已結束,2022 已來臨。2021 年是「十四五」規劃的開局之年,不可否認「十四五」規劃加速了全社會的數字化轉型,相應也對數字化轉型下的數據安全和數字產業安全提出了更高、更明確的要求。而網絡安全中長期未能妥善解決的漏洞管理也將面臨更大的挑戰。
深信服2021年對企業資產組成進行調研、統計及分析,企業仍舊以定製化業務為主,但相較於2020年定製化業務占比下降,通用組件占比增加。由於黑客利用通用組件漏洞發起攻擊成本較低,因此絕大部分黑客傾向於利用通用組件漏洞對系統發起攻擊,故本篇報告重點研究對象為通用組件下的高可利用漏洞以及漏洞管理技術的發展曲線。
深信服千里目安全實驗室將深信服威脅對抗指揮中心、深信服安全服務及威脅情報相關數據進行概括、總結及分析編寫出此份基於深信服漏洞基礎數據的《2021年漏洞威脅分析報告》。
2021 漏洞風險預覽
深信服針對 2021 年的服務對象資產進行調研、統計、聚合、分析,發現企業資產仍舊以定製化業務為主,但相較於 2020 年的 70.7% 有所減少;相應的通用組件由 2020 年的 29.3% 上升至 35.9%。從攻擊角度看,黑客利用通用組件漏洞發起攻擊成本較低,故絕大部分黑客更傾向於利用通用組件漏洞對系統發起攻擊。
圖 1 企業資產占比,2021
本報告採取隨機抽樣調查模式,本次抽取樣本中包含 200+ 業務系統的上千餘個系統弱點,並對其攻擊方式進行分析,得出弱點類型分布圖,其中占比最高的仍舊是信息泄露、暴力破解和弱口令。
圖2弱點類型分布圖,2021
深信服千里目安全實驗室自 2016 年正式成立通用組件漏洞研究團隊,從 0 到 1,在實驗室及真實場景不斷探索和調整方向,到如今準確定位並聚焦關鍵組件,深入分析關鍵組件相關高可利用漏洞。深信服威脅對抗指揮中心漏洞庫中的漏洞數據不斷豐富,並根據全球攻擊面繪測數據結合漏洞在野利用情況,對漏洞情報進行動態分析及研判,2021 年深信服重點關注組件 200 余個,聚焦漏洞 400 余個。
圖3 深信服聚焦組件漏洞,2021
此外深信服千里目安全實驗室秉承着「以黑客視角看安全的理念」,從攻擊者角度出發,從前沿攻擊技術中窺探攻擊者的攻擊思路進而推斷攻擊者鍾愛的漏洞方向、跟蹤 APT 組織動向捕獲 APT 組織的常用漏洞等等。通過對黑客行為進行深入分析、聚類以及抽象逆向推導出黑客重點關注組件,深信服千里目安全實驗室漏洞研究團隊以組件為單位研究極具威脅的「高可利用漏洞」,賦能深信服安全產品,為客戶業務安全保駕護航。
重點關注廠商漏洞回顧
2021 年深信服千里目安全實驗室從客戶資產出發,全年實時跟蹤了 200 余個組件的 400 余個全新漏洞,其中重點投入分析研究了 200 余個。在 2021 年重點關注的漏洞中,深信服千里目安全實驗室漏洞研究團隊挑選出四個重點關注組件加以總結:
1.VMwarevCenter Server
圖4 VMware vCenter Server 全球使用量數據統計,2021
在國內的數據統計中,廣東、上海、江蘇、浙江等省市使用量較高。
圖5VMware vCenterServer 國內使用量統計,2021
2021 年官方披露了諸多 VMware vCenter Server 的漏洞,涉及遠程代碼執行、未授權訪問、DoS、信息泄漏、權限提升等多種類型,詳情見附件 1。
2019 年 VMware vCenter Server 發布的漏洞類型主要集中於信息泄漏;2020 年,只爆出了四個漏洞;2021 年發布的漏洞數量呈爆發式增長,並且出現 CVE-2021-21972、CVE-2021-21985、CVE-2021-22005 三個嚴重漏洞。CVE-2021-21972 存在於vCenter對於上傳壓縮文件的處理上;CVE-2021-21985 問題出現在 Bean 對象的反射調用中;CVE-2021-22005 可以被看作是兩個漏洞,一個是存在於 CEIP(用戶體驗計劃)的日誌寫入,另一個則是存在於 analytics 服務對於 manifest 數據的處理上,最終會調用 Velocity 對數據中的表達式進行處理。從這三個嚴重漏洞造成的原因上也可以看出,作為大型管理平台,VMware vCenter Server的漏洞並不局限於某一服務或某一漏洞類型。隨着越來越多安全研究員關注vCenter 漏洞,並且 vCenter 走向 7.0 版本增加了更多的服務,預計2022年,VMware vCenter Server漏洞數量仍會有一定提升。
2.XStream
XStream 是 Java 類庫,用來將對象序列化成 XML(JSON)或反序列化為對象。XStream 在運行時使用 Java 反射機制對要進行序列化的對象樹的結構進行探索,並不需要對對象作出修改。XStream 可以序列化內部字段,包括私 private 和 final 字段,並且支持非公開類以及內部類。
XStream 作為 Java 開發基礎類庫,應用在各個框架,中間件,Web 應用中,其中包括 Struts2,Spirng,Weblogic 等組件。根據全網數據統計,應用 XStream 的常用軟件在全球的使用量將近十萬,大部分集中在中國和美國,中國的使用量排在第一位,具體如下圖所示:
圖6應用XStream 的常用軟件全球使用量數據統計圖,2021
在國內的數據統計中,廣東、北京、上海、浙江、江蘇等省市使用量較高。
圖7應用XStream 的常用軟件國內使用量數據統計圖,2021
2021 年官方披露了 26 個 XStream 的漏洞,其中 7 個嚴重級別的漏洞,18 個高危級別的漏洞。漏洞類型涉及任意代碼執行、拒絕服務、任意文件刪除、服務端請求偽造等多種類型,詳情見附件2。
XStream 漏洞主要集中在 2021 年期間(2021年之前的XStream漏洞數量為 8 個)。2021 年發布的漏洞數量呈爆發式增長(總計 26 個漏洞),並且出現較多的危害性較高的任意代碼執行漏洞。由於 XStream 1.4.17 版本及之前,針對反序列化漏洞採用的是黑名單防禦機制,此防禦機制存在較大的繞過風險,這也是 XStream 在 2021 年頻頻出現漏洞的原因之一。在 XStream 1.4.18 版本中,XStream 採用了白名單防禦機制,此防禦機制的安全效果較高,繞過風險較低,但是存在一定的軟件兼容性問題。如果官方持續使用並維護此防禦機制,預計 2022 年,XStream 漏洞將大幅度降低。
3.F5 BIG-IP
F5 BIG-IP 是美國 F5 公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平台,在該平台可自定義集成多個軟件模塊。
根據深信服空間繪測的數據,截止目前為止,互聯網上的 F5 BIG-IP 約有 110000+ 個,其中大部分分布在美國,其次是中國,第三是日本。國內分戶主要集中在廣東、北京、上海等地,分布圖如下:
圖8F5BIG-IP 全球使用量數據統計,2021
圖9F5BIG-IP國內分布TOP,2021
2021年官方披露了諸多 F5 BIG-IP 的漏洞,詳見附件 3,其中大部分是漏洞都需要進過身份認證之後才可以使用,少部分可以繞過權限認證達到 RCE,如 CVE-2021-22986 利用前後端的認證缺陷繞過了身份認證並通過 /mgmt/tm/util/bash 直接執行命令。
在最近幾年中,F5 BIG-IP 的漏洞逐年遞增,最近三年中每年披露的漏洞甚至高達上百個,2021嚴重級別的漏洞也出現了不少,對攻擊者而言利用價值高的漏洞主要是在未經身份認證的遠程代碼執行漏洞,目前F5 BIG-IP的漏洞趨勢也是從之前的破壞系統的可用性逐漸往獲取服務器權限上過渡。
4.GoogleChrome
Google Chrome 是由 Google 開發的免費網頁瀏覽器。根據 netmarketshare 統計的數據,截止 2020 年 10 月,桌面瀏覽器 Chrome 的市場占有率為 69.28% 。遠超第二名的 Edge 的 7.75%。而在移動端,Chrome 的市場占有率也達到了 63.71%,占據了瀏覽器市場絕對重要的地位。
2021 年 Google 官方披露並修復了了 18 個高危漏洞,詳見附件 4,其中大部分是沙箱內遠程代碼執行漏洞,少部分可以進行沙箱逃逸提升標籤頁的權限,部分因漏洞利用代碼被公開對老版本Chrome用戶造成較大安全威脅。
回顧 2021 年 Chrome 披露的漏洞,v8 類型混淆類的占比比較大,v8 內對象是依賴原型而不是依賴類,每個對象有不同的屬性從而有不同的「形狀」,這個「形狀」通過「map」來描述,當漏洞得到越界寫入的能力時,可以覆蓋一個對象的類型為另一個對象,這樣可以任意操作對象和數組達到任意地址讀寫的能力,最終造成遠程代碼執行,尤其是v8以及Blink。預計2021年之後,Chrome漏洞的爆發依然不會減少,仍是一個值得重點關注的組件。
關鍵漏洞回顧
01
Internet Explorer 內存損壞漏洞
2021 年 3 月微軟官方發布安全更新,共發布了 89 個 CVE 的補丁程序,其中包含了 Internet Explorer 內存損壞漏洞,漏洞編號:CVE-2021-26411,漏洞危害:高危。當受影響版本的 IE 瀏覽器用戶訪問攻擊者構造的惡意鏈接時,將會觸發該漏洞,造成遠程代碼執行。
影響範圍
Microsoft Internet Explorer(IE)是美國微軟(Microsoft)公司的一款 Windows 操作系統附帶的 Web 瀏覽器。成為最流行的 Web 瀏覽器之一。全球有數千萬客戶端採用 Internet Explorer 瀏覽器,可能受漏洞影響的資產廣泛分布於世界各地,涉及用戶量過多,導致漏洞影響力巨大。
目前受影響的 Internet Explorer 版本:
Internet Explorer 11 or Microsoft Edge (EdgeHTML-based)
on
Windows 7 SP1
Windows 8.1
Windows RT 8.1
Windows 10
Windows 10 Version 1607, 1803,1809, 1909, 2004,20H2
Windows Server 2008 SP2
Windows Server 2008 R2 SP1
Windows Server 2012, 2012 R2, 2016, 2019
Windows Server version 1909, 2004,20H2
關聯事件
網絡安全公司 Volexity 的專家報告,與朝鮮有關的 InkySquid 組織(又名 ScarCruft、APT37、Group123 和 Reaper)在針對韓國一家在線報紙的攻擊中,利用兩個 IE 瀏覽器的漏洞進行水坑攻擊。報告稱,從 4 月開始,專注於朝鮮新聞的朝鮮日報網站上出現了惡意代碼。此次攻擊中,攻擊者利用了兩個 Internet Explorer 的漏洞,漏洞被命名為 CVE-2020-1380 和 CVE-2021-26411,這兩個漏洞分別在 2020 年 8 月和 2021 年 3 月被修補。這兩個漏洞都被在野頻繁利用。其中 CVE-2021-26411 已經被一朝鮮 APT 組織在 1 月份針對從事漏洞研究的安全研究人員的攻擊中利用。
解決方案
當前官方已發布受影響版本的對應補丁,建議受影響的用戶及時更新官方的安全補丁。鏈接如下:
https://msrc.microsoft.com/update-guide/en-us/vulnerability/CVE-2021-26411
點擊控制面板->程序->程序和功能-已安裝更新,查看是否安裝補丁。
點擊 Download 列表下對應系統的 KB 號鏈接下載補丁。
02
Microsoft MSHTML 遠程代碼執行漏洞
2021 年 9 月微軟官方發布安全更新,其中包含 Microsoft MSHTML 組件存在遠程代碼執行漏洞的信息,漏洞編號:CVE-2021-40444,漏洞威脅等級:高危。該漏洞是由於組件自身缺陷而引起的,攻擊者可利用該漏洞,通過構造惡意的Office文檔發送給被攻擊方,最終導致遠程代碼執行。
影響範圍
微軟 ActiveX 控件是微軟公司的 COM 架構下單產物。其在 Windows 操作系統中應用廣泛,Windows 中的 Office 套件,IE 瀏覽器等產品中有廣泛應用。通過 ActiveX 控件可以與微軟的 MSHTML 組件進行交互,從而引起安全問題。Windows 作為全球安裝用戶量最大的操作系統,使用範圍遍及世界各地,涉及用戶量多,導致該漏洞的危害等級較高。
目前受影響的版本:
關聯事件Magniber 勒索病毒自今年 3 月以來一直利用 CVE-2021-26411 漏洞進行分發,直到 9 月 1日,安全人員發現其改為利用 CVE-2021-40444 漏洞。該攻擊團伙通過網頁掛馬、惡意廣告等方式,讓用戶在不知不覺中訪問了帶攻擊代碼的惡意鏈接,觸發瀏覽器漏洞後自動下載執行勒索病毒。目前主要利用到的漏洞有 CVE-2021-26411 與 CVE-2021-40444,執行遠程命令下載惡意 DLL 再注入白進程進行加密。根據深信服雲端監測數據,這兩個 IE 漏洞被頻繁利用攻擊,建議用戶不要隨意點擊來歷不明的網頁鏈接或者郵件,並儘快做好相關的漏洞修復和終端加固工作。
解決方案
當前官方已發布臨時修複方案
1、創建一個.reg 類型的文件,並寫入如下內容:
2、保存並雙擊該文件。
3、重啟操作系統。
03
SonarQube API未授權訪問漏洞
SonarQube 是一款代碼質量審計和管理分析平台,2020 年官方披露了 SonarQube API 未授權訪問漏洞,漏洞編號:CVE-2020-27986,漏洞威脅等級:高危。SonarQube 系統在默認配置下,會將通過審計的源代碼上傳至 SonarQube 平台。SonarQube 某接口存在信息泄露漏洞,攻擊者利用該漏洞可以獲取部分敏感信息。
影響範圍
目前受影響的 SonarQube 版本:
SonarQube < 8.6
關聯事件2021 深信服安全團隊監測到境外黑客組織 AgainstTheWest(以下簡稱 ATW)針對託管在外網的 SonarQube 平台進行了定向攻擊,竊取我國重要單位源代碼,並在境外論壇上進行出售。
通過深度分析,我國有不少 SonarQube 平台服務器存在一定的安全隱患並直接暴露在互聯網上,ATW 黑客組織就利用 SonarQube 存在的安全問題,針對託管在外網的 SonarQube 平台進行了定向攻擊,導致相關單位失陷造成源碼泄露。
在分析 ATW 入侵事件中發現,其可通過 SonarQube 平台的未授權訪問漏洞來進行入侵。SonarQube 系統在默認配置下,會將通過審計的源代碼上傳至 SonarQube 平台。由於 SonarQube 缺少對 API 接口訪問的鑒權控制,攻擊者利用該漏洞,可在未授權的情況下通過訪問上述 API 接口,獲取 SonarQube 平台上的程序源代碼,構成項目源代碼數據泄露風險。
解決方案
登錄 SonarQube 系統,在 Administation -> Security -> Force user authentication 設置開啟。
另外,除未授權訪問漏洞外,分析中還發現攻擊者可通過 SonarQube 平台的信息泄露漏洞,以及弱口令爆破的方式實施入侵,獲取該部分 SonarQube 平台上的項目源代碼。
託管於外網的 SonarQube 平台的服務器有大量 IP 地址位於我國,黑客可利用上述方法均可能導致相關單位失陷,從而發生供應鏈攻擊。對於已經部署 SonarQube 平台的客戶,建議如下:
1、建議客戶及時升級 SonarQube 平台至最新版本;
2、修改 SonarQube 平台的默認配置,包括修改默認賬號名、密碼、端口號(9000),並且禁止使用弱口令;
3、審計託管在 SonarQube 的項目源碼,若源碼包含數據庫配置信息、內部系統的賬號密碼、內部 API 接口等敏感信息,應及時通知相關人員進行更改;
4、禁止 SonarQube 平台的外網訪問權限,如若必須開放外網訪問,將 SonarQube 平台放置於防火牆等邊界安全設備保護範圍內,並且定期排查是否存在未授權訪問的異常記錄。
04
Apache Log4j2遠程代碼執行漏洞
2021 年 12 月,官方發布 Apache Log4j2 組件存在遠程代碼執行漏洞的信息漏洞編號:CVE-2021-44228。漏洞威脅等級:嚴重。該漏洞是由於 Apache Log4j2 某些功能存在遞歸解析功能,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據進行遠程代碼執行攻擊,最終獲取服務器最高權限。
2021 年 12 月 10 日,Apache Log4j2 官方針對此漏洞發布的 2.15.0-rc1 版本存在繞過,官方再次發布 2.15.0-rc2 版本以解決繞過問題。
影響範圍
Apache Log4j2 廣泛地應用在中間件、開發框架、Web 應用中。漏洞危害性高,涉及用戶量較大,導致漏洞影響力巨大。目前受影響的 Apache Log4j2 版本:
關聯事件2021 年深信服陸續捕獲到惡意黑客組織利用 Apache Log4j2 遠程代碼執行漏洞進行惡意攻擊的多起安全事件,深信服安全專家分析後發現該漏洞被廣泛應用于勒索、挖礦、殭屍網絡上。多起案例顯示,攻擊者利用該漏洞可致受害系統從癱瘓、業務中斷到重要數據被加密、系統長期被監控。下列四個案例摘取自深信服安全技術團隊捕獲、整理的公開案例,但網絡空間中利用 Apache Log4j2 遠程代碼執行漏洞攻擊的事件絕不止於此。
事件一:比利時國防部遭不明攻擊者攻擊
比利時國防部發言人奧利維爾·塞維林 (Olivier Séverin) 當地時間 2021 年 12 月 20 日對比利時《標準報》說,國防部發現其計算機網絡受到不明攻擊者的成功攻擊,該部已採取措施隔離受影響的網絡區域。並且證實這次攻擊是成功利用了 log4j2 的漏洞。
發言人表示部分計算機網絡無法使用,處於癱瘓狀態。如,郵件系統已經停機數日。計算機攻擊是在上周才發現的,也是 Log4j2 軟件安全漏洞披露之後發生的。目前尚不清楚誰是此次攻擊事件的幕後黑手。
事件二:利用 Log4j2 漏洞傳播新型挖礦病毒2021 年 12 月 15 日。深信服捕獲到專門針對某 OA 系統的利用 CVE-2021-44228 漏洞進行傳播的挖礦病毒。深信服安全專家命名為 WhiteLotusMiner。目前 WhiteLotusMiner 通過 Log4j2 遠程代碼執行漏洞下發挖礦腳本,深信服安全團隊捕獲 3 種樣本,分別對應 Windows 和 Linux 系統。
從漏洞利用方式和捕獲的樣本可知,攻擊目的明確,攻擊目標選擇針對性強,但此挖礦病毒攻擊手法簡單,攻擊過程沒有考慮檢測規避,說明了攻擊者本身水平不高,由於 Aache Log4j2 遠程代碼執行漏洞(CVE-2021-44228)廣泛存在各類組件中,且漏洞利用難度較低,容易與其他已知的各類攻擊形式相結合,對攻擊者攻擊技術水平要求不高,因此低水平攻擊者也能發起有針對性的高危攻擊。預計未來一段時間內,此類低水平的攻擊者,利用該漏洞的攻擊事件仍會持續增加。
事件三:利用 Log4j2 漏洞傳播新型挖礦病毒2021 年 12 月 13 日。深信服捕獲到勒索病毒 Tellyouthepass 最新變種已經開始使用CVE-2021-44228 漏洞專門針對某 OA 系統對 Windows 和 Linux 雙平台進行攻擊。
一旦被勒索,沒有作者私鑰的情況下,被病毒加密後文件無法解密。根據其歷史版本,該家族有使用永恆之藍漏洞(MS17-010)進行內網傳播,危害極大,建議受 CVE-2021-44228 立即修復。
事件四:Conti 團伙已武器化 Log4Shell 並建立完整的攻擊鏈Palo Alto Networks 曾稱 Conti 為目前已知活躍的數十個勒索軟件組織中「最無情的組織」之一。2021 年 12 月 18 日,安全公司 Advanced Intelligence 稱總部位於俄羅斯的 Conti 成為首個將 Log4j2 武器化的專業級勒索運營團伙,現已擁有完整的攻擊鏈。
AdvIntel 研究人員指出,存在 Log4Shell 漏洞的服務器已成為攻擊者攻擊的靶點,據調查 Log4j2 遠程代碼執行漏洞正在被更多惡意團伙利用。常言道:「如果有一天發現了一個漏洞使用在 APT 攻擊中,那麼不久它就會被勒索軟件武器化」。
解決方案
檢測組件系統版本方案
方案一
全盤搜索 log4j,如果存在 log4j-core-{version}.jar則用戶可能受漏洞影響。
如果項目是由maven編譯的(一般在項目根目錄下會有pom.xml)
打開 pom.xml 文件,如圖:
在此文件中搜索 log4j-core,如果可以搜索到關鍵字,並且<version>標籤內部的字段在 2.0.0版本及以上並且小於 2.17.0,則可能受到漏洞的影響。(圖中的 log4j-core 的版本是 2.14.1,在漏洞影響範圍內)
如以上檢索均未發現結果,不能夠完全下結論一定沒有使用 Apache Log4j2 組件。如果服務器有使用以下中間件的(Apache Log4j2 組件通常會嵌套在以下中間件中使用),仍要聯繫業務系統的開發或維護廠商進行判斷是否有使用 Apache Log4j2 組件。
官方解決方案
方案一
版本升級:
Java 8(或更高版本)用戶應升級到 2.16.0 及以上版本。
Java 7 用戶應升級到 2.12.2 及以上版本(目前官方在 Github 推出 log4j-2.12.3-rc1)。
方案二
該臨時修復建議存在一定風險,建議用戶可根據業務系統特性審慎選擇採用臨時修複方案:
在 2.16.0 以外的任何版本中,您可以從類路徑中刪除 JndiLookup 類:
zip-q-dlog4j-core-*.jarorg/apache/logging/log4j/core/lookup/JndiLookup.class
註:目前只有 log4j-core 的 jar 文件受到此漏洞的影響。僅使用 log4j-api 的 jar 文件,但不使用log4j-core 的 jar 文件的應用程序不會受到此漏洞的影響。
從弱點管理到攻擊面管理
基於「十三五」打下的良好基礎,2021 年「十四五」開局,伴隨着業務數字化轉型、雲基礎設置轉型、Sass 轉型、物聯網發展以及 IT 和運營體系的融合、遠程辦公等,網絡安全的重要性也大幅提升。而目前網絡安全市場碎片化現象突出,在弱點管理方面甚至產生了在安全技術趨於成熟、安全產品飛速更新換代的大前提下,安全產品對安全運營(用戶)的技能要求越來越高、安全運營對弱點的處置越來越繁瑣的前提下,安全效果還得不到提升的怪相。因此網絡安全產品如何完成點、線、面、體的跨越顯示至關重要。
1.弱點評估
弱點評估(Vulnerability Assessment)是一個成熟且市場預期較高的技術,也是當下主流的安全實踐。在網絡攻防場景中,攻擊者不斷地發現弱點並執行攻擊,也就要求防禦方在攻擊者利用弱點前,發現並對弱點進行處置。因此防禦方必須主動採取策略發現、評估、管理弱點。傳統的弱點評估(VA)包含資產發現、資產優先級排序、弱點掃描、掃描結果分析和修補以及持續運營六個步驟。
針對通用組件漏洞,最常用最有效的識別方式還是弱點掃描,弱點掃描器包括網絡掃描、主機掃描、數據庫掃描等不同種類。是指基於弱點數據庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用弱點的一種安全檢測(滲透攻擊)行為。因此掃描效果極大程度上取決於弱點掃描產品的弱點數據庫。
弱點評估是指在弱點識別的基礎上對弱點的威脅等級、被利用的可能性等進行評估的過程。弱點評估的方法很多,最常見的是通過 CVSS 評分劃分漏洞威脅等級,但由於 CVSS 評分更大程度上體現的是弱點技術嚴重性,因此在弱點管理中單一的採取此種評分方式是不合理的。
隨着弱點評估技術發展以及用戶對弱點評估期待值的增加,弱點評估工具正在從識別弱點的工具逐步轉向成主動評估、管理和報告弱點風險的工具,弱點評估工具也逐漸與弱點優先級排序技術(VPT)結合,實現點到線的提升。
2.弱點管理
弱點管理(Vulnerability Management)是信息安全操作的基礎部分,一般認為的弱點管理框架包含治理、發現、評估、處理、監控和報告五個部分,分為:弱點識別、弱點評估、弱點處置、弱點報告四個步驟。
弱點處置的方法主要是風險緩解和風險接受,對企業而言,最直接的風險緩解方案即是漏洞修復,打補丁,而當漏洞修復成本過高時,存在無法直接打補丁的情況,也可選擇降低風險和接受風險。
弱點管理是一個一直都未被妥善處理的老問題。相較於大部分弱點集中在操作系統、中間件、業務應用等方面的傳統互聯網時代,在 5G 技術、人工智能、大數據、邊緣計算、雲計算等新 IT 技術迅速發展的當下,弱點數量成倍增加,弱點輻射範圍急劇擴張的場景。在此種場景下,傳統弱點管理的不足將會被放大。
(1)傳統弱點管理在面對大批量的弱點時,顯得力不從心。弱點處置往往按照弱點技術嚴重性的順序進行處置、修復,而不是弱點或者缺陷實際帶來的風險大小,從而導致安全運營人員耗費了大量的精力,卻無法保證安全效果。
2. 弱點管理關注的傳統IT資產已遠不能滿足當下需求。弱點管理關注的往往是服務器、網絡設備、數據庫、業務應用等傳統認知的IT資產,隨着數字化推進,雲端資產、容器、IOT設備以及最容易被忽視的安全設備和影子資產都應該加入被關注的行列。
3.基於風險的弱點管理
弱點優先排序技術(Vulnerability Prioritization Technology)是針對基於風險的弱點管理(Risk-Based approach to Vulnerability Management)中的一次微創新。隨着新 IT 技術迅速發展,容器、移動互聯網、IOT 誰被等廣泛應用,弱點影響的範圍也隨之擴大。另一方面從 CNVD 近 5 年來收錄的漏洞數量顯示,收錄漏洞總量最少的 2018 年,全年收錄漏洞 13964 個,而總量最多的 2020 年全年收錄漏洞數量突破兩萬,高達 20255 個,面對如此龐大的漏洞數量,傳統的弱點評估往往按照弱點技術嚴重性進行評估,安全運營人員也同樣按照弱點技術嚴重性由高危到低危的順序進行修復。然而,在每年新發現的近兩萬個漏洞中,即使安全團隊修補了所有高危和嚴重漏洞,也不過只修復了 24% 的可利用漏洞,也就意味着,安全運營人員有 76% 的時間浪費在短期內幾乎不會對系統產生風險的漏洞上。更可怕的是,有 44% 的短期可被利用的漏洞從技術嚴重性方面被評為中低風險,而中低風險的漏洞也及有可能被安全運營所忽略。因此弱點從來都不能等同相待。
基於上述問題,Gartner 在 2020 年 9 月提出了基於風險的弱點管理(RBVM),基於風險的弱點管理(RBVM)技術包含弱點評估、弱點優先排序、弱點補充控制三個階段,其中重要的創新就是弱點優先排序(VPT)。在安全運營中,想修復所有的弱點是不可能的,弱點優先排序是採用某些方法和流程,動態的將需要修復的弱點進行優先排序和流程優化,提高修復效率,以達到用最少的時間實現最好的效果。在 2021 年 7 月 Gartner 發布的「Hype Cycle for Security Operations, 2021」中指出,處於膨脹階段的弱點優先排序(VPT)是最具期待性的新興技術,距離被市場普遍認可及產品成熟約 2-3 年時間。Gartner 建議,利用弱點優先級技術(VPT)解決方案,實施基於風險的弱點管理辦法(RBVM),將弱點結果帶到統一平台進行優先級排序及處理(例如修復),從而提高安全運營效率
4.新興概念基於風險的弱點管理
資產一直是網絡空間中備受關注的話題,常言道:「你無法保護你看不見的東西」,資產也如是。實戰攻防中的首要步驟是攻擊面分析與暴露面收斂。攻擊方試圖通過信息收集獲取目標可用的信息,將各攻擊點連接匯成攻擊面,攻擊面越廣意味着發現潛在漏洞的可能性越大,攻擊成功的概率也就越高。相應地,防守方關注自身的暴露面,分析自身可能存在的安全風險,然後通過安全方案最小化暴露面,以此降低安全風險。隨着數字化的推進,網絡資產組成發生變化,資產發現和管理也面臨着巨大挑戰,在面對影子資產、物聯網過時的軟件、未知開源軟件、第三方供應商的資產時,數字資產發現困難、弱點發現和分級困難以及弱點處置困難等問題也隨之產生。因此網絡防護的任務不應該僅僅是實施工具和分析的組合,識別和保護不斷擴大的威脅媒介更是避免成為攻擊對象和攻擊跳板的關鍵因素。2021 年 7 月 Gartner 發布的「Hype Cycle for Security Operations, 2021」中提出了兩個全新概念——外部攻擊面管理(External Attack Surface Management)和網絡資產攻擊面管理(Cyber Asset Attack Surface Management)。
處於技術萌芽期外部資產攻擊面管理(EASM)是發現面向互聯網的企業資產和系統及相關弱點而部署的流程、技術和管理服務。包含服務器、憑證、公共雲服務器的錯誤配置和可能會被攻擊者利用的第三方合作夥伴的軟件代碼漏洞。外部資產攻擊面管理可以幫助識別未知資產,並提供例如系統、雲服務和應用程序等對攻擊者可用和可見的信息。
同樣處於萌芽期的網絡資產攻擊面管理(CAASM)專注幫助安全運營人員解決持續的資產可見性和弱點挑戰。使企業能夠通過與現有工具的 API 集成識別內外部資產,查詢綜合數據,確定弱點範圍與安全控制的差距,並進行修復。網絡資產攻擊面管理能夠通過整體環境的安全控制、安全態勢和資產風險的修復和資產修復和處置來改善基本的安全狀況。部署網絡資產攻擊面管理(CAASM)的企業可以對自身系統和手動收集過程的依賴,並通過手動或自動化流程來修復弱點。此外這些可以直觀地看到安全工具的覆蓋情況,並糾正修復陳舊或缺失數據的原始記錄系統。
參考鏈接
[1]https://www.cnvd.org.cn/flaw/statistic
[2]《bye 2021, hello 2022》
[3]《2021網絡安全10大事件,每件都與你有關》
[4]《再曝3個高危漏洞!Apache Log4j 漏洞1個月回顧:警惕關鍵信息基礎設施安全》
[5]《詳解境外黑客組織利用SonarQube漏洞攻擊事件》
[6]http://blog.nsfocus.net/cyber-asset/
[7]Gartner《2021安全運營技術成熟度曲線》Hype Cycle for Security Operations, 2021
[8]Gartner《漏洞評估市場指南》Market Guide for Vulnerability Assessment, 2021
[9]華雲安·ASM技術篇:攻防視角下的攻擊面管理,2022
[10]https://www.wangan.com/p/7fy7fg4eb5e2d947
[11]https://www.qingteng.cn/news/5d64e4b6c81e0b003d1b0b8f.html
[12]《漏洞管理面面觀》
[13]https://cloud.tencent.com/developer/article/1165424
[14]https://www.aqniu.com/news-views/17774.html
[15]《2021版網絡安全漏洞評估指南》
深信服千里目安全實驗室
深信服科技旗下安全實驗室,致力於網絡安全攻防技術的研究和積累,深度洞察未知網絡安全威脅,解讀前沿安全技術。
●掃碼關注我們
點擊「閱讀原文」下載完整版報告
留言列表