专题·漏洞治理 | 安全验证导向的漏洞管理方案分析
扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
文 | 绿盟科技集团股份有限公司 李瀛
为了衡量漏洞管理的成效,漏洞管理产品需要具备一种机制,能够实时验证被防护系统的安全状态,管控过程的进展,并将此进展与漏洞管理活动进行反馈、互动和闭环。安全验证导向的漏洞管理关键在于提出可量化、可呈现的管理效能指标体系,以及基于此指标的采集验证流程、评价分析模型和处置驱动机制等,使得漏洞管理能够按偏离负反馈方式持续导向系统自动化运行和人员运营,并最终达到用户事先定义的漏洞管理基线水平。
一、安全验证导向的漏洞管理系统架构
传统漏洞管理类似于需求驱动的开发,安全验证导向的漏洞管理类似于测试驱动的开发,其中安全验证是一种从利益相关方视角闭环风险目标的技术架构。
(一)漏洞管理系统架构及演进
漏洞可以分为两类。一类是从关联规模化发行的抽象资产系统角度定义的漏洞,称为通用型漏洞。另外一类是通用型漏洞在具体资产上的发生实例,称为事件型漏洞。以下重点聚焦在事件型漏洞管理,适用于通用型漏洞。
传统漏洞管理的架构模型整体上分离了漏洞处置活动与风险评估内核。从最初的漏洞扫描(VA)配套 CVSS 的离散漏洞评级,发展到漏洞闭环管理(VM),这一进程在空间维度上将扫描和发现延伸至全生命周期。随后出现的持续风险与信任评估(CARTA),在时间维度上将评估扩展至持续全域。再后来,基于风险的漏洞管理(RBVM)和漏洞优先排序技术(VPT)优先级评估模型,则更加倾向于将消控聚焦到漏洞风险和处置优先级的量化方面。
近年来,攻击面管理及持续威胁暴露管理(CTEM)重点引入威胁评估维度,通过从攻方视角识别风险暴露面,分析漏洞影响并加以处置。增加从攻防实战效果评估漏洞管理,实际上是采用一种默认指标来进行效能检验,但仍未明确定义指标和管控反馈机制。随着安全对抗的加剧,由于按传统框架理念的方案在漏洞管理中难以量化运营价值,推广不及预期。
(二)安全验证导向的漏洞管理方案架构
安全验证导向的漏洞管理,是对传统架构增加了漏洞管理效能评价指标的定义、采集、验证、跟踪和反馈机制,对常规漏洞管理模型扩展了监控和制导层,应对漏管活动效能无法量化的问题。方案包括以下四个层次组织。
最底层是基础能力层,为上层提供基础数据和支撑功能,如数据采集接口,漏洞知识存储、资产模型和台账检索、引擎规划等。
第二层是流程规范层,定义漏洞全生命周期,处置规范流程和指标基线,支持按策略驱动漏洞管理流程。具体包括漏洞档案库,跃迁状态机,漏洞分类定级模型,处置指标基线库,端到端的闭环流程模板等。
第三层是安全验证反馈层,作为安全验证导向漏洞管理方案的核心,该层在漏洞闭环处置过程中实施安全验证与指标反馈,并从利益相关方角度进行目标基线分析。例如安全效能指标衡量支持通过威胁建模和攻击模拟获取安全状态,业务合规指标衡量支持从流程中提取监控数据计算模拟考核结果等。该层通过内置评价任务驱动数据分析,并对下层反馈指标导向的策略调整等。
最上层是成效治理层,基于下级各层数据输出,整合安全验证导向的漏管闭环结果,提供漏洞安全态势、协同处置责任态势展示,综合风险量化评估,并可对外提供方案的数据接口服务。
(三)安全验证技术指标
技术指标可分为反映客观状态的漏洞安全态势指标。每个安全验证指标定义均配套有对应的安全验证技术手段,支持自定义扩展。
漏洞安全态势指标着重于以攻方视角验证安全防护水平,结合资产、威胁情报等按风险模型评价被防护资产系统的风险状态。如重大漏洞数量、资产危险等级、VPT 优先级等。
协同处置态势指标属于管理过程指标,反映漏洞管理的阶段状态、处置效能等。如资产台账一致率、扫描覆盖率、发现及时性、排查完整性、修复有效性等。
二、安全验证导向的漏洞管理要点
安全验证导向的漏洞管理方案体现为自动化驱动的标准流程组合,通过事先定义的运营场景来实施。场景标识客户业务背景,如常态化自主漏洞管理、上级考核、节假日保障、安全重保等。运营场景内置对应业务定制的漏洞管理流程,工单处置角色和流转路径、环节处置要求、基线指标和相关工具等。方案具体活动可分为以下三个部分。
(一)风险暴露面资产验证
由于所有漏洞均与相关资产的生命周期相伴相生,因此,漏洞与资产管理相互交织、密不可分。经建模后的资产台账内可划分为已知类型的受控资产,已知类型的非受控资产,以及未知类型资产等三类。从管理导向上,非受控资产应逐步转向受控资产,未知类型资产应逐步转向已知类型资产。漏洞管理的安全验证指标重点针对受控资产(即用户备案资产),在漏洞生命周期开始前通过对资产台账备案状态进行常态化连通性验证,评估资产台账一致性比例,保障后续漏洞管理活动的有效性。
(二)漏洞知识能力建设与生命周期管理
通用漏洞知识库作为漏洞管理方案的知识源,首先在传统漏洞的基础上,覆盖了新引入的攻击面缺陷,并支持灵活定义攻击面(即风险暴露识别规则)。其次,针对传统产品定期评估重大漏洞,并设置针对重大漏洞的运营场景,定义并执行差异化的漏洞管理要求和验证指标基线。从而为漏洞管理活动中的预警、排查、修复、验证等环节提供必要的支持,形成知识能力层面的规范。
基于通用漏洞的知识基础,该方案将各类漏洞纳入统一的漏洞全生命周期状态管理体系。
(三)流程规约与成效量化
方案成效的量化体现在用户可选择要达到的效能指标和误差范围,并定义反馈调整的动作,包括待修正的流程环节、处置对象以及指定工具和操作等,从而指导系统进行安全验证导向的管理活动。
具体实施中,手动制导方式在管理过程中支持即时输出已验证的效能指标水平,以便人工查看和调整对应的漏洞管理活动。自动制导方式由平台系统在每次流程闭环后输出本地安全验证指标的取值,并与基线要求进行对比。如果合格则终止流程,不合格则按照事先定义的指标反馈驱动执行调整流程后的漏洞管理活动,直到达到安全验证指标基线为止,使得整个方案沿着指定方向推进,避免出现较大的偏差和资源浪费。
三、结 语
安全验证导向的漏洞管理方案引入了对漏洞管理架构的指标评价体系和反馈驱动机制,加速了漏洞消控闭环和风险评估内核的交互,从而量化了漏洞管理效能。随着自动化、智能化趋势的发展,该方案对于导向模型可进一步采用梯度下降等算法,提升导向效率。同时,在方案内部使用数据拟合来构建机器智能体,固化安全专家的经验,形成领域自动化专家智能。
随着攻防博弈节奏的加快,传统完备防护思路的落地成本越来越高。为了高效管理风险,必须面向利益相关方,底层通过资产建模、网络规划等夯实漏管方案的安全基础。上层应当围绕安全效能指标聚焦漏洞管理工作的价值输出,识别真实的攻击意图,并采取针对性和前瞻性的防御措施,才能在攻防对抗中实现“天网恢恢,疏而不漏”的目标。
(本文刊登于《中国信息安全》杂志2024年第5期)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情
