中國信息安全 - 專題·漏洞治理 | 面向實戰的漏洞運營實踐－鑽石舞台

Aug 27 Sat 2022 20:01
中國信息安全 - 專題·漏洞治理 | 面向實戰的漏洞運營實踐

掃碼訂閱《中國信息安全》雜誌

郵發代號 2-786

征訂熱線：010-82341063

文│知道創宇徐春蕾隋剛

漏洞是引發網絡安全問題的重要根源之一，具有數量逐年遞增、漏洞信息分散、漏洞公布遲緩、實戰性漏洞占比小等特點，導致漏洞管理難以在實戰中發揮應有的價值。

在漏洞層出不窮、有效信息不全面的情況下，要及時發現、分析並修復所有漏洞，必須在廣泛採集漏洞信息的基礎上，從實戰化角度評估漏洞危害、富化漏洞信息，以幫助網絡安全及 IT 運營者進行高效的漏洞優先級評估、並按照優先級進行漏洞處置，用最少的時間實現最好的效果。

作為我國國家漏洞庫的技術支撐單位，知道創宇通過對通用型漏洞的長期收集和分析，圍繞漏洞情報收集、漏洞等級評價、漏洞信息規範化等漏洞運營環節，形成一套面向實戰的漏洞運營體系：基於漏洞社區 Seebug 等多種手段廣泛採集漏洞情報；基於自研漏洞驗證框架 Pocsuite 實現漏洞實戰化驗證、網絡空間資產測繪引擎 ZoomEye實現漏洞全球影響評估；基於網絡空間大數據監控能力，形成向前防禦態勢，把握漏洞生命周期的各個環節，在空間上將防禦關卡前移，實現漏洞的快速響應。本文重點介紹知道創宇在漏洞運營上的實踐和觀點。

一、圍繞社區運營開展漏洞情報收集

除廣泛採集主流漏洞數據庫、安全廠商、社交賬號、安全網站等的漏洞情報 , 依託安全團隊開展漏洞挖掘，通過社區運營開展漏洞情報收集也是進行漏洞情報收集的有效手段。

例如，早在 2006 年上線的由知道創宇 404 實驗室運營的漏洞社區平台 Seebug，是為促進廣大安全研究人員參與漏洞全生命周期研究而打造的良性發展的漏洞交流平台，也是國內最大的民間漏洞社區平台之一。平台上的每一份資料，包括漏洞詳情、基本概要、防護方案、概念驗證代碼（PoC) 等，都是通過社區的力量進行匯編和整理的。目前已經有超過 10 萬「白帽子」參與，積累漏洞超過 5 萬個，其中高危漏洞 3 萬多。

同時，漏洞社區平台還是學習、傳播、交流漏洞知識和發布漏洞預警的平台。對重要的漏洞，通過運營團隊與專家團隊的合作，輸出全球影響範圍、統計數據分析等研究成果，如全球漏洞影響分布態勢等，並通過有效渠道對受漏洞影響的廠商進行預警。

Seebug 漏洞社區平台的社區運營方式，有效地擴充了漏洞覆蓋的範圍，也通過眾多白帽子的合力將漏洞發現時間大大提前，讓受到漏洞影響的廠商可以及時發布修復版本，讓受影響的組織機構及時進行漏洞響應。

二、以漏洞優先級排序技術（VPT）為指導開展漏洞風險評價

目前，在各漏洞運營商中被廣泛採用的漏洞評級方法是通用安全漏洞評分系統（CVSS，CommonVulnerability Scoring System），其被設計用來評測漏洞的嚴重程度，以幫助確定所需反應的緊急度和重要度。主流公開漏洞庫均採用了 CSVV 漏洞評價體系，眾多安全廠商也根據各自對 CVSS 的理解制定出不同的評定標準。

但是，由於 CVSS體系偏向於對漏洞技術嚴重性的識別，缺乏對風險屬性的考量，沒有對實際 IT環境中漏洞的可利用性和業務關鍵性等進行評價，在實踐中難以幫助安全運營中心準確判定漏洞處置優先級。根據美國漏洞風險管理公司 Tenable 的研究報告，有 56% 的漏洞 CVSS 評分為 7 或更高，屬於高危或嚴重漏洞，如此多的高危漏洞使得安全運營團隊難以應付。在這些被判定為高危的漏洞中，有很多漏洞的實際可利用性很低。例如，根據 CVSS3.0 標準，開源組件 GoAheadz 遠程命令執行漏洞（CVE-2021-42342）評分高達 9.8，但知道創宇 404 實驗室通過對全球 10000 多個存在漏洞的 IP 進行實際驗證，發現無一例可實際利用。此外，有將近一半短期內可被利用的漏洞 CVSS 基本得分低於 7，這將導致安全運營團隊忽略大量高風險漏洞。

2020 年，諮詢公司 Gartner 從用戶場景角度提出漏洞優先級排序技術（VPT，Vulnerabilityprioritization technology），通過資產重要性和環境背景、多個威脅情報源、可操作的風險評分等實現漏洞數據增強，藉助數據驅動的優先級，幫助安全團隊衡量整個環境的風險，實現更快、更有效的漏洞補救措施。在 2021 年 Gartner 發布的2021 安全運營技術成熟度曲線「Hype Cycle forSecurity Operations, 2021」中， VPT 技術處於「最具期待性」的巔峰技術階段。

以 VPT 為指導構建實戰化漏洞評價體系，綜合考慮外部威脅及業務環境等多種因素，從真實的業務環境角度對漏洞的高、中、低危害進行評定，可以幫助運營團隊尤其是關鍵信息基礎設施單位始終聚焦真正的風險，高效完成漏洞處置工作。

在實際評定中，可以從風險與技術角度分別對漏洞進行評分分級，對每一個漏洞進行通用漏洞分級和專業漏洞分級兩類等級標示，每類漏洞分級包括 1 至 10 個等級。通用漏洞分級從風險角度出發，對漏洞的影響程度進行評價。專業漏洞分級從技術角度出發，對漏洞的嚴重程度進行評價。

通用漏洞分級評價參考 DREAD 風險評估模型，考慮的主要維度包括潛在損失、攻擊重現性、可利用性、受影響的範圍、可發現性等。通過對各維度分別評價打分，計算總評分。例如，在潛在損失維度，對攻擊可以暗中破壞安全系統、獲取完全信任的授權、以管理員的身份運行程序、上傳內容等情況，判定為最高分數，對於泄露低價值信息的情況，判定為最低分數。

專業漏洞分級評價參考 CVSS 體系，由三個指標組組成，分別是基礎指標組、時間指標組、環境指標組，參考 CVSS 評分通常是指漏洞的基礎評價得分。針對指標組中不同的指標，賦予不同的指標值，如基礎指標組的可利用性指標內的攻擊向量（Attack vector），根據漏洞情況分為網絡、相鄰（Adjacent，指通過相鄰網絡接入）、本地、物理幾種情況，賦予的分值分別為 0.85、0.62、0.55、0.2，然後通過對應公式逐步進行多個公式組合計算，得出最後的分值。

可以將漏洞風險評價分為靜態評價和動態評價兩種模式。靜態評價在收到漏洞時即啟動，對漏洞自身影響等進行風險評價，以便進行提前預防處理和預警。動態評價是對不同時間窗口內漏洞影響範圍（如關鍵資產情況）等的發展變化情況進行分析研判，不僅可以為漏洞處置提供持續支持，也能反映特定區域、單位的應急能力等。動態評估考慮的因素主要包括：實際影響哪些資產、修復時間、損失評估等。根據實際情況，還可以考慮的因素包括：漏洞在野利用、漏洞在不同披露狀態下公布出來的細節、公布細節之後造成的影響、補丁效果等。

三、實現漏洞信息內容的規範化與富化

漏洞數據源提供的信息內容具有多樣性，專業的漏洞運營商應充分利用內外數據源資源，結合漏洞分析專業能力形成規範的、富化的漏洞數據，以業務安全為目標服務於漏洞的全生命周期，為不同行業業務的漏洞評估與處置提供信息服務。

漏洞內容可以包括漏洞基本信息、漏洞分析、漏洞概念驗證代碼（PoC）、漏洞解決/防護方案、漏洞生命線、漏洞影響情況等，並根據自身運營情況進行裁剪。

漏洞基本信息可以為漏洞數據檢索提供支持，主要包含漏洞唯一編號、披露/發現時間、收錄時間、漏洞危害等級、漏洞類別、各主流漏洞庫的編號、漏洞發現者、影響組件等。

漏洞分析信息，跟蹤漏洞相關的驗證、測試、處理、影響等幾個不同分析環節，呈現漏洞分析過程及結果，為漏洞深度分析提供支持。主要包括：漏洞詳細的技術細節，包含跟蹤調試過程的說明等；如何進行漏洞測試驗證，包括漏洞驗證及效果截圖；漏洞影響情況，對大範圍的漏洞影響情況的描述。

漏洞 PoC，提供對漏洞進行測試、驗證所需的自動化腳本。

漏洞解決/防護方案的目的是為運營團隊提供解決和防護漏洞的方案，滿足不同場景下的安全防護需求，主要包括：臨時解決方案，在官方發布更新之前臨時避免漏洞風險的處理方式；官方解決方案，由官方發布的漏洞補丁等措施；防護方案，通過安全產品進行漏洞防護的措施。

漏洞生命線，為深入研究漏洞發展周期提供信息支持，從漏洞發現/披露時間開始，跟蹤漏洞發展中的關鍵性事件，如漏洞被披露、漏洞響應被公開、漏洞 PoC 被公開等。

漏洞影響情況，體現漏洞在全球、全國、地區的影響情況，可以通過諸如 ZoomEye 等網絡空間探測工具進行繪製。包括：漏洞在全球/全國/地區的分布情況；受漏洞影響的主要國家/地區；漏洞影響組件的版本分布情況。

對漏洞信息內容，除了應當進行規範化和按場景的裁剪應用，還應對漏洞信息中的漏洞類型、組件描述等進行規範化，儘量採用或參考通用模型，建立可擴展的描述模型。

四、結合大數據監測實現快速應急響應

漏洞爆發後，尤其是高危漏洞，通過互聯網可以在極短時間內廣泛傳播，導致攻擊行為快速增加，必須快速應急響應。2019 年到 2022 年 5 月，知道創宇共提供了 514 次漏洞應急，其中遠程命令執行漏洞應急 298 次。

知道創宇 404 實驗室通過對漏洞利用發展過程的研究發現，高危漏洞在未發現期間就已開始小範圍傳播和利用，直到爆發後大面積攻擊行為開始顯現。例如，2018 年 6 月 13 日，404 實驗室捕獲到針對某區塊鏈交易所網站的攻擊，通過分析發現攻擊者利用的是針對開源電商系統 ECShop2.x 的零日漏洞（0day）攻擊，在 8 月對該 0day 的持續監控中又攔截到十餘次攻擊事件，8 月 31 日該漏洞及細節被公開後，攻擊數量開始快速增加，到 9 月 5 日攔截數量已超過 2 萬次，執行代碼也開始多樣化。

網絡空間安全大數據是捕獲漏洞信息的有效手段，可以在漏洞爆發後甚至 0day 階段快速掌握漏洞信息、開展漏洞分析並提出防護措施。知道創宇已經構建可以持續產生數據價值的安全大數據體系，例如，防護百萬互聯網業務系統的雲防禦平台每天產生千億級訪問數據、獨立運營的互聯網雲蜜罐以及暗網節點捕獲的攻擊信息及流量、ZoomEye 對全球資產的不間斷掃描信息、持續開源信息與暗網情報採集分析、Web 組件代碼更新比對等。大數據監測分析不僅可以發現大量在野0day 漏洞利用，還可以通過攻擊流量數據、蜜罐日誌等復現漏洞攻擊細節，通過 Web 組件代碼比對等分析漏洞技術原理，通過資產探測數據評估漏洞影響範圍，在漏洞發現、分析等多個環節實現提速，對漏洞進行快速響應。

採用大數據普查與重點驗證相結合的方式，可以對漏洞實際可利用性進行評價。例如，採用ZoomEye 網絡空間測繪引擎對受漏洞影響的組件進行全球普查，然後結合漏洞利用條件分析對漏洞影響範圍進行界定。漏洞影響範圍確定後，還可以通過 Pocsuite 漏洞驗證框架對漏洞影響 IP 進行隨機抽查驗證。

五、結語

當前網絡攻防已成為常態，貫穿漏洞生命周期的漏洞運營及其生態也在不斷發展。成熟的漏洞運營體系可以有效管理潛在風險，甚至在攻擊發起前即構築有針對性的防護能力，進行真正的時間和空間維度的向前防禦。

目前，知道創宇已構建並持續優化全生命周期漏洞運營體系，集漏洞收集、漏洞驗證、漏洞風險分析、漏洞預警、漏洞應急等能力於一體。多次向國內外多家知名廠商如微軟、蘋果、Adobe 、騰訊、阿里、百度等提交漏洞研究成果，具備了在漏洞爆發的最小黃金周期內完成全球性響應的能力。

做好漏洞管理工作，首先，要正視漏洞對安全的威脅，不能忽視。同時，要認識到漏洞威脅依然是可控可應對的，需要組織機構及關鍵信息基礎設施運營單位從完善自身的漏洞運維流程開始，提升自身應對漏洞的整體能力。

（本文刊登於《中國信息安全》雜誌2022年第6期）

《中國信息安全》雜誌傾情推出

「企業成長計劃」

點擊下圖了解詳情