漏洞全链路治理与运营管理建设

漏洞是造成网络安全问题的重大隐患，它不仅存在于硬件、软件、操作系统中，也给全球政府机构、关键基础设施、企业和个人带来了巨大的网络安全威胁。

随着互联网产业的快速发展和新兴技术的广泛应用，漏洞数量持续增长。根据国家信息安全漏洞库（CNNVD）统计的数据，自 2018 年以来全球漏洞数量逐年递增，最高增幅接近 20%。在当前复杂严峻的网络安全态势下，要做好漏洞管理与运营，需要联动产学研用各方力量，提升漏洞发现、研判和处置的效率，促进国家漏洞资源大循环体系的构建，推动网络安全行业高质量发展。

一、基于众包模式的漏洞发现实践

=============================

在漏洞频发的时代，企业迫切需要发现大规模、深层次的高价值漏洞。浅层次的漏洞可通过自动化扫描技术发现，而深层次、高价值漏洞需要深厚的技术积累和丰富的测试经验，主要依靠人工挖掘，如黑盒和灰盒测试、源代码审计、逆向分析等手段。但人工挖掘方式对技能要求高且效率较低，难以满足企业的安全需求。

在企业中，新技术和新应用不断带来新的威胁和漏洞。单一人员或团队难以满足漏洞发现的广度和深度要求，众包模式应运而生。斗象科技通过多年实践，形成了“严格风控”“智能派单”“人机结合”的众包模式，帮助企业更灵活高效地挖掘和发现漏洞。一是严格风控。平台通过实名认证、技术考核等级、签订保密协议等方式规范测试行为，并监控审计所有测试流量确保测试的可控性、规范性和可追溯性。二是智能派单。平台依据白帽的技术特长、擅长行业等多维画像信息，实现精细化派单以为测试目标适配最契合的白帽。三是人机结合。平台提供 ARL 资产灯塔等工具为白帽提供自动检测能力，提升测试效率和深度。

二、基于全链路的漏洞运营管理能力建设实践

==================================

随着我国信息安全产业的持续发展，各行业在漏洞管理方面积累了多年的经验，成为网络安全领域中投入与成效果比最为显著的环节。然而，在实际操作过程中，用户常常会遇到以下问题：如何确定漏洞修复的优先级、对组件中的漏洞了解不清、流程缺乏明确性、未能详细梳理自身的资产与业务需求以及无法直观掌握漏洞的影响范围和修复进度等。鉴于这些挑战，建立一个全链路的漏洞运营管理能力体系显得尤为迫切。

全链路漏洞运营能力体系的建设分为四个关键环节，一是漏洞综合知识库建设，即解决数据来源的问题；二是多源漏洞汇聚，即实现数据统一处理的目标；三是漏洞运营指标分析，即通过建立漏洞与业务关系并形成标准业务处理流程；四是漏洞事件监测处置，即实现漏洞利用行为监测与处置响应闭环需求。

(一）漏洞综合知识库建设

漏洞运营管理过程所需的知识库是构建漏洞运营管理体系的必要前提，因此需要构建一个通用的安全漏洞综合知识库，其建设内容主要包括漏洞情报基础库、漏洞舆情信息库及漏洞检测脚本库三个方面。

一是漏洞情报基础库建设。该库主要用于系统和应用构建过程中，通过对资产组件进行原子化管理，并增加漏洞利用时的关键信息，可通过国家漏洞库、厂商情报以及第三方社区资讯等途径来收集资产组件的漏洞情报信息，最终以知识库形式进行保存使用。

二是漏洞舆情信息库建设。实时的漏洞信息能为企业提供更为及时的漏洞利用舆情。这些信息主要来源全球的安全社区、研究机构和安全公司等。

三是漏洞检测脚本库建设。PoC 可以提供一种方法来在受控环境中触发和展示漏洞；而 EXP 则包含了具体的攻击代码。这两类信息对评估漏洞的严重性和制定有效安全防护措施至关重要。

(二）多源漏洞数据汇聚

一是多源漏洞数据采集与结构化。为了全面监控漏洞信息，需要从多个渠道采集漏洞数据，包括 CNNVD、CNVD、CVE 等第三方漏洞库、漏洞利用库及 GitHub 等。这些数据中包含的漏洞描述、命名和级别等信息需要统一化处理，形成标准的结构化漏洞数据，便于后续检索和关联分析。同时根据 CVSS 评分标准等通用标准对漏洞定级，评估严重性并自动化标签处理，作为有效情报的基础数据。

二是漏洞数据清洗处理。由于多源汇集数据可能存在数据重叠的情况，需要通过比较各项属性如 CVE 编号、漏洞描述和影响组件等来判断两个漏洞是否为同一漏洞。确定重复漏洞后，可选择保留其一或信息合并，获得更完整的漏洞信息。

三是漏洞数据关联分析。整合企业资产数据、应用组件数据与漏洞情报关联分析是开展漏洞治理工作的重要措施。通过对各种组件（例如操作系统、数据库、中间件等）信息与漏洞情报进行分析对比，揭示内在关系。例如某个特定版本的组件可能存在已知安全漏洞，通过关联分析可以快速定位并评估危害，从而提前制定防护策略。

(三）漏洞运营指标分析

漏洞运营指标主要针对具备资产数据权限的资产所产生的漏洞数据信息而设计。这些指标通常包括漏洞的 URL、IP 地址、类型、组织架构、等级和状态等。

一是漏洞处置优先级计算。在进行漏洞管理时，由于资产复杂性和环境多变性，修复周期和方法可能会有所不同。可以采用 VPT 技术来增强漏洞评分的实际应用价值，利用智能决策排序技术结合企业资产实际环境和内外威胁情报，对漏洞动态排序，帮助运营团队高效完成漏洞处置工作。

二是漏洞数据统计与分析。为了有效管理漏洞，可以通过多渠道收集漏洞信息，及时发现并通报系统存在的漏洞，提高响应和处理速度。通过待办事项统计、已办事项统计、漏洞趋势、风险分布和高危资产排名等方式实现统计与分析。

三是漏洞工单化闭环与督办。漏洞管理工作需要通过灵活配置人员与角色，适应不同处置流程，建立工单中心可提升漏洞处理任务效率。

(四）漏洞事件监测处置

一是漏洞利用行为回溯分析。利用安全检测引擎负责对流量进行实时或离线检测；利用 DPI 引擎负责进行协议识别、解析及文件还原；利用 PCAP 扫描引擎对原始数据包检索；利用统一查询引擎为系统功能提供统一查询接口。

二是漏洞问题旁路阻断处置。在监测到潜在的漏洞利用行为时，必须迅速采取预警和防护措施，形成一个有效的闭环响应过程。旁路阻断设备是专门用于拦截恶意流量的网络设备，它能够基于预设的规则或实时预警信息对特定的流量进行阻断，防止漏洞被进一步利用。

三、结语

==================

通过运用创新的漏洞众包商业模式，结合技术风控、智能派单和人机结合策略，为企业提供更灵活、高质量的漏洞挖掘能力，提升漏洞挖掘效率。同时，通过建设全链路漏洞运营管理能力，包括建设漏洞综合知识库、多源漏洞数据汇聚、运营指标分析和事件监测处置，能够解决漏洞管理中的无法确定修复优先级、责任信息不清等关键问题。通过以上技术融合实践，为企业构建方便快捷、高效实用的漏洞运营体系。

原文来源：中国信息安全

“投稿联系方式：010-82992251   sunzhonghao@cert.org.cn”