在當(dāng)今數(shù)字時(shí)代,網(wǎng)絡(luò)攻擊不斷演變,漏洞修復(fù)已成為企業(yè)安全的重中之重。然而,隨著漏洞數(shù)量的激增,如何有效處理和優(yōu)先修復(fù)漏洞成為了一個(gè)挑戰(zhàn)。根據(jù)綠盟科技發(fā)布的《2023年度安全事件觀察報(bào)告》顯示,全球共披露了30947個(gè)漏洞,每天平均有84.78個(gè)CVE被披露,創(chuàng)下歷史新高。更令人擔(dān)憂的是,超過7000個(gè)漏洞具有“PoC代碼”,206個(gè)具有可用的武器化利用代碼,115個(gè)已被黑客廣泛利用。
Mandiant在RSAC主題演講中透露,32%的違規(guī)行為是由于漏洞利用導(dǎo)致的,這占據(jù)了追蹤到的所有違規(guī)行為中的最高比例。至2024年5月,負(fù)責(zé)維護(hù)NVD漏洞庫的NIST被曝出存在大量漏洞積壓,至少9762個(gè)CVE未被分析,僅5月就收到了2000個(gè)新的CVE。面對(duì)這種爆發(fā)式增長,安全團(tuán)隊(duì)的漏洞管理亟需調(diào)整和優(yōu)化。
漏洞數(shù)量近幾年逐年增長
除了公開漏洞數(shù)量的逐年增加,發(fā)現(xiàn)漏洞的手段也不斷增多,除了傳統(tǒng)的漏洞掃描還引入紅藍(lán)對(duì)抗、眾測(cè)和威脅情報(bào)等方法。CISA的統(tǒng)計(jì)稱大概只有不到4%的漏洞被真正利用,大量的漏洞可能就只是一個(gè)編號(hào)。安全和業(yè)務(wù)團(tuán)隊(duì)面對(duì)海量資產(chǎn)中的大量漏洞,如何從百萬漏洞中挑選出可利用的漏洞成為了業(yè)界的一個(gè)難題。為了解決這個(gè)問題,Gartner于2021年首次提出了漏洞優(yōu)先級(jí)技術(shù)(Vulnerability Prioritization Technology,簡稱VPT)。在Gartner的評(píng)價(jià)中,VPT被認(rèn)為是十大安全項(xiàng)目之一,被廣泛應(yīng)用于漏洞評(píng)估市場指南和安全運(yùn)營技術(shù)成熟度模型,因其重要性備受關(guān)注。
2021年Gartner安全運(yùn)營成熟度曲線[3]
綠盟科技漏洞優(yōu)先級(jí)實(shí)踐
高效應(yīng)對(duì)新漏洞爆發(fā)
情報(bào)錄入:當(dāng)新漏洞爆發(fā)時(shí),綠盟VPT支持將相關(guān)情報(bào)錄入系統(tǒng)中,包括漏洞的詳細(xì)描述、CVE編號(hào)、危害等級(jí)以及可能受影響的產(chǎn)品或系統(tǒng)信息等。
動(dòng)態(tài)更新:VPT會(huì)根據(jù)新漏洞的嚴(yán)重性、影響范圍、易受攻擊程度和修復(fù)方案等因素,動(dòng)態(tài)更新漏洞的排名,該排名將反映漏洞對(duì)企業(yè)系統(tǒng)和數(shù)據(jù)的風(fēng)險(xiǎn)程度,用戶可以根據(jù)分?jǐn)?shù)來確定優(yōu)先處理的漏洞并采取相應(yīng)的修復(fù)措施。
例如,當(dāng)新漏洞爆發(fā)且在野利用并且資產(chǎn)暴露在互聯(lián)網(wǎng)上但沒有修復(fù)方案時(shí),該漏洞優(yōu)先級(jí)較高,需要采取臨時(shí)防護(hù)措施,如白名單訪問。如果新漏洞的POC未公開且資產(chǎn)僅部署在內(nèi)網(wǎng),那么該漏洞的優(yōu)先級(jí)相對(duì)互聯(lián)網(wǎng)高危漏洞較低。平臺(tái)支持用戶動(dòng)態(tài)更新漏洞情報(bào)和標(biāo)簽。
資產(chǎn)因子優(yōu)化優(yōu)先級(jí)
資產(chǎn)位置:VPT將資產(chǎn)在網(wǎng)絡(luò)分區(qū)中的位置作為資產(chǎn)因子考慮進(jìn)去,例如資產(chǎn)在內(nèi)網(wǎng)或互聯(lián)網(wǎng),這有助于確定資產(chǎn)所在環(huán)境的安全風(fēng)險(xiǎn)和受攻擊的可能性。
資產(chǎn)重要性:VPT會(huì)考慮資產(chǎn)的重要性因素,如資產(chǎn)存儲(chǔ)的敏感數(shù)據(jù)、關(guān)鍵業(yè)務(wù)系統(tǒng)等。對(duì)于承載關(guān)鍵業(yè)務(wù)的資產(chǎn),其相關(guān)漏洞可能被視為優(yōu)先級(jí)更高,而需要更緊急的修復(fù)。
優(yōu)先級(jí)判定:基于區(qū)域和資產(chǎn)重要性的因素,VPT會(huì)根據(jù)漏洞的嚴(yán)重性和受影響資產(chǎn)的關(guān)鍵程度來確定優(yōu)先級(jí)。
例如,在互聯(lián)網(wǎng)上暴露的Struts2命令執(zhí)行漏洞相比內(nèi)網(wǎng)同一漏洞可能會(huì)被視為優(yōu)先級(jí)更高,因?yàn)樗赡苊媾R來自廣泛的網(wǎng)絡(luò)攻擊,內(nèi)網(wǎng)攻擊則需要攻擊者先獲得邊界權(quán)限。
根據(jù)經(jīng)驗(yàn)進(jìn)行主動(dòng)調(diào)整
漏洞調(diào)優(yōu):當(dāng)某些漏洞被確認(rèn)為低風(fēng)險(xiǎn)漏洞且未公布POC時(shí),用戶可以采取主動(dòng)調(diào)整的措施。通過VPT的界面設(shè)置,用戶可以修改漏洞的相關(guān)因子(如影響范圍、易受攻擊程度等)或直接分配給該漏洞的分?jǐn)?shù)。
動(dòng)態(tài)更新:一旦用戶對(duì)漏洞的因子或分?jǐn)?shù)進(jìn)行了調(diào)整,VPT會(huì)在后續(xù)的計(jì)算中動(dòng)態(tài)考慮這些用戶調(diào)整,并根據(jù)新的因子和分?jǐn)?shù)重新計(jì)算每個(gè)漏洞的優(yōu)先級(jí)和風(fēng)險(xiǎn)等級(jí)。這樣,系統(tǒng)能夠根據(jù)用戶的實(shí)際需求和風(fēng)險(xiǎn)評(píng)估靈活地調(diào)整漏洞的優(yōu)先級(jí)。
重置還原:如果用戶決定還原之前的漏洞設(shè)置,VPT支持用戶進(jìn)行重置操作。用戶可以將漏洞的因子或分?jǐn)?shù)恢復(fù)到默認(rèn)狀態(tài),使VPT重新根據(jù)預(yù)設(shè)標(biāo)準(zhǔn)進(jìn)行計(jì)算和排名。
例如用戶針對(duì)某些版本掃描漏洞(未公布POC且部署內(nèi)網(wǎng)),由于業(yè)務(wù)系統(tǒng)重要無法輕易升級(jí)則可以調(diào)整因子或分?jǐn)?shù)降低優(yōu)先級(jí),后續(xù)系統(tǒng)計(jì)算分?jǐn)?shù)時(shí)也會(huì)考慮用戶的調(diào)整。
內(nèi)置豐富的場景模板
用戶可依據(jù)場景進(jìn)行模板選擇,內(nèi)置攻防演練、監(jiān)管檢查和日常運(yùn)行等幾大場景,不同場景漏洞類型和因子權(quán)重會(huì)有所變化,用戶可自定義場景。
攻防演練場景模板:這個(gè)模板適用于進(jìn)行攻防演練活動(dòng)。在這個(gè)場景下,VPT會(huì)根據(jù)攻防演練的目標(biāo)和規(guī)則,在漏洞類型和因子權(quán)重上進(jìn)行特定的調(diào)整。例如,可能更關(guān)注命令執(zhí)行、注入類漏洞等與攻防演練相關(guān)的漏洞,內(nèi)網(wǎng)的高危漏洞優(yōu)先級(jí)高于互聯(lián)網(wǎng)中危漏洞。
監(jiān)管檢查場景模板:該模板適用于監(jiān)管機(jī)構(gòu)或組織進(jìn)行安全合規(guī)性檢查。在這個(gè)場景下,VPT將基于監(jiān)管要求的漏洞分類和權(quán)重進(jìn)行設(shè)置,以確保滿足相關(guān)監(jiān)管標(biāo)準(zhǔn)。例如,可能更關(guān)注個(gè)人信息泄露漏洞、安全配置漏洞等與合規(guī)性要求相關(guān)的漏洞。
日常運(yùn)行場景模板:這個(gè)模板適用于平時(shí)的日常漏洞管理和運(yùn)維工作。在這個(gè)場景下,VPT會(huì)考慮常見的漏洞類型和因子權(quán)重,以幫助用戶優(yōu)化和管理日常運(yùn)行環(huán)境中的漏洞。用戶可以通過自定義設(shè)置來進(jìn)一步調(diào)整和適應(yīng)自己的實(shí)際需求。
綠盟科技漏洞優(yōu)先級(jí)介紹
綠盟科技作為一家以漏洞掃描起家的信息安全公司,在VPT方面積累了豐富的經(jīng)驗(yàn)。綠盟科技漏洞領(lǐng)域研究團(tuán)隊(duì)在融合CVSS4.0理念的基礎(chǔ)上自定義模型因子,能夠從資產(chǎn)和漏洞兩個(gè)維度去評(píng)價(jià)漏洞的優(yōu)先級(jí),將多種來源的數(shù)據(jù)與威脅情報(bào)、資產(chǎn)重要性、網(wǎng)絡(luò)區(qū)域、漏洞忽略比等信息相結(jié)合,并通過大數(shù)據(jù)算法進(jìn)行分析,利用機(jī)器學(xué)習(xí)預(yù)測(cè)漏洞遭攻擊者利用的可能性。實(shí)實(shí)在在幫助企業(yè)對(duì)修補(bǔ)工作進(jìn)行優(yōu)先級(jí)分析,了解需要優(yōu)先修復(fù)哪些漏洞。將有限的資源集中在對(duì)業(yè)務(wù)可能造成重大影響的漏洞處置上,最大程度快速減少業(yè)務(wù)風(fēng)險(xiǎn)。
同時(shí)為了滿足不同用戶的風(fēng)險(xiǎn)側(cè)重點(diǎn),提供靈活的優(yōu)先級(jí)計(jì)算模型,支持各維度因子靈活調(diào)整,包括因子的啟用、禁用、因子權(quán)重占比等。通過提供動(dòng)態(tài)評(píng)估優(yōu)先級(jí)模型,可靈活配置各維度因子權(quán)重,綜合考慮漏洞的可利用性、資產(chǎn)或業(yè)務(wù)的關(guān)鍵性、漏洞的嚴(yán)重性和現(xiàn)有的補(bǔ)償控制措施等方面,動(dòng)態(tài)輸出漏洞排定優(yōu)先級(jí)評(píng)分。
綠盟科技漏洞和資產(chǎn)維度的因子
VPT應(yīng)用效果對(duì)比
在引入VPT前,用戶只能從漏洞自身的CVSS分?jǐn)?shù)和不同廠商的最佳實(shí)踐去評(píng)價(jià)漏洞的修復(fù)優(yōu)先級(jí),并沒有考慮漏洞的實(shí)際利用情況和資產(chǎn)的位置等因素,具體效果如下 :
VPT應(yīng)用前
引入VPT后,我們可以從風(fēng)險(xiǎn)的視角去看漏洞,考慮漏洞所在系統(tǒng)的重要性和位置,漏洞本身的可利用性等等,讓漏洞不再僅僅是一個(gè)CVSS分?jǐn)?shù)高的CVE編號(hào)而是互聯(lián)網(wǎng)側(cè)的漏洞及武器化的漏洞優(yōu)先級(jí)更高,具體效果如下:
VPT應(yīng)用后
通過圖中數(shù)據(jù)可以看出:
互聯(lián)網(wǎng)側(cè)的漏洞,武器化或公開POC的優(yōu)先級(jí)更高
漏洞的自身分?jǐn)?shù)9.8分,但是因?yàn)樵趦?nèi)網(wǎng)且沒有任何公開的POC信息,最開始CVSS分?jǐn)?shù)優(yōu)先級(jí)為第四名,VPT應(yīng)用后,該漏洞優(yōu)先級(jí)為最后一名
VPT技術(shù)可以讓安全和運(yùn)維團(tuán)隊(duì)聚焦于危害更大的漏洞,最大程度保證業(yè)務(wù)安全
VPT效果對(duì)比
為了實(shí)現(xiàn)漏洞優(yōu)先級(jí)技術(shù)(VPT)的理想效果,用戶的深度參與至關(guān)重要。用戶需要定義資產(chǎn)因子的輸出,并持續(xù)運(yùn)營VPT系統(tǒng)。這包括定期更新情報(bào)和自定義漏洞分?jǐn)?shù)等。只有通過用戶的積極參與和持續(xù)運(yùn)營,才能構(gòu)建一個(gè)更適合企業(yè)需求的VPT模型,并將其有效地應(yīng)用于實(shí)際業(yè)務(wù)中。
相關(guān)稿件