基于風險的管理：漏洞管理破局之道 - 網安 - 專業的網絡安全產業、社區、知識平臺

一、背景

1.1 漏洞及威脅的發展趨勢

物聯網、云服務與移動設備等新設備與應用不斷增加，不可避免伴隨眾多漏洞，機構的攻擊面不斷增加，網絡安全威脅日益嚴重。

安全公司Skybox Security發布的《2022年漏洞和威脅趨勢報告》顯示，過去十年間，安全漏洞數量增長了三倍，創歷史新高。其中，2021年公布的新漏洞共有20175個，比2020年增長近10%，比2017年增長了37%（見圖1）。

圖1 2017年-2021年發布的漏洞數量(CVE)

傳統中型企業整個生態系統平均面對20萬個漏洞，其安全分析師常常陷入不知道從哪兒開始的窘境。大型企業的IT安全漏洞數量可達到數百萬的數量級。漏洞數量在不斷積累，而漏洞的平均修復時間卻在增加，根據WhiteHat Security2021年發布的報告《AppSec Stats Flash》，修復關鍵網絡安全漏洞所需的平均時間已經從2021年4月的197天增加到了2021年5月的205天。

舊的漏洞沒有修復，新的漏洞不斷涌現，巨大而快速的漏洞數量積累，使企業背負了高額的漏洞負債。

1.2 傳統漏洞管理發展現狀及問題

1.2.1 傳統漏洞管理發展現狀

回顧傳統漏洞管理的發展歷程，企業從沒有安全掃描手段，補丁隨意管理，到實現了自動化漏洞掃描，開展定期評估；從無法發現安全隱患，到能夠發現隱患并采用固定的評估方式進行漏洞和安全隱患評估。

傳統漏洞管理已經從“問題即解決”的管理模式進入到基于合規的“定期評估”的結構化管理模式，并形成了相對固定的套路。進一步說，是將漏洞管理分為“識別-評估-處理-報告”四個階段。在漏洞評估階段，采用漏洞掃描工具發現漏洞，漏洞信息基本源自公共漏洞庫；在漏洞評估階段，多數做法是直接沿用通用漏洞評估系統（Common Vulnerability Scoring System，CVSS）評估標準，按照通用評估標準將漏洞劃分為高、中、低危；在漏洞處理階段，按照高、中、低的順序進行漏洞修復；在漏洞修復完成后形成漏洞修復和評估報告。

1.2.1 傳統漏洞管理現存問題

漏洞修復的工作量日益龐大，企業面臨的網絡威脅千變萬化，時刻對企業安全產生威脅。這種情況下，傳統的漏洞管理模式暴露出了明顯的問題。

傳統漏洞管理將重點放在高CVSS的嚴重漏洞上（以漏洞為中心的模式），而CVSS的評估機制僅僅局限于漏洞本身的技術威脅，與企業受威脅的實際情況脫節。即無論其評估有多么嚴重，對于企業來講，如果沒有暴露出來或者不能被攻擊者利用，都是極其安全的。反之，即使是中低風險的漏洞，如果很容易被攻擊者接觸并被利用，那么該漏洞都是極其危險的。

企業一邊投入大量資源進行漏洞修復，一邊卻在為“不存在的威脅”買單，而真正的威脅卻時刻暴露給攻擊者，給企業安全帶來隱患。漏洞管理工作陷入困境，難以破解。

二、漏洞管理成熟度模型

漏洞管理難題之所以陷入困境，是因為我們沒有站在更高的角度看待問題，不了解企業漏洞管理所處的階段，不清楚未來的發展方向。

早在2016年，著名網絡安全公司CoreSecurity提出了漏洞管理的成熟度模型（圖2）。這個模型在業內得到了廣泛的認可，在這個模型中，企業漏洞管理是一個從盲目走向成熟的過程。模型像一張地圖，清晰展示了企業安全漏洞管理的發展路徑，也為我們破解當前漏洞管理難題提供了指引。

從大的分類來看，漏洞管理成熟度又可以分為三個階段：無意識的初級階段、意識覺醒的中級階段、基于商業風險及環境的高級階段。更細致的，漏洞管理可分為六個層級（L0～L5）。

圖2 漏洞管理成熟度模型[1]

Level 0 無管理階段（NON-EXISTENT）。該階段沒有安全掃描，缺乏自動化手段，漏洞補丁管理隨意，依靠人工進行安全設置和評估，這個階段不存在漏洞管理概念。

Level 1掃描階段（SCANNING）。該階段主要是以問題為導向，開展了漏洞掃描，發現了安全隱患和漏洞，但是不知道從哪里開始補救。生成了大量掃描數據，但是不知道如何使用，企業缺乏對掃描數據利用的指導。

Level 2評估和合規階段（ASSESSMENT & COMPLIANCE）。該階段開展了有計劃化的安全評估，從第一個階段的“問題即解決”的管理模式躍遷到第二個階段“定期評估”的結構化管理模式是一個巨大的轉變。企業可以使用合規性要求作為框架，圍繞該框架構建漏洞管理計劃。

Level3 分析和優先順序階段（ANALYSIS & PRIORITIZATION）。一旦進入該階段，漏洞處理的優先順序就不是基于合規，而是基于風險，一旦達到這一級別，優先順序就不再基于合規標準，而是由風險決定。然而，盡管這一級別包含了基于風險的優先級劃分，但它更關注局部而非整體，它根據攻擊者是否可以在某一個攻擊步驟中利用漏洞獲得訪問權限來劃分優先級。

Level4 攻擊管理階段（ATTACK MANAGEMENT）。這個階段更關注整體，不再將漏洞和修復視為獨立的實體，而是視為一個完整的生態系統。攻擊管理使用掃描和滲透測試數據來進行攻擊識別，關注威脅參與者如何在系統中移動，并利用漏洞訪問業務關鍵資產。該階段通過對這些關鍵資產的風險分析來確定漏洞修復的優先順序。

Level5 商業風險管理階段（Business-Risk Management）。這是所有組織都應該努力達到的水平，依據商業風險開展漏洞和風險管理。該階段具備全面發展的管理計劃，考慮企業的整體環境，分析漏洞掃描和滲透測試的數據，檢查指標、確定趨勢，使用特定的流程和補救技術。

通過與漏洞成熟度模型的對比，不難發現，國內大多數企業還處于漏洞成熟度發展的初、中級階段（即L0-L2階段），而當前面臨的種種問題，正是這個階段必然遇到的問題。

發展中的問題要靠發展來解決。要想解決當前問題，漏洞管理就要盡快邁入L3階段（分析和優先順序階段），通過建立更科學、更成熟的漏洞管理模式，解決低層次管理中遇到的問題。按照漏洞管理成熟度模型的描述，L3階段的核心思想是基于風險進行漏洞的優先級排序，再按照漏洞的優先順序進行漏洞修復。從而將企業的關注點放在最有威脅的漏洞上，極大降低漏洞管理人員的工作量。

三、基于風險的漏洞管理（RBVM）

3.1 RBVM的誕生和內涵

近年來，一種新的漏洞管理方法興起，這就是基于風險的漏洞管理（RBVM），這種思想與漏洞管理成熟度模型中L3階段的管理思想不謀而合，也為企業進入L3階段提供了科學的方法。

RBVM的內涵是根據漏洞給組織帶來的風險，來檢測、修復和控制漏洞的過程。通過自動、持續地識別安全弱點，全面了解攻擊面，從而根據風險嚴重性和業務影響確定補救的優先級。借助基于風險的漏洞管理計劃，安全團隊可以有效管理風險，避免浪費時間修復對組織威脅很小或沒有威脅的漏洞。

Gartner在2020年“安全與風險管理峰會”上，將RBVM提上2020年十大安全項目，Gartner認為應該采用基于風險的方法來管理補丁程序，重點關注具有較高風險的系統和漏洞。Gartner認為“2022年，采用基于風險的漏洞管理方法，組織將減少80%的入侵”。

3.2 RBVM聚焦真正的風險

越來越多的漏洞被推高到重要的高評級，給企業帶來了一個問題，即有太多的漏洞需要立即修復，使企業分散精力和資源，從而使得問題變得更糟。所以，適當地確定優先級或降低優先級，這是漏洞管理中的一項關鍵需求。RBVM解決了這一需求，它提供了一種清晰的方式來解釋需要解決的漏洞總數、最迫切需要解決的風險，它可以以更廣闊的視野審視業務風險，聚焦真正的風險，關注最重要的漏洞和資產，提升安全防御的效率和精準度。

全面評估風險。評估企業業務風險和IT環境，全面了解整個攻擊面，消除風險管理盲區，并根據風險確定要優先考慮哪些漏洞以進行補救。
提升管理精準度。不在被利用可能性較低的漏洞上浪費時間，以最少的努力減少最大數量的風險，聚焦真正的業務風險，提升安全管理的精準度。
建立動態管理模式。不斷發現和評估與攻擊面上所有的業務關鍵資產相關的風險，對漏洞、威脅和資產關鍵數據開展動態分析，建立動態漏洞管理模式。
提升管理效率。給組織提供了一種理性的漏洞管理方法，可以識別哪些行動可以推遲或完全忽略，使得組織能將精力投入到最重要的事情上，以提升管理效率。

3.3 RBVM與傳統方法的區別

傳統漏洞管理方法并不是為應對現代攻擊方法和隨之而來的日益增多的威脅而設計的，它還局限于漏洞自身的風險，從而使安全團隊浪費大量時間尋找和處理和業務并不相關的漏洞，卻忽略了許多對業務構成最大風險的最關鍵的漏洞。

傳統的漏洞管理是基于IT合規的，目標是滿足合規要求，然而合規僅僅是最基本的要求，僅滿足合規的漏洞管理存在諸多風險。這種管理方式往往只關注傳統IT資產，對于漏洞的認識是靜態的，對漏洞的分類參照CVSS進行純技術層面的評價，不考慮漏洞與業務的關系。

圖3 傳統漏洞管理和基于風險的漏洞管理方法對比[2]

對比傳統的漏洞管理方式RBVM具有以下特點：

（1）RBVM是面向風險的，其管理目標在于最大限度的降低風險。

（2）RBVM更關注整個攻擊面，它認為漏洞的風險是在隨時變化的。

（3）RBVM更關注業務環境，需要結合業務和攻擊面對漏洞進行等級評定。

3.4 攻擊面管理（ASM）的重要支撐

攻擊面管理（ASM）指的是以攻擊者的角度對企業數字資產攻擊面進行檢測發現、分析研判、情報預警、響應處置和持續監控的一種資產安全性管理方法，其最大特性就是以外部攻擊者視角來審視企業所有資產可被利用的攻擊可能性。自從2018年 Gartner首次提出攻擊面管理的概念以來，ASM的理念迅速被整個安全行業接受。RBVM與ASM關系緊密，不可分割，RBVM是ASM的的重要支撐，RBVM的發展客觀推動ASM理念的落地實施，而ASM理念被廣泛的認可又帶動了RBVM的發展。

（1）ASM與RBVM的管理理念具有統一的管理對象。ASM追求的攻擊面管理是指未經授權即能訪問和利用企業數字資產的所有潛在入口的總和，包括未經授權的可訪問的硬件、軟件、云資產和數據資產等；同樣也包括人員管理、技術管理、業務流程存在的安全漏洞和缺陷等，即存在可能會被攻擊者利用并造成損失的潛在風險。RBVM也不是針對某一部分IT資產，而是企業或組織內部所有管轄的IT資產。因此，二者具有統一的管理對象。

（2）RBVM的核心技術是ASM的重要技術支撐。RBVM的核心技術是漏洞優先級排序（Vulnerability Prioritization Technology ，VPT）。Gartner在《Hype Cycle for Security Operations，2021》中共有5個相關技術點：外部攻擊面管理（EASM）、網絡資產攻擊面管理（CAASM）、數字風險保護服務（DRPS）、漏洞評估（VA）、弱點/漏洞優先級技術（VPT）。可見VPT技術是ASM的關鍵支撐技術，RBVM的應用帶動VPT技術的發展，而VPT技術又推動ASM的發展。

（3）RBVM是實施ASM的核心流程之一。ASM 由四個核心流程組成：資產發現、分類和優先級排序、修復以及監控。其中漏洞優先級排序即RBVM是ASM的關鍵實施步驟。

3.5 RBVM的實施路徑

相比傳統的漏洞管理方法，基于風險的漏洞管理策略是更全面的解決方案。如圖4所示，主要分為五個步驟：發現（Discover）、評估（Assess）、優先級排序（Prioritize）、修復（Remediate）、度量（Measure），每一個步驟使用一組特定的工具和技術。

圖4 基于風險的漏洞管理生命周期[3]

3.5.1 資產發現（Discover）

（1）識別企業的業務狀況。通過識別企業的業務狀況來確定服務的關鍵性和應用程序的優先級。同時，還要建立、評估現有系統的安全性，選擇合適的IT策略和流程。

（2）部署合適的網絡掃描設備，編制實施策略。考慮到IT環境的復雜、多樣性（比如局域網、公有云、OT、容器環境），應注意選擇合適的掃描設備（例如，在局域網絡中使用的漏洞掃描設備可能無法在云環境使用）。同時，因為基于風險的漏洞管理策略是一個組織性工作，而不是IT部門一個部門的工作，因此在編制實施策略時，應注意將企業的全部相關部門都納入進去。

（3）總攬全局。應盡量全面的將整個攻擊涉及到的所有資產全部納入掃描范圍，掃描策略應覆蓋到所有子網。

3.5.2風險評估（Assess）

這一步的核心是開展全面風險評估，就是要對整個攻擊面的漏洞進行評估，包括云、OT和容器環境中的任何資產（包括瞬時資產），同時應注意3方面問題：

（1）不能僅僅滿足于行業監管的合規要求，因為通過行業監管的審核并不意味著企業就很安全了，評估的標準是安全，而不是合規。

（2）評估計劃中應包括整個攻擊面，同時應該有足夠的評估頻度，因為攻擊者會時刻掃描我們的網絡環境，一旦發現薄弱環節，馬上開始攻擊。

（3）時刻記住威脅是動態的、不斷變化的，因此所有的策略、情報、計劃都應該是動態適應的。

3.5.3確定優先順序（Prioritize）

（1）對漏洞和資產排序

傳統的漏洞管理方法是使用通用漏洞評分系統（CVSS）來優先修復哪些漏洞，這種方式的最大問題是沒有考慮到對業務的風險。此外，大多數企業只使用CVSS的基礎得分，而不管威脅環境的變化如何。在基于風險的漏洞管理方式中，在關注漏洞的同時要充分了解受關鍵漏洞影響的資產，因為，一旦在最重要的IT資產上發現最高風險的漏洞，那么它必然是最高優先級。

（2）評估風險

要有效地對風險最大的漏洞進行優先排序，就需要了解每個漏洞的完整上下文，可以在CVSS標準使用之前結合其他因素，比如：威脅情報（攻擊源、當前攻擊者的活動情況、可疑的IP地址）、漏洞詳情（漏洞持續時間、漏洞被利用的程度、威脅被發現的頻率）等，有了每個漏洞的完整上下文，安全團隊就能夠專注于最重要的資產和漏洞。

以IBM的安全團隊X-Force Red為例，X-Force Red要從每天發現的數十萬個漏洞中找出哪些漏洞需要首先修復。圖5是X-Force Red的漏洞排序示意圖，其中最關鍵的漏洞處于金子塔的頂端，排名基于漏洞是否被武器化、暴露資產的價值和關鍵程度。

圖5 X-Force Red的漏洞排序示意圖[4]

3.5.4 修復（Remediate）

通過上一階段制定的措施管理風險，開展漏洞修復工作。一旦確定了哪些漏洞是最高優先級，就需要采取適當的行動來有效地管理風險。對于每個漏洞，都有三個響應選項——補救、減輕或接受。

補救。通常情況下，可以使用補丁安裝的方式進行漏洞修復。但需要注意的是，補丁只是修復漏洞這項工作的一部分。修復漏洞工作還可能是資產撤銷或重建，操作系統或特定的軟件組件可能需要升級，或者可能存在需要糾正的配置錯誤。一旦漏洞被驗證已被完全修復，與漏洞相關的風險將完全從環境中消除。
緩解。緩解指的是采用其他技術來降低特定脆弱性的風險。例如，可以使用防火墻規則進行阻斷，防止攻擊者利用漏洞訪問敏感數據。
接受。風險接受是指有意識地決定不采取任何行動。這樣做可能有多種原因，例如，修復的成本大于漏洞被利用的成本。在這種情況下企業選擇接受風險，但風險并未被消除，它依然存在。

3.5.5 度量（Measure）

最后，需要制定能夠衡量流程完整性的關鍵性能指標，以及業務指標，以評價基于風險的漏洞管理程序的價值。例如：

過程完整性指標：掃描覆蓋率、掃描頻率、掃描深度、平均評估時間（MTTA）和平均補救時間（MTTR）等指標。
業務風險指標：需要長期跟蹤組織的總體風險指標，并為每個區域、辦公室、業務單元或資產組維護單獨的指標。
評估成熟度指標：為了確保風險度量基于高度可信的數據，需要了解安全程序的成熟度。如果安全評估缺乏足夠的廣度或深度，那么網絡中很可能存在盲點，從而導致關鍵資產上的漏洞被忽視。
標桿指標：將風險水平與行業同行進行比較，從而幫助安全團隊真正了解其工作狀況。

這些指標的好處是有兩方面的。首先，它們幫助安全團隊更深入地了解他們的安全計劃的有效性，并突出需要改進的地方。其次，可以用來定期向管理層報告團隊的進展，并能夠清晰的表現出工作的情況。簡言之，提高安全團隊的工作效率，提升工作效果，贏得管理層的信任。

四、RBVM帶來三大轉變

RBVM方法的正確性和實用性已經得到驗證，隨著它在業界的普及，將會給企業的漏洞管理帶來以下轉變：

漏洞優先級排序將成為解決當前漏洞問題的關鍵。基于風險的漏洞管理將被越來越多的企業接受。通過使用最新的威脅情報、自動化、機器學習等手段，將使得漏洞管理更加精確、快捷，可以確定在惡意軟件或有針對性的攻擊中，攻擊者最有可能使用哪些漏洞。
資產重要性分析將成為漏洞管理的必然要求。在新的漏洞管理理念中，如果不了解受威脅資產的重要性，就無法準確評估風險，資產管理和資產的重要性分析成為漏洞管理的必然要求。
制定個性化的漏洞管計劃將成為漏洞管理的目標。每個組織應該制定個性化的漏洞管理目標，比如減少補救工作量、降低風險、減少數據噪音、提高自動化和進行實時洞察。