文 | 北京微步在线科技有限公司 樊兴华
近年来,随着网络安全和攻防技术的持续进步,漏洞对企业构成的风险日益加剧。作为威胁情报的重要组成部分,漏洞情报是安全团队制定防护策略、验证安全措施有效性的基础依据。因此,如何充分利用漏洞情报来增强主动防御的能力,已经成为企业安全运营中一个越来越受关注的议题。
一、企业漏洞运营存在的挑战
漏洞运营是指对信息系统中潜在的安全漏洞进行识别、评估、处理和报告的过程,它是信息安全管理的重要组成部分。随着信息技术的迅速发展和网络攻击技术的不断进步,漏洞管理已成为企业和组织保护信息资产、维护网络安全的必要手段。然而,漏洞运营工作也面临以下三方面的挑战。
**一是漏洞信息数量过多干扰修复工作。**在企业的信息安全管理过程中,每天都会通过各种渠道收到大量新的安全漏洞信息。这些信息触发的告警数量众多,但主要存在两个问题:首先,大量的告警信息使我们难以准确判断每个告警的实际危害程度。由于缺乏有效的告警合并机制,重复的告警信息增加了分析的复杂度,导致资源浪费和响应延迟。其次,当前的修复决策流程存在不足,仅以漏洞评分作为判断依据可能会导致误判。一些评分较高的漏洞虽然理论上看似严重,但实际被利用的条件可能十分苛刻,因此实际威胁较低。相反,一些容易被攻击者利用的漏洞由于评分相对较低,可能会被忽视而留下安全风险。
**二是漏洞频发,但详细信息难以及时获取。**在当今的网络安全领域,漏洞管理是企业防御体系中不可或缺的一部分,特别是对于那些尚未公开的零日漏洞(0day),它们通常被视为网络攻击中的“杀手锏”。为了有效缓解潜在的攻击并消除安全隐患,企业需要及时获取关于新发现漏洞的最新信息。然而,获取这些信息的渠道往往不稳定,使得及时响应和防御变得困难。同时,在内部进行漏洞修复过程中,详细的漏洞信息和 PoC 等细节,对于验证受影响资产的程度至关重要。这些技术细节不仅能够帮助安全团队准确评估漏洞对企业资产的具体影响,还是说服业务部门配合进行后续修复和验证工作的关键。然而,在第一时间获取最新的漏洞信息及其技术细节方面,企业仍面临着显著的挑战。
**三是缺少有效的建议,漏洞修复工作推进困难。**漏洞修复过程往往需要安全团队与企业业务团队之间的持续合作。然而,根据后台统计数据,我们发现 30% 至 40% 的漏洞在被公开时尚未有相应的补丁解决方案。尽管安全团队意识到某些漏洞的严重性,但由于缺少方法和风险评估,业务团队可能无法立即进行系统升级或采取其他直接的修复措施。
二、漏洞情报高效助力漏洞运营
漏洞情报集漏洞与情报能力于一体,旨在提供比传统漏洞库更加全面和实用的安全风险信息。与传统漏洞库仅包含基础的技术维度信息不同,漏洞情报深入到漏洞的技术细节,并结合威胁情报、网络空间测绘等多方面技术手段,持续动态捕获并更新漏洞实际风险的影响因素。这种方法不仅使得信息更适用于实操,还能实时直观地提供关于漏洞实际威胁的评估,确保企业能够聚焦在真实的安全风险上,而不仅仅是漏洞的技术特性。通过这种方式,漏洞情报能够提供一个更加完整和精确的安全风险分析,有助于企业更有效地识别和应对潜在的安全威胁。
**一是提供及时且全面的漏洞来源及详情。**漏洞情报的核心在于确保信息的及时性,以便用户能在漏洞公布或小范围传播的第一时间获取相关漏洞的详细信息,从而做出迅速响应。为了实现这一目标,漏洞情报需要密切关注公开的社交媒体、情报社区以及安全领域的各大厂商。此外,持续监控暗网上流传的漏洞利用程序(EXP)、信息工具等也是必要的,这需要建立一个强大的监控系统来捕获这些信息。同时,借助人工智能算法对这些信息进行自动化的处理至关重要。目前,我们已经开始利用经过微调的 GPT 模型来处理数据。通过上述过程,我们能够快速获取当前漏洞的相关信息,包括活跃度、受影响的产品和厂商等。我们还会对社交媒体等信息源进行长期评估从而确定信息源的可靠性,一旦可靠性得到确认,我们会将相关信息推送给企业和客户作为参考,确保其第一时间了解到最新漏洞情况。
**二是提供有效的漏洞风险评估。**除了提供 CVSS 评分,漏洞情报还能为用户提供一个更加客观和全面的漏洞评估体系。这个体系能够帮助用户更准确地判定各个漏洞的实际威胁程度,并优先修复或缓解高风险漏洞。虽然 CVSS 评分基于漏洞的基本信息,如涉及的产品和版本等,但企业还需要了解漏洞是否已被利用,被利用的活跃程度以及是否有公开的概念验证(PoC)等信息。在收集这些信息的过程中,威胁情报扮演了关键角色。威胁情报详细描述了攻击者的信息,包括攻击者的资产、攻击的端口、路径、时间以及利用的漏洞 Payload 等。这些数据对于确定漏洞修复优先级至关重要。通过将威胁情报大数据整合到漏洞信息中,并构建漏洞优先级评估(VPT),可以结合漏洞情报数据和威胁情报数据进行 VPT 分析,包括漏洞的利用情况、攻击者、活跃度以及是否存在 PoC 等,然后将这些信息与企业的内部资产实际情况相结合。这两方面信息综合之后,我们就能够确定修复的最终优先级。从消除安全风险的角度来看,使用 VPT 进行的修复决策具有更强的科学性,并且其实际价值更为显著。
**三是提供具备可操作性的修复建议。**漏洞情报能够为用户提供具体、可操作性的修复措施,这些措施包括但不限于应用补丁、风险缓解以及实施临时防护措施,确保即便在缺乏直接修复方案的情况下,也能有效地保护系统安全,从而显著降低由漏洞引起的安全风险,并确保企业资产和信息的安全得到保障。这一过程依赖于专业漏洞专家团队的努力。基于 VPT 的评估结果对严重漏洞进行专项分析,制定出不会导致实际危害的无损 PoC,并提供一系列检测规则和自查工具。对于尚未有补丁的漏洞,专家团队将提出临时缓解方案。此外,根据客户对技术细节的需求,我们还能够提供更深入的分析报告,包括漏洞复现的信息,以便客户能够从原理层面获得更详细的了解。
三、漏洞运营工作的建议
为了实现漏洞运营工作的实战化,我们的目标是“确保所有系统漏洞能够被及时发现并得到妥善处置”,底线目标是“防止系统漏洞被攻击者利用,从而避免产生危害影响”。为了尽可能实现这一目标,我们提出以下五点建议:一是漏洞优先级评估不能只看严重级别,也要看漏洞被利用情况,这两个指标同等重要。二是重视已经证实存在并且持续在被利用的高危害性的老漏洞,这些漏洞应被视为高优先级修补对象。三是做好攻击面收敛工作,同时清晰梳理供应链,这将大幅缓解漏洞运营的压力。四是实施有效的漏洞缓解和监控措施,一旦新漏洞出现,及时通过网关设备(如防火墙、IPS、WAF)进行拦截,并利用流量设备监测漏洞被利用情况。五是引入第三方商业漏洞情报库,借助其丰富的漏洞细节和合理VPT,为漏洞运营提供决策依据。
(本文刊登于《中国信息安全》杂志2024年第5期)
