文 | 北京赛博昆仑科技有限公司 郑文彬 王斌 孙世斌
漏洞自产生以来,一直是黑客攻击的主要源头、网络安全防护的焦点以及攻守对抗的关键所在。在当前复杂的国际形势下,各关键行业应在总体国家安全观的指引下,加快建设并完善漏洞风险管理平台,加强网络安全漏洞治理体系建设,以防范和消控网络安全重大风险,保障自身的网络安全。同时,应推进漏洞管理的行业合作,推动国家及行业漏洞治理运营体系向着更加全面、合理的方向发展。
一、当前漏洞运营的痛点与难点
当前,传统的单体漏洞扫描和漏洞工单处置类的漏洞管理模型已无法满足行业对漏洞运营管理的需求,漏洞风险运营存在以下四方面的主要问题。
**一是漏洞感知和发现的效率较低。**漏洞发现是漏洞管理的起点和基础,但企业在这一环节仍面临着数据异构、数据分散、感知效率低下等问题,严重制约了漏洞管理的效果。首先,不同漏洞发现方案和工具产生的数据在格式、规范、准确性等方面存在较大差异,缺乏统一的数据标准和质量管控。其次,企业的漏洞数据通常分散在不同安全厂商的设备和平台中,缺乏统一的汇聚和管理。最后,当前主流的漏洞感知方案在效率和准确性方面还有很大的提升空间。
**二是漏洞验证缺乏有效手段。**漏洞有效性验证是判断漏洞真实性和可利用性的关键环节,但由于漏洞知识缺失和复杂环境下实操的挑战,业界普遍认为这是漏洞管理中最棘手的难题之一。当前,通用型漏洞扫描验证和基于概念验证(PoC)的漏洞验证是两种主流的漏洞验证技术,但在企业实际漏洞运营中,这两种方法分别暴露出漏洞验证效率低、漏洞有效性验证时效性差和覆盖面窄的普遍问题,难以满足日益增长的验证需求。
**三是漏洞处置急需实战化指引。**在传统的漏洞管理模式中,漏洞严重性的评定过度依赖通用漏洞评分系统(CVSS),这种做法使得大量资源被投入到修复高 CVSS 分值的漏洞上。然而,CVSS 评估体系仅关注漏洞的技术特征,如可利用性和影响范围,并未充分考虑漏洞在企业实际场景中的风险暴露程度。由于这种评估方式与实际情况脱节,容易导致企业在漏洞修复过程中出现资源分配不当的现象,陷入“重理论轻实际”的误区。
**四是“有漏洞不敢修”成为常态。**尽管近年来企业在漏洞管理方面投入了大量资源,但漏洞修复的时效性和完备性依然是一大挑战。对连续性要求较强的业务开展漏洞修复必然带来影响,而现有的主流修复技术往往存在兼容性差、修复风险高等问题。在漏洞安全管理层面,企业普遍缺乏漏洞知识库的有效指引,因而需要基于漏洞实战风险严重性和根据系统的重要程度及利用难度,综合判断风险程度,确立修复策略。
二、实战导向的漏洞运营方案及差异化优势
面对以上挑战,应从漏洞实战对抗的角度加强漏洞风险运营,建立体系化、全链条的漏洞发现、验证、优先分级和处置闭环机制。构建以实战为导向的漏洞运营方案,在降低资产风险的同时,大幅提升用户在漏洞感知、预警、分析和处置等方面的安全能力。
实战导向的漏洞运营方案的核心在于建立了一个具有鲜明特色的关键漏洞情报库。通过该情报库,用户可以快速而准确地识别出哪些漏洞是具有实际攻击价值、可能受到攻击者青睐的高优先级目标。在部署过程中,该方案能够与企业现有的漏洞发现工具和管理平台无缝集成并协同工作。通过将现有漏洞列表与情报库中的数据进行比对,可以自动生成一份具有实际应用价值的漏洞评估报告。该报告不仅列出了每个漏洞的处置优先级和风险等级,还提供了具体可行的修复建议,从而帮助运营专家迅速明确当前最需要处理的漏洞,并制定出下一步的行动计划。在决定“哪些漏洞必须立即修复,哪些漏洞可以稍后处理”方面,该方案能够提供明智的选择。实战导向的漏洞运营方案具有以下三方面的优势。
**一是全方位的漏洞风险发现。**实战导向的漏洞管理解决方案通过整合业界领先的关键漏洞情报库,在第一时间为企业提供最新、最全面的漏洞情报和检测能力。在漏洞发现环节,创新地采用了网络扫描、Agent 代理收集和旁路流量镜像分析三种手段协同工作的模式,构成了实战导向的漏洞发现的核心技术闭环。这种模式全面覆盖了企业 IT 环境中的各类资产,从基础设施到应用,从远程到本地,从主动到被动,多维度感知潜在的漏洞风险。有效弥补了单一采集手段的不足,确保了漏洞真实性和有效性的验证。与此同时,通过多种手段的有机协同,不仅提升了漏洞发现的效率和准确性,也最大限度地减少了对业务连续性的影响。
**二是实战化的漏洞验证手段。**基于对实战化漏洞的深入研究和理解,结合红队攻防的实战经验,持续积累并沉淀出大量的实战化网络远程和本地配合的主被动漏洞自动化验证的智能方案。通过利用高性能漏洞扫描引擎和 Agent 代理执行并验证漏洞有效性的方法,可以帮助漏洞运营人员从海量漏洞中高效地识别出真实存在且可被验证的漏洞,相比传统漏洞扫描方案速度显著提高。可验证的漏洞是所有漏洞运营措施的基础,通过高效自动化、智能化地发现并验证目标漏洞,能够精准地衡量企业漏洞运营的效率。
**三是基于情报的处置优先级。**近年来,各关键信息基础设施单位在网络安全防护方面取得了显著进步,普遍建立起了较为系统化的漏洞发现和运营体系。然而,在实际的漏洞运营过程中,由于资源、人员、流程和机制等方面的制约,仍然存在一些亟待解决的问题。其中,最为突出的是部分高风险漏洞常常被淹没在海量的漏洞数据中,难以被安全团队及时发现和有效处置。此外,对于关键业务应用系统中的漏洞,运营人员往往面临进退两难的困境:一方面,这些漏洞一旦被攻击者利用,其影响范围和危害程度不容小觑;另一方面,修复此类漏洞又可能引发业务中断或性能下降等风险。在种种限制下,安全团队迫切需要一种行之有效的方案,能够精准、高效地筛选出关键业务应用中真正高危、可被实战利用的漏洞,并提供切实可行的处置方案。
基于对实战导向漏洞管理的深刻理解,赛博昆仑结合多年来在漏洞研究领域的深厚积累,自主研发了新一代漏洞运营平台——昆仑。该平台立足于漏洞管理的本质痛点,通过系列技术创新,重塑了企业漏洞管理的范式,有效提升了安全防护的精准性和时效性,为企业实现网络安全投资回报率(ROI)的最大化提供了有力保障。
该平台面向企业漏洞运营的实际场景,提供了全流程、全平台覆盖的一站式解决方案。通过集成网络扫描、端点代理和流量镜像全方位感知可发现的高危漏洞,并采用远程和本地化相结合的方式找出并精准验证可实战利用的漏洞。从资产影响面、攻击可能性、利用难易度和防御修复程度综合研判漏洞处置优先级,针对关键漏洞提供微补丁不停机修复。该方案涵盖从漏洞发现、验证到响应处置的每个关键环节,赋能漏洞管理的整个生命周期。解决了传统漏洞运营模式中普遍存在的发现不全面、验证效率低、修复治标不治本等痛点,助力企业构建起更加智能、高效、可信的新一代漏洞管理体系。
未来,赛博昆仑将持续加强微补丁技术的通用性和适配性,建立起一个可信且开放的微补丁生态系统。这一系统将使该技术惠及各类主流操作系统和应用软件,帮助用户构建更加智能、高效和灵活的漏洞管理体系,从而将安全风险消灭在萌芽状态。
(本文刊登于《中国信息安全》杂志2024年第5期)