在當(dāng)今數(shù)字時代,網(wǎng)絡(luò)攻擊不斷演變,漏洞修復(fù)已成為企業(yè)安全的重中之重��。然而,隨著漏洞數(shù)量的激增,如何有效處理和優(yōu)先修復(fù)漏洞成為了一個挑戰(zhàn)�。根據(jù)綠盟科技發(fā)布的《2023年度安全事件觀察報告》顯示,全球共披露了30947個漏洞,每天平均有84.78個CVE被披露,創(chuàng)下歷史新高。更令人擔(dān)憂的是,超過7000個漏洞具有“PoC代碼”,206個具有可用的武器化利用代碼,115個已被黑客廣泛利用�����。
Mandiant在RSAC主題演講中透露,32%的違規(guī)行為是由于漏洞利用導(dǎo)致的,這占據(jù)了追蹤到的所有違規(guī)行為中的最高比例��。至2024年5月,負(fù)責(zé)維護(hù)NVD漏洞庫的NIST被曝出存在大量漏洞積壓,至少9762個CVE未被分析,僅5月就收到了2000個新的CVE��。面對這種爆發(fā)式增長,安全團隊的漏洞管理亟需調(diào)整和優(yōu)化�。
漏洞數(shù)量近幾年逐年增長
除了公開漏洞數(shù)量的逐年增加,發(fā)現(xiàn)漏洞的手段也不斷增多,除了傳統(tǒng)的漏洞掃描還引入紅藍(lán)對抗、眾測和威脅情報等方法��。CISA的統(tǒng)計稱大概只有不到4%的漏洞被真正利用,大量的漏洞可能就只是一個編號��。安全和業(yè)務(wù)團隊面對海量資產(chǎn)中的大量漏洞,如何從百萬漏洞中挑選出可利用的漏洞成為了業(yè)界的一個難題。為了解決這個問題,Gartner于2021年首次提出了漏洞優(yōu)先級技術(shù)(Vulnerability
Prioritization
Technology,簡稱VPT)��。在Gartner的評價中,VPT被認(rèn)為是十大安全項目之一,被廣泛應(yīng)用于漏洞評估市場指南和安全運營技術(shù)成熟度模型,因其重要性備受關(guān)注��。
2021年Gartner安全運營成熟度曲線[3]
綠盟科技漏洞優(yōu)先級實踐
高效應(yīng)對新漏洞爆發(fā)
情報錄入:當(dāng)新漏洞爆發(fā)時,綠盟VPT支持將相關(guān)情報錄入系統(tǒng)中,包括漏洞的詳細(xì)描述���、CVE編號、危害等級以及可能受影響的產(chǎn)品或系統(tǒng)信息等��。
動態(tài)更新:VPT會根據(jù)新漏洞的嚴(yán)重性���、影響范圍�、易受攻擊程度和修復(fù)方案等因素,動態(tài)更新漏洞的排名,該排名將反映漏洞對企業(yè)系統(tǒng)和數(shù)據(jù)的風(fēng)險程度,用戶可以根據(jù)分?jǐn)?shù)來確定優(yōu)先處理的漏洞并采取相應(yīng)的修復(fù)措施��。
例如,當(dāng)新漏洞爆發(fā)且在野利用并且資產(chǎn)暴露在互聯(lián)網(wǎng)上但沒有修復(fù)方案時,該漏洞優(yōu)先級較高,需要采取臨時防護(hù)措施,如白名單訪問���。如果新漏洞的POC未公開且資產(chǎn)僅部署在內(nèi)網(wǎng),那么該漏洞的優(yōu)先級相對互聯(lián)網(wǎng)高危漏洞較低�。平臺支持用戶動態(tài)更新漏洞情報和標(biāo)簽�����。
資產(chǎn)因子優(yōu)化優(yōu)先級
資產(chǎn)位置:VPT將資產(chǎn)在網(wǎng)絡(luò)分區(qū)中的位置作為資產(chǎn)因子考慮進(jìn)去,例如資產(chǎn)在內(nèi)網(wǎng)或互聯(lián)網(wǎng),這有助于確定資產(chǎn)所在環(huán)境的安全風(fēng)險和受攻擊的可能性���。
資產(chǎn)重要性:VPT會考慮資產(chǎn)的重要性因素,如資產(chǎn)存儲的敏感數(shù)據(jù)���、關(guān)鍵業(yè)務(wù)系統(tǒng)等�����。對于承載關(guān)鍵業(yè)務(wù)的資產(chǎn),其相關(guān)漏洞可能被視為優(yōu)先級更高,而需要更緊急的修復(fù)�����。
優(yōu)先級判定:基于區(qū)域和資產(chǎn)重要性的因素,VPT會根據(jù)漏洞的嚴(yán)重性和受影響資產(chǎn)的關(guān)鍵程度來確定優(yōu)先級�����。
例如,在互聯(lián)網(wǎng)上暴露的Struts2命令執(zhí)行漏洞相比內(nèi)網(wǎng)同一漏洞可能會被視為優(yōu)先級更高,因為它可能面臨來自廣泛的網(wǎng)絡(luò)攻擊,內(nèi)網(wǎng)攻擊則需要攻擊者先獲得邊界權(quán)限����。
根據(jù)經(jīng)驗進(jìn)行主動調(diào)整
漏洞調(diào)優(yōu):當(dāng)某些漏洞被確認(rèn)為低風(fēng)險漏洞且未公布POC時,用戶可以采取主動調(diào)整的措施���。通過VPT的界面設(shè)置,用戶可以修改漏洞的相關(guān)因子(如影響范圍���、易受攻擊程度等)或直接分配給該漏洞的分?jǐn)?shù)。
動態(tài)更新:一旦用戶對漏洞的因子或分?jǐn)?shù)進(jìn)行了調(diào)整,VPT會在后續(xù)的計算中動態(tài)考慮這些用戶調(diào)整,并根據(jù)新的因子和分?jǐn)?shù)重新計算每個漏洞的優(yōu)先級和風(fēng)險等級。這樣,系統(tǒng)能夠根據(jù)用戶的實際需求和風(fēng)險評估靈活地調(diào)整漏洞的優(yōu)先級����。
重置還原:如果用戶決定還原之前的漏洞設(shè)置,VPT支持用戶進(jìn)行重置操作。用戶可以將漏洞的因子或分?jǐn)?shù)恢復(fù)到默認(rèn)狀態(tài),使VPT重新根據(jù)預(yù)設(shè)標(biāo)準(zhǔn)進(jìn)行計算和排名�。
例如用戶針對某些版本掃描漏洞(未公布POC且部署內(nèi)網(wǎng)),由于業(yè)務(wù)系統(tǒng)重要無法輕易升級則可以調(diào)整因子或分?jǐn)?shù)降低優(yōu)先級,后續(xù)系統(tǒng)計算分?jǐn)?shù)時也會考慮用戶的調(diào)整。
內(nèi)置豐富的場景模板
用戶可依據(jù)場景進(jìn)行模板選擇,內(nèi)置攻防演練����、監(jiān)管檢查和日常運行等幾大場景,不同場景漏洞類型和因子權(quán)重會有所變化,用戶可自定義場景。
攻防演練場景模板:這個模板適用于進(jìn)行攻防演練活動�����。在這個場景下,VPT會根據(jù)攻防演練的目標(biāo)和規(guī)則,在漏洞類型和因子權(quán)重上進(jìn)行特定的調(diào)整���。例如,可能更關(guān)注命令執(zhí)行、注入類漏洞等與攻防演練相關(guān)的漏洞,內(nèi)網(wǎng)的高危漏洞優(yōu)先級高于互聯(lián)網(wǎng)中危漏洞�����。
監(jiān)管檢查場景模板:該模板適用于監(jiān)管機構(gòu)或組織進(jìn)行安全合規(guī)性檢查�����。在這個場景下,VPT將基于監(jiān)管要求的漏洞分類和權(quán)重進(jìn)行設(shè)置,以確保滿足相關(guān)監(jiān)管標(biāo)準(zhǔn)���。例如,可能更關(guān)注個人信息泄露漏洞�����、安全配置漏洞等與合規(guī)性要求相關(guān)的漏洞����。
日常運行場景模板:這個模板適用于平時的日常漏洞管理和運維工作。在這個場景下,VPT會考慮常見的漏洞類型和因子權(quán)重,以幫助用戶優(yōu)化和管理日常運行環(huán)境中的漏洞�����。用戶可以通過自定義設(shè)置來進(jìn)一步調(diào)整和適應(yīng)自己的實際需求����。
綠盟科技漏洞優(yōu)先級介紹
綠盟科技作為一家以漏洞掃描起家的信息安全公司,在VPT方面積累了豐富的經(jīng)驗。綠盟科技漏洞領(lǐng)域研究團隊在融合CVSS4.0理念的基礎(chǔ)上自定義模型因子,能夠從資產(chǎn)和漏洞兩個維度去評價漏洞的優(yōu)先級,將多種來源的數(shù)據(jù)與威脅情報���、資產(chǎn)重要性����、網(wǎng)絡(luò)區(qū)域����、漏洞忽略比等信息相結(jié)合,并通過大數(shù)據(jù)算法進(jìn)行分析,利用機器學(xué)習(xí)預(yù)測漏洞遭攻擊者利用的可能性����。實實在在幫助企業(yè)對修補工作進(jìn)行優(yōu)先級分析,了解需要優(yōu)先修復(fù)哪些漏洞�����。將有限的資源集中在對業(yè)務(wù)可能造成重大影響的漏洞處置上,最大程度快速減少業(yè)務(wù)風(fēng)險����。
同時為了滿足不同用戶的風(fēng)險側(cè)重點,提供靈活的優(yōu)先級計算模型,支持各維度因子靈活調(diào)整,包括因子的啟用、禁用���、因子權(quán)重占比等�����。通過提供動態(tài)評估優(yōu)先級模型,可靈活配置各維度因子權(quán)重,綜合考慮漏洞的可利用性、資產(chǎn)或業(yè)務(wù)的關(guān)鍵性���、漏洞的嚴(yán)重性和現(xiàn)有的補償控制措施等方面,動態(tài)輸出漏洞排定優(yōu)先級評分���。
綠盟科技漏洞和資產(chǎn)維度的因子
VPT應(yīng)用效果對比
在引入VPT前,用戶只能從漏洞自身的CVSS分?jǐn)?shù)和不同廠商的最佳實踐去評價漏洞的修復(fù)優(yōu)先級,并沒有考慮漏洞的實際利用情況和資產(chǎn)的位置等因素,具體效果如下
:
VPT應(yīng)用前
引入VPT后,我們可以從風(fēng)險的視角去看漏洞,考慮漏洞所在系統(tǒng)的重要性和位置,漏洞本身的可利用性等等,讓漏洞不再僅僅是一個CVSS分?jǐn)?shù)高的CVE編號而是互聯(lián)網(wǎng)側(cè)的漏洞及武器化的漏洞優(yōu)先級更高,具體效果如下:
VPT應(yīng)用后
通過圖中數(shù)據(jù)可以看出:
互聯(lián)網(wǎng)側(cè)的漏洞,武器化或公開POC的優(yōu)先級更高
漏洞的自身分?jǐn)?shù)9.8分,但是因為在內(nèi)網(wǎng)且沒有任何公開的POC信息,最開始CVSS分?jǐn)?shù)優(yōu)先級為第四名,VPT應(yīng)用后,該漏洞優(yōu)先級為最后一名
VPT技術(shù)可以讓安全和運維團隊聚焦于危害更大的漏洞,最大程度保證業(yè)務(wù)安全
VPT效果對比
為了實現(xiàn)漏洞優(yōu)先級技術(shù)(VPT)的理想效果,用戶的深度參與至關(guān)重要。用戶需要定義資產(chǎn)因子的輸出,并持續(xù)運營VPT系統(tǒng)。這包括定期更新情報和自定義漏洞分?jǐn)?shù)等���。只有通過用戶的積極參與和持續(xù)運營,才能構(gòu)建一個更適合企業(yè)需求的VPT模型,并將其有效地應(yīng)用于實際業(yè)務(wù)中�。
中企網(wǎng)微博
中企網(wǎng)微信