文 | 北京长亭科技有限公司 王昱 徐泽伟
当前,随着新技术和互联网的迅猛发展,网络安全威胁呈现出前所未有的复杂性和严峻性。新应用、新场景的不断增多,软件供应链生命周期长、环节复杂、暴露面多,使得网络安全攻防的核心——“漏洞”的问题更加突出。
根据中国信息安全测评中心 2023 年牵头编写的《全球高级持续性威胁(APT)研究报告》显示,零日漏洞(0day)、在野漏洞和供应链漏洞是 APT 组织实施网络攻击的重要切入点。攻击能力较高的 APT 组织经常通过零日漏洞进行攻击。同时,随着已识别和公开披露的漏洞数量逐年增加,APT 组织越来越多地利用在野漏洞作为初始攻击手段。此外,随着开源软件和组件的广泛应用,供应链漏洞正成为 APT 组织利用的有力工具。数字时代的来临,让软件定义一切正在成为现实,由漏洞所引发的安全风险日趋严重。如何有效进行漏洞治理,已成为网络安全工作中的一大挑战。
一、漏洞攻防不对称,应急响应机制作用重大
近年来,漏洞数量不断增加,高危漏洞的比例也有所上升。从传统的系统和应用领域,到云计算、物联网、5G、大数据、区块链、人工智能等新技术新场景领域,各类安全漏洞层出不穷,不仅对网络和数据安全造成严重威胁,甚至还对社会经济稳定发展和国家安全产生深刻影响。
根据国家信息安全漏洞库(CNNVD)发布的《2022 年度网络安全漏洞态势报告》显示,截至 2022 年,CNNVD 总共发布漏洞信息 199465 条,其中,仅 2022 年就新增漏洞信息 24801 条,较 2021 年相比涨幅达到 19.28%,创历史新高。更为严峻的是,报告指出许多已曝光的漏洞仍处于未修复状态。2022 年新增漏洞的整体修复率为77.76%,而超危漏洞的修复率仅为 54.86%,这意味着仍有近半数的超危漏洞未被修复。
漏洞修复的滞后性给了攻击者充分的时间。根据近年来对漏洞利用情况的统计分析,超过一半的漏洞在公开披露后的 7 天内就被利用,但新漏洞的修复和修补都需要数周甚至数月。谷歌《2022 年在野利用 0Day 年度回顾报告》中指出,由于企业漏洞补丁修复用时较长,NDay 漏洞通常会被当作 0Day 漏洞利用。Verizon 在其最新的数据泄漏报告中显示,60% 的数据泄露是由于未修复的已知漏洞造成的。从攻击者视角来看,对漏洞的利用可谓争分夺秒。根据 Palo Alto Networks 的调研结果显示,当最新的高危漏洞被披露后,黑客会在 15 分钟内开始扫描可能受影响的系统,并在 48 小时内实现对漏洞的武器化自动利用。而对于防守方来说,根据美国 ITRC 的统计数据,企业通常需要 15 天才完成对最新漏洞的应急响应和全面排查工作。
显然,攻防双方在漏洞问题上呈现明显的不对等状态。信息不对称和在野漏洞利用的风险日益增长,攻击手法不断翻新,而修复的不及时可能导致一旦某点被攻破,整个系统都可能迅速沦陷。因此,建立一个完善的漏洞应急响应机制对于组织来说至关重要。这样的机制能够在突发漏洞事件中赋予组织主动权,使其能够有序地应对和妥善处理安全问题,快速识别并收敛相关安全风险,从而防止或减轻攻击所带来的损害。此外,它还可以发现潜在的安全问题,并为未来的安全防护提供参考依据。
二、漏洞应急响应是国家合规要求
当前,包括漏洞应急响应在内的网络安全应急体系,在我国网络安全工作中发挥着越来越重要的作用。网络安全应急工作已被纳入国家网络安全顶层设计,近年来相关法律保障体系不断得到完善。
2016 年 11 月,《网络安全法》颁布实施。其中第五章“监测预警与应急处置”规定了网络安全监测预警、信息通报和应急处置制度,明确了各方义务和责任。同年 12 月,国家网信办发布《国家网络空间安全战略》,提出要做好等级保护、风险评估、漏洞发现等基础性工作,完善网络安全监测预警和网络安全重大事件应急处置机制。2017 年 6月,中央网信办公开发布《国家网络安全事件应急预案》,提出了重大网络安全事件的应急响应流程方案。此外,行业主管部门和地方政府也制定了相应范围的网络安全应急预案,如《工业控制系统信息安全事件应急管理工作指南》《证券期货业网络与信息安全事件应急预案》《上海市网络安全事件应急预案》等。
这些法律法规的发布,标志着我国已基本建立起一个多部门、多层级的网络安全监测预警应急响应机制。随着法律的保障到位,作为网络安全应急响应的重要环节,漏洞应急响应还需要构建一个包括监测、评估、响应到恢复在内的全流程管理体系。
三、从实践视角总结漏洞应急响应的方法
在数字时代,没有百分之百的安全,只有可控的风险。面对常态化的网络攻击,一个行之有效的漏洞应急响应机制能够及时发现和消除与漏洞相关的安全威胁和风险。这不仅是预防潜在问题的关键措施,也是应对突发网络安全事件的必要准备。
基于多年的网络安全实战攻防经验积累,长亭科技的漏洞应急响应服务具有响应迅速、质量过硬和准确性高等特点。根据长亭科技的实践经验,企业的漏洞应急响应工作主要围绕“发现、处置、恢复”这一核心流程展开,旨在协助客户保障系统运行平稳、安全、有序和高效。在具体实践中,长亭科技进一步将这一过程细化为四个关键步骤:“获情报、定资产、控风险、积经验”。
**第一,获情报,建立漏斗化的情报梳理机制。**高质量的漏洞情报是成功应对漏洞应急响应工作的前提。例如,2022 年新增漏洞 25227 个,但其中只有 1556 个漏洞具备披露的概念验证(PoC)或利用代码,这意味着可被利用的漏洞不到总数的6%,导致企业难以集中资源处理最关键的风险。对此,长亭科技建设漏洞情报中台,持续追踪最新的安全威胁,归集 CNNVD、CNVD、NVD 以及国内外多方情报资源。同时,结合长亭科技漏洞应急响应实验室自研的漏洞情报,统一构建了漏洞产品指纹,并核准漏洞修复建议,以确保漏洞情报的多元性、快速性和准确性。通过系统产品指纹和漏洞PoC 的实际比对,筛选出对企业有实际危害的漏洞,从而帮助企业获得高质量且低噪音的漏洞情报。此外,长亭科技采用真实靶场对漏洞细节进行再次验证,并提供准确的漏洞原理分析以及经验证实用且有效的处置方案。
**第二,定资产,精确定位可能受影响的目标范围。**当一个新的漏洞被披露后,长亭科技安全应急响应中心立即采取行动,一方面,通过漏洞根因分析提炼知识,从点到面,找到更多场景和漏洞。另一方面,结合资产与暴露面数据,利用多种快速而精准的检测手段,全面准确地评估漏洞所带来的影响范围,帮助受影响单位快速识别内外网中最紧迫的安全威胁,及时通知用户并提供修复建议。
**第三,控风险,及时修复漏洞并跟踪复测漏洞状态。**帮助企业修复漏洞的过程可分为研判、整改、复测三个环节。首先,协助用户对漏洞进行研判,确定实际风险,并对误报漏洞及时修正以减少影响。其次,确定风险优先级,对关键区域和重要资产立即进行整改修复,对非重点区域可先实施缓解措施。提供经过实际验证的漏洞应对策略,帮助企业选择最合适的漏洞修复或缓解方案。在漏洞被修复后,仍需持续监控任何新的研究进展,一旦发现漏洞影响范围有变化或补丁被绕过等危急情况,应立即重新启动应急工作流程。
**第四,积经验,持续完善漏洞应急响应机制。**漏洞应急响应非一日之功,是一项长期而系统的流程工作。在日常安全运营中,需合理规划资产,收敛暴露面,利用 VPN、WAF 等工具保护易受到攻击的资产。在资产管理方面,应当及时将每次应急和排查中发现的新资产录入数据库,并进行定期检测。当 IT 资产发生变更时应及时上报,资产责任人变更时也需及时更新,以确保全面了解自身最新资产情况。对于漏洞应急流程和方法,应定期进行总结和复盘,提高漏洞应急响应能力和修复效率,并更新应急预案,以提高未来应对类似事件的能力。
值得注意的是,合法合规是开展漏洞应急响应工作的首要前提。例如,当发现零日漏洞,长亭科技首先报送给我国相关监管机构,并同时帮助用户做好完善的风险消控工作。在获得监管允许后再通过“长亭安全应急响应中心”公众号、长亭科技漏洞库平台、邮件等多种渠道发布漏洞预警信息,并提供免费的检测工具,以实现全网的应急响应。
四、对漏洞应急响应工作的建议
漏洞应急响应是一项多方协同、由管理到技术的体系化工作,对此,长亭科技提出以下四方面的建议。
**一是推进国家层面的整体漏洞应急响应体系建设。**漏洞应急响应检验的是国家网络安全综合治理能力,《国家网络安全事件应急预案》已明确了领导机构与各部门职责。对漏洞的应急响应,建议相关单位按照国家规定履行各自职责,加强协作。同时,强化 CNNVD 等国家漏洞管理机构的引领和信息通报作用,通过高效的信息共享机制,及时披露和分享最新的漏洞信息及应对策略,实现线索共享和联合排查,力求对漏洞治理实现一点发现,全面消除;一点线索,全网监测,从而弥补单点对漏洞应急响应能力上的不足。
**二是加快建立和完善政企层面的漏洞应急响应流程和机制。**漏洞永远存在,只是未被发现。第一,政府和企业单位应组建专门的团队,并引入先进可靠的外部力量,负责漏洞的识别、评估、修复和监控。第二,制定行之有效的漏洞应急响应预案,通过定期演练和培训,让团队具备熟练的应急响应能力。第三,部署实时监控系统,加强外部漏洞情报的收集,并定期进行自动化漏洞扫描,一旦发现漏洞,及时进行评估和修复。第四,对现有的网络和资产进行审查和安全验证,通过优化策略和配置来减少潜在的漏洞利用风险,并建立规范的补丁管理流程。第五,加强供应链安全审查,在新业务上线前进行安全测试和代码审计,以实现漏洞风险防范的前置。
**三是加强人工智能等新技术在漏洞应急响应中的应用。**根据近期的国外媒体报道,美国伊利诺伊大学香槟分校研究团队仅用 91 行代码和 1056 个 token,便成功使得 GPT-4 大模型学会了利用真实世界的单日漏洞(One-day vulnerabilities)数据集进行网络攻击,成功率高达 87%。显然,人工智能等新技术的应用加速了网络安全技术的革新。一方面,新技术降低了网络攻击的门槛,使其更容易实现。另一方面,网络安全业界也在积极利用新技术提高防御能力。例如,从 2023 年开始,众多网络安全厂商推出了安全大模型辅助进行智能安全分析,以提高安全运营的效能,其终极目标是实现安全运营的“全自动驾驶”。此外,国内外一直在积极研究漏洞的自动发现和修复技术,国际上有美国国防高级研究计划局(DARPA)持续举办的“网络超级挑战赛”(CGC),鼓励产业研发能够发现、验证和修补软件漏洞的人工智能系统。国内的清华大学、国防科技大学、中科院信工所、长亭科技等也在漏洞自动化挖掘以及自动分析研判技术上成果斐然。新技术历来都是矛与盾的两面体,我们可以“用魔法打败魔法”,加快推动新技术在漏洞应急响应中的创新应用。
**四是建立安全文化,提升安全意识,解决人这个最大的“漏洞”。**诸多调研显示,在网络安全防御体系中,人往往是最薄弱、最易被突破和利用的环节。因为缺乏安全意识和操作失误等因素导致的重大安全事故比比皆是,即使是最先进的安全技术都无法有效减轻这类威胁。然而,与人相关的漏洞也是最容易被修复的。因此,建议政企单位充分考虑网络安全中人的因素,通过宣传、培训、考试、演练等方式,培养员工的网络安全意识,使其能够发现和防范潜在的安全风险,成为漏洞应急响应机制中的关键部分。
(本文刊登于《中国信息安全》杂志2024年第5期)
