關于企業漏洞管理實踐的探討
2020年,突如其來的新冠疫情給全世界帶來了巨大的挑戰,同時也促使很多產業快速發展,例如遠程辦公、視頻會議、在線教育、遠程購物等。這些產業既有基于傳統行業進行數字化轉型,也有伴隨著 5G、云、AI 等技術的快速發展產生的新業態。不過,新信息技術的大范圍應用,尤其是在關鍵基礎設施領域的部署,在推進信息化發展的同時,也給網絡安全帶來巨大挑戰。隱私和敏感數據保護、IT 系統韌性、身份識別和訪問控制成為備受關注的安全領域,也給漏洞挖掘和利用提供了土壤。2021 年 9 月,隨著《網絡產品安全漏洞管理規定》的發布,越來越多國內企業開始重視安全漏洞的管理,但如何做好,是各個企業面臨的難題。
一、漏洞的定義及管理原則
(一)漏洞的定義
根據國際互聯網工程任務組(IETF)的定義,漏洞是指系統設計、部署、運營和管理中,可被利用于違反系統安全策略的缺陷或弱點。
漏洞可以被理解為產品中可被利用的安全問題,一旦被攻擊者利用后可造成產品的完整性、可用性或機密性的破壞。漏洞不等同于質量缺陷,質量缺陷是滿足觸發條件時無需攻擊者利用就會觸發,而漏洞則必須被攻擊者利用后觸發。缺陷往往影響可用性問題,發生時可被顯性化觀察,漏洞更多影響機密性/完整性,漏洞是不可避免的,但可管理。
(二)漏洞管理的基本原則
企業應從政策、組織、流程、管理、技術和規范等方面建立可持續、可信賴的漏洞管理體系,以開放的方式,與外部利益相關方一起,共同應對漏洞的挑戰。在漏洞管理領域應遵循以下 5 項最基本的原則。
減少傷害和降低風險。減少或消除產品、服務漏洞給客戶帶來的傷害,降低漏洞給客戶/用戶帶來的潛在安全風險。
減少和消減漏洞。努力提升產品與服務的安全防御能力,降低漏洞被利用的風險。
主動管理。主動識別自身在漏洞管理的責任和厘清管轄邊界要求,包括業務運營適用的法規要求、合同要求、適用的公開標準要求等,構建管理系統,主動管理。
持續改進。持續優化漏洞管理相關的工作流程和規范,不斷借鑒行業標準和業界優秀實踐,提升自身對漏洞管理的成熟度。
開放協同。秉持開放合作的態度,加強供應鏈和外部安全生態的連接,包括供應鏈上下游、安全研究者、安全公司、安全監管機構等;并在漏洞相關的工作中加強與利益相關方的協同,構筑可信賴的合作關系。
二、企業漏洞管理的三個主要環節
企業建立漏洞管理政策、流程以及配套 IT 系統,最核心的目標是減少漏洞帶來的危害,更好地消減風險。在漏洞管理過程中,企業要重點做好以下三個環節。
(一)管好上游
供應商管理。針對引進的上游供應商,企業需要明確將對于供應商的安全要求傳遞給供應商,通過合同/需求規格進行落地,并且做好安全能力認證。同時,對于供應商提供的產品需要做好生命周期管理,防止企業產品中使用已經服務結束的供應商產品從而導致漏洞無法修補,帶來安全風險。
第三方軟件使用管理。企業開發的產品在使用第三方軟件時,需要做好第三方軟件的使用管理,建立資產庫。清晰的第三方軟件管理,一方面,有助于企業產品使用可信、經過認證的第三方軟件,防止源頭帶來安全風險;另一方面,在第三方軟件出現安全漏洞時,可以快速排查受影響范圍和實際風險,從而為及時處置提供有力支撐。
第三方軟件使用管理主要包括以下 3 個關鍵步驟。
入庫。供應商軟件、補丁經掃描驗證后進入統一軟件倉庫;同時,建立管理機制,確定每款軟件的管理責任人。
使用。企業產品需要從軟件倉庫中選擇第三方軟件和補丁,并申請登記;禁止直接從外部渠道獲取第三方軟件。
掃描。對于三方軟件漏洞管理納入稽查范圍,定期識別第三方軟件的安全風險。
(二)做好自己
開發足夠安全的產品。通過正向安全設計和逆向安全測試相結合,確保產品發布前不含已知漏洞(或風險可控)。業界有不少安全開發流程,企業可以結合自己的產品特點、企業規模、人員構成引進合適的安全開發流程,規范產品研發過程,從而提供足夠安全的產品。
生命周期持續安全。企業應在產品發布后(生命周期階段)持續感知已知漏洞、及時修補并向客戶發布修補方案。企業可以參考 ISO/IEC 30111 和ISO/IEC 29147 建立漏洞處理和披露流程,提升漏洞管理水平,及時通知客戶漏洞風險并幫助消減風險。
(三)服務好下游
如果企業的產品組合復雜,為了最大化客戶利益,有時需要采取更為謹慎的方式,并根據不同的客戶類型采取不同的溝通方式。對于企業級運營者,企業需要向客戶交付足夠安全的產品,并在生命周期持續消減和公布漏洞消減方案,做好技術支持工作。對于涉及基礎網絡等產品的安全漏洞,可以考慮通過點對點的方式通知運營者,即點對點的披露方式。對于消費者產品的安全漏洞,原則上在規避方案或補丁可用時,公開披露漏洞信息,即公開披露方式。
三、企業漏洞管理流程
企業要做好漏洞管理,需要建立相應的管理流程,主要有五個關鍵動作。
(一)漏洞感知
第一時間感知到安全漏洞,是及時響應的重要前提。因此,企業需要從漏洞接收和主動收集兩個方面來不斷努力。
一方面,鼓勵所有企業的上游供應商、下游客戶或者集成商、其他漏洞發現者主動向企業報送漏洞, 對接收到來自上下游、安全研究人員、業界組織、政府上報的任何疑似漏洞,都需要進行第一時間的響應。另一方面,企業應建立主動漏洞感知渠道,對知名漏洞庫、供應商官方網站、安全論壇或網站都進行合法合規的公開安全漏洞信息主動收集。企業應建立內部安全漏洞庫,所有上報的疑似安全漏洞都會被統一存儲到安全漏洞庫中,并被分配唯一的追蹤編號。
(二)漏洞驗證在
對漏洞進行修補前,需要對漏洞進行驗證和評估。在分析和驗證過程中,可以積極引進和嘗試業界先進的商用和開源工具或標準,來提升漏洞分析的準確性和及時性。
(三)漏洞修補
漏洞修補的場景相對比較復雜,不是所有漏洞都可以快速修補。例如WEB 類的漏洞,修補速度往往會比較快。但是涉及底層架構、操作系統、芯片和協議漏洞,修補時長往往不是廠商自身可控制的。
以公有云為例,業界絕大多數廠家發現的云服務上的高危漏洞,廠商往往可以在 3 至 5 天內完成修補。但是涉及底層架構、操作系統、芯片和協議漏洞,例如信息與通信技術(ICT)設備,修補時長往往長達數月,甚至無法修補。很多時候ICT 設備廠商并不掌握底層架構(例如 ARM、X86架構)、操作系統(例如 Windows、Linux)、芯片(例如高通、博通)、協議(3GPP、IEEE、ITU)的控制能力,很多時候當發現這些漏洞時,設備廠商對修補時長是無法控制的。
例如,Intel CPU 漏洞“熔斷”(Meltdown)和“幽靈”(Spectre)本身影響 CPU 的架構,該漏洞的修復不僅需要 CPU 廠商發布微碼,而且還需要下游 OS 廠商配套 OS 的補丁。合入第三方廠商提供的補丁,還必須做必要的性能調優,來彌補第三方補丁導致的性能下降。該漏洞的協同修補時長超過 9 個月。
協議漏洞的修復更需要獲得標準組織的認可。例如,全球移動通信系統協會(GSMA)會議上關于高速無線通信標準 VoLTE 的密鑰流重用的協議類漏洞,就依賴于 GSMA 輸出漏洞修補的標準,然后各個廠商分別實施再驗證,還要做互通性測試,其時長可能以年計。
從企業的角度來看,更短的修補時長意味著更高的成本。由于新漏洞不斷出現,因此更短的修補時長意味著更頻繁的補丁/軟件更新的發布,除了少量漏洞修補的代碼改動外,還涉及大量的帶外工作,例如構建、發布、測試、掃描、上網、推送給客戶,哪怕是修改一行代碼,這些工作可能一個都不會少。
(四)漏洞披露
漏洞披露應遵循合法合規及“減少傷害和降低風險”的基本原則。不同企業應結合自己行業特點,選擇合適的漏洞披露方式。例如,對于涉及基礎網絡等產品的安全漏洞,需要通過私密披露方式披露給受影響客戶;對于消費者的產品的安全漏洞,原則上在規避方案或補丁可用時,可以通過在線升級(OTA)推送的方式或者網站公開的方式公開披露。但如果該漏洞也對網絡基礎設施或整網有影響,則也會被點對點通知相關的運營商客戶。
(五)現網消減
從企業客戶的角度來看,頻繁的現網補丁部署意味著頻繁的生產環境操作。每次補丁都需要經過嚴格的入網測試和審核工作,更頻繁的補丁也意味著更多的補丁測試和入網工作,帶來更高的操作成本。因此,需要基于漏洞風險,合理規劃現網實施操作,減少對生產環境的擾動。
四、企業漏洞管理生態建設
在漏洞處理的過程中,企業需要本著負責任披露的原則與供應商、互聯網應急響應(CERT)組織和安全研究人員協調漏洞處理,保證漏洞信息的有效性和真實性以體現其可信。在整個處理過程中及時并通過合適的方式交流信息及處理進展以體現透明。企業對漏洞提供規避方案或緩解措施,以保證風險被有效緩解;同時將經驗和教訓,通過培訓或案例的方式傳遞到產品,提高開發人員安全意識,促進產品安全性改進。
企業應建立產品安全應急響應團隊(PSIRT),并在官方網站及業界主流漏洞披露網站公開聯系方式和漏洞報送渠道,便于外部組織和個人報告其發現的產品漏洞。企業應鼓勵漏洞研究人員、行業組織、政府機構和供應商主動將與其產品相關的安全漏洞報告給 PSIRT。PSIRT 對接收到的漏洞信息應及時確認并回復致謝。由于漏洞驗證、修補是一個復雜的過程,此過程可能會持續一段時間。因此,需要在漏洞處理期間,定期和漏洞報送者溝通進展。漏洞報送者應在漏洞完成修補前,嚴格控制傳播范圍,從而降低漏洞因沒有修復方案前就被直接曝光漏洞而帶來的風險。
此外,PSIRT 也應及時響應漏洞發現方通過漏洞協調組織反饋給 PSIRT 的產品的安全漏洞;而當PSIRT 發現可能對其他供應商造成影響的安全漏洞,也應通過“漏洞協調組織”或直接反饋給供應商。
PSIRT 可以通過積極融入業界安全組織、論壇或者與其建立互動或合作,來保證與供應商、漏洞協調組織和安全研究人員建立緊密聯系,共同應對網絡安全挑戰。另外,企業也可以考慮與第三方安全公司和組織進行合作,利用他們的安全能力,迅速補齊企業在相應領域的不足。
PSIRT 應主動追蹤業界安全研究熱點和話題,積極參加相關安全會議,宣傳漏洞管理策略,同時引導安全研究人員通過正常渠道上報相關的漏洞信息,協同披露企業產品安全漏洞,在最大程度上減少客戶的安全風險,共同營造負責任的漏洞披露環境。
隨著企業漏洞管理成熟度程度的提升,也可以逐步啟動漏洞獎勵計劃,對主動將產品漏洞通過正常渠道上報的安全研究人員進行致謝和獎勵。
五、結 語
企業在漏洞管理中,應始終秉承負責任的態度,致力于以最大程度保護客戶,降低漏洞被利用而造成的風險。對外建立安全漏洞報送和漏洞披露渠道;對內建立漏洞處理流程,并及時總結經驗和教訓,促進內部改進,幫助產品持續提升產品安全性。
