專題·漏洞治理 | 基于漏洞情報的漏洞運營實踐
漏洞從來都是網絡攻防的焦點。在洛克希德·馬丁公司提出的“網絡殺傷鏈模型”中,無論是武器構建、載荷投遞抑或是其他環節,都離不開漏洞的影子。
作為攻擊者突破滲透 IT 系統的關鍵環節,漏洞能夠直接或間接影響安全性的核心方面:權限。攻擊者在利用漏洞獲取非授權的權限之后,就可以完成惡意代碼植入、竊取核心數據等操作,因此,漏洞一直以來都是攻防雙方的必爭之地。
對于防守方而言,及時獲取與自身相關的漏洞情報信息,定位并消除漏洞,監測和阻斷漏洞的利用,能夠在很大程度上達成防范網絡攻擊的目的。
漏洞信息本質上是一類情報,可以被用來結合組織自身的資產,進行持續的檢測與響應,避免因漏洞而導致實際的風險。然而,面對每天新增的大量漏洞,防守方想做到面面俱到幾乎是一件不可能完成的任務,因此需要引入一些技術手段,來幫助企業洞察什么樣的漏洞會給自身帶來安全風險,哪些漏洞應該被優先修復。
因此,近些年來,漏洞情報的概念一再被提及,希望能夠基于國家漏洞庫等信息來源,以及漏洞優先級排序技術(VPT,Vulnerability PriorityTechnology)提供更有價值的漏洞信息服務。
一、對當前漏洞的數據分析
奇安信計算機安全應急響應部門(CERT)對收集的 2020 年全年和 2021 年上半年的漏洞信息進行了統計分析。在共計 37478 個漏洞中,零日漏洞(0day)數量為 106 個,占比 0.28%;零日計劃(ZDI)漏洞數量為 450 個,占比 1.2%,其中 200+ 目前無通用漏洞披露(CVE);無 CVE 漏洞數量為 10887個,占比 29%;國家信息安全漏洞共享平臺漏洞數量為 17593 個,占比 47%;有漏洞利用程序/概念驗證代碼(Exploit/PoC)的漏洞數量為 1973 個,占比 5%;有在野利用的漏洞數量為 667 個,占比 1.8%,其中 319 個漏洞有公開 Exploit,348 個漏洞無公開Exploit;高級持續性威脅(APT)相關的漏洞數量為 30 個,占比 0.08%。
從這些數據可以得出以下三個結論。
真正造成實際風險的漏洞只占少數。盡管存在 Exploit/PoC 的漏洞占比超過 5%,但只有1.8% 比例的漏洞有公開來源信息顯示存在有在野利用。所以,實際導致安全風險的漏洞在已知漏洞集中只占很小一部分。IBM X-Force 對近十年來的漏洞被利用情況做過一個統計,也到了類似的結論:盡管每年的漏洞數量都在創新高,但被利用的漏洞數量卻保持得相當穩定,不到 10%。
關注漏洞的實際在野利用(即已遭利用的 0day 漏洞)狀態非常重要。有在野利用的漏洞數 667 個,只有其中 319 個有公開 Exploit,大量的在野利用漏洞并沒有公開的 Exploit,處于私有狀態。考慮到在野利用漏洞的危害性,僅通過標記漏洞是否存在公開 Exploit 來判定漏洞的現實威脅還是不夠的。但是當前國內的漏洞情報,基本上沒有對漏洞是否存在野外攻擊這個屬性做標記并進行持續跟蹤。
CVE 遠沒有覆蓋絕大多數已知漏洞。無 CVE 的漏洞占比接近三分之一,因此,有大量的漏洞在 CVE 的視野之外。這類非 CVE 漏洞,國產軟件來源占了很大比例,已知的 0day 漏洞中與國產軟件相關的也占了近一半,因此非常有必要維護一個 CVE 超集類型的漏洞庫。
二、用戶漏洞處理的痛點
通過以上的數據分析,結合實際的用戶反饋,奇安信 CERT 認為漏洞處置過程中有以下五個痛點。
每天數以百計的新漏洞披露,如何才能識別出哪些漏洞真正存有威脅。,一般情況下,攻擊者會比防御方能更早地知道漏洞的存在,如何能盡早地得到完整準確的信息,避免落后攻擊者太多。
有的漏洞可能暫時沒有補丁,就算漏洞已經有了相應的補丁發布,很多場景下,用戶也無法隨心所欲地安裝補丁,需要有快速可靠的臨時解決方案來規避漏洞導致的風險。
在處置資源有限的情況下,該優先處理哪些漏洞,以最大程度減小漏洞風險的敞口。
如何把漏洞情報無縫地集成到組織自身的日常漏洞處理流程和機制里。
好的漏洞情報需要能回應上面這些痛點,解決或緩解用戶的焦慮。基于漏洞情報運營實踐,奇安信 CERT 認為漏洞情報的運營需要起到收集器、過濾器和富化器的作用。
具體而言,通過對一手數據源的挖掘和信息實時采集,結合威脅情報對漏洞進行多維度的屬性標定,保證漏洞信息的全面性和及時性。分析團隊依據完善的流程和專業經驗對漏洞的影響面和技術細節進行研判,把真正重要的漏洞過濾出來,保證信息的準確性和處理優先級的可靠性。對于確認的重要漏洞,需要富化漏洞信息的上下文,跟蹤漏洞的現時威脅狀態,關聯相應的安全事件,給出切實可行的處理方法,提供除補丁鏈接以外的其他威脅緩解措施建議。
三、通過全面的多維漏洞信息整合及屬性標定支持漏洞情報運營
漏洞情報和傳統漏洞庫區別最大的地方,在于對漏洞本身技術層面以外維度的持續動態跟蹤。一般情況下,漏洞庫的核心信息只會涉及軟硬件影響面(廠商、應用及版本)和漏洞本身技術層面的評估(威脅類型、利用場景、危害大小等),這些信息還遠遠不夠,為了有效管控漏洞導致的風險,還需要知道更多信息。
漏洞是否在默認配置下存在,配置情況對漏洞可利用性影響極大,非默認配置下的漏洞,其實際威脅往往遠不如技術層面的定性看起來那么嚴重。
漏洞相關的應用系統部署規模有多大,這直接影響漏洞整體的威脅評估。
漏洞是否已經有了公開的技術細節、Exploit 工具、PoC,這會直接影響漏洞是否可以轉變為現實的攻擊。
漏洞是否已經有了在野利用,顯示漏洞是否已經從潛在威脅轉化為現實威脅。
漏洞是否已經被已知的漏洞利用攻擊包或大型的僵尸網絡集成作為獲取對系統控制的途徑,這標志著漏洞現實威脅的提升。
漏洞是否與 0day 或 APT 活 動相關,這意味著漏洞可能被用于攻擊高價值的目標。
所有這些屬性都應該通過運營被標記出來,以方便用戶實現有效的處理優先級排序。奇安信CERT 的漏洞情報支持基于標簽的搜索,讓用戶方便地獲取匹配特定屬性的漏洞集合。這些標簽將來還會有對應的分類和描述,讓用戶能更深入地了解漏洞所導致的威脅。
當然,上面的工作都是建立在全面收集漏洞信息的基礎上。奇安信監測了多個主流漏洞數據庫以及數百個安全廠商,跟蹤了超過 2000 個推特賬號和 80 多個安全相關新聞源,通過開源信息采集,結合商業數據采購,使用各種手段挖掘新的漏洞數據源。
四、漏洞運營應對漏洞實際安全風險做準確判定
當前,漏洞以每年幾萬個的速度在增加,平均到每天有上百個漏洞被公開,如果全部對其分析驗證需要巨量的資源投入,這對任何廠商和組織都是不可能完成的任務,在操作層面上既無可能也無必要。事實上,每年新公開的漏洞只有極少數會被認真研究。在漏洞處理流程上,奇安信CERT 會根據漏洞的影響面和驗證條件,篩選出值得深入分析的漏洞,再利用多種渠道收集或自研 PoC 進行技術驗證,這是漏洞情報運營過程中專業度要求最高的環節。
2021 年,MicrosoftWindows Active Directory域服務特權提升漏洞(CVE-2021-42287)、Apache APISIXDashboard 未授權訪問漏洞(CVE-2021-45232)、Grafana 未授權任意文件讀取漏洞(CVE-2021-43798)等漏洞,經過奇安信 CERT 的復現并被打上“奇安信 CERT 驗證”的標簽,標記了奇安信 CERT 對此類嚴重漏洞的存在性和可利用性的專業驗證。
漏洞運營的目標不僅告訴用戶哪些漏洞重要,同樣重要的,需要告訴用戶哪些看起來高危的漏洞風險名不副實。一個典型的例子是 2021 年 12月 Log4j 漏洞爆發,一些衍生漏洞隨之出現,奇安信 CERT 對這些漏洞研究分析之后確認其中絕大部分并沒有實際場景下的威脅,隨即發布了相關的風險通告做了技術上的澄清。
五、漏洞情報為漏洞處理提供可靠的優先級排序
目前,普遍基于通用安全漏洞評分系統(CVSS)評分的高低來評估漏洞的危險程度。但在篩選出的重要漏洞中,大量的漏洞具有相同的安全漏洞評分系統(CVSS)的評分,僅基于這些評分很難對漏洞的實際風險作出有效的評估,其他諸如漏洞是否默認配置受影響、利用的易用性和穩定性、攻擊者所能接觸到的存在漏洞的資產量級和漏洞利用的其他前置條件,都對漏洞的實際風險有極大影響,而這些維度的評價在 CVSS 評分體系中難以準確量化。
以兩個 CVSS 評分接近的漏洞對比為例:Log4j遠程代碼執行漏洞(CVE-2021-44228)(CVSS10) 和 Samba 遠程代碼執行漏洞(CVE-2021-44142)(CVSS 9.8)。
通過以上對比,可以看到,雖然兩個漏洞的 CVSS 評分看起來相差無幾,但由于一系列非CVSS 考察維度屬性的差別,導致漏洞的實際威脅天差地別,Log4j 是真正的“核彈級”,而 Samba基本可以歸到“雞肋級”。
2021 年,CVSS 評分高于 9.0 的漏洞數量有 13000 多個,其中有 3300 個漏洞存在對應的Exploit,但只有 580 多個漏洞被標記存在有在野利用,在高于 9.0 評分的漏洞中占比不到 5%。所以,即便是技術層面風險度非常高的漏洞,真正被用于網絡攻擊的概率也不高。這個難題需要通過結合威脅情報來緩解,漏洞情報的多維度標簽,為用戶提供了基于漏洞現時狀態進行優先級排序的可能。
截至 2022 年 5 月,奇安信 NOX 安全監測平臺已收錄關鍵漏洞 27042 個,并將漏洞按照更新時間先后進行排序。例如,Apache Log4j 任意代碼執行漏洞(CVE-2021-44228)、Google Chrome 遠程代碼執行漏洞(CVE-2021-37973)、致遠 OA 代碼執行漏洞(CNVD-2021-51370)等漏洞已經被標注為“發現在野利用”,并且漏洞威脅等級為“高危”或“極危”,此類漏洞建議用戶參考漏洞修補方法盡快進行修補。美國網絡安全和基礎設施安全局(CISA)已經發布了一個包含 500 多個已知存在有在野利用的漏洞列表,奇安信 CERT目前已經標記了超過 4000 個在野利用漏洞,也已經對外發布了漏洞列表,這些是每個組織都必須要修復的漏洞列表。
六、及時的漏洞風險通知
目前,從漏洞信息公開到野外實際利用的間隔期越來越短,大多數時候防御方是在跟攻擊者搶時間,哪方先知道漏洞的存在及相應的細節,決定了誰在對抗中占據優勢。為了及時輸出漏洞風險通知,漏洞情報的運營理想條件下需要采用7*24 的監測處理機制,通過直接的廠商源頭信息采集,及時研判并實時推送漏洞狀態更新。以下五類漏洞相關的狀態更新需要盡快通報,因為這些更新會漸次影響到漏洞的現實危害程度。
第一,新的關鍵漏洞公開;第二,發現關鍵漏洞的技術細節;第三,發現關鍵漏洞的 Exploit或 PoC 公開;第四,發現關鍵漏洞的在野利用案例;第五,發現關鍵漏洞的新修補和緩解方案。
2021 年,奇安信 CERT 發布了涉及 40 多個重點廠商、300 余條漏洞的 147 篇實時安全風險通告。包括 WebLogic T3 反序列化 0day 漏洞、MicrosoftSharePoint 遠程代碼執行漏洞(CVE-2021-28474)等高危漏洞,其中 Google Chrome 遠程代碼執行漏洞(CVE-2021-21224)發現時漏洞為 0day 狀態,均為奇安信CERT使用自研PoC首次驗證并第一時間發布。
為了能讓用戶全面地獲取自身網絡環境相關的漏洞信息,奇安信 CERT 引入了全面的通用平臺枚舉(CPE)信息集成,擴展支持非 CVE 漏洞(主要為國產軟件漏洞)。使用歸一化的廠商及產品列表,包含 1000+ 軟件廠商、10000+ 產品,結合主動的資產測繪精準評估漏洞影響面,可第一時間提供高危漏洞定向風險通告。
漏洞風險對外的輸出形式,不僅提供基于多維屬性篩選的互聯網訪問界面,還提供在線數據獲取的應用程序編程接口(API)及離線數據包,用戶可以根據需要集成到自有漏洞的處理流程。
七、可行的分步處置措施
漏洞情報的運營除了全面性、及時性、有效性,提供有效的緩解措施和可落地的解決方案也是漏洞情報實現其價值的重要一環。很多時候,安裝補丁并不是漏洞威脅處置的第一選擇,因為打補丁受到各種現實條件的限制。例如,在重大活動中,一旦安裝補丁導致核心服務器宕機,其后果不堪設想,出于性能和穩定性的考慮,有些補丁打完以后需要重啟機器的操作是不允許的,更不用提0day 漏洞暫時無補丁可打的情況。
因此,針對很多重要漏洞,奇安信 CERT 團隊還會組織相關部門開發主機或網絡虛擬補丁,尋找通過調整機器配置暫時規避漏洞利用的臨時解決方案,輸出經過驗證的分步操作步驟,幫助用戶先行規避風險,以后在合適的時機再進行徹底修復。
例如,對 2021 年 3 月發現的微軟公司 ExchangeServer 安全漏洞 ProxyLogon,NOX 安全監測平臺持續更新 6 次安全風險通告,不斷對緩解措施進行完善,提供了兩千余字的詳細可行操作步驟。對 2021 年 12 月肆虐全球的 Apache Log4j 日志庫漏洞,NOX 安全監測平臺給出的完整處置建議涵蓋了漏洞排查、攻擊排查、修復版本、產品解決方案,以及多種場景下經過驗證的有效緩解措施,該完整的處置建議在奇安信多家客戶的一線應急響應中起到了重要作用。
八、不同類型用戶對漏洞情報的選擇要點
當前的網絡安全正處在一個轉型升級的上升期,網絡安全體系架構已經由基礎架構安全、被動防御向主動防御、反制進攻階段進化。傳統的安全思維模式和安全技術已經無法有效滿足政企客戶對安全防護的需要,要實現有效的積極防御,關鍵的一點是要具備安全情報的收集與使用能力。
對于個人用戶、企業用戶以及安全監管單位而言,如何選擇滿足自身業務需求的優質漏洞情報,可以簡單概括為一句話:“個人用戶挑產品、企業用戶挑服務、監管機構挑供應商。”
個人用戶只需要確保自身的隱私安全和資產安全,不需要關注漏洞本身的技術細節,因此在漏洞情報的使用上更加依賴于其部署的終端安全產品對漏洞情報的敏感程度。企業用戶基于其信息系統的復雜程度,單一的安全產品無法滿足企業漏洞檢測與響應的需求,需要更加精準和定制化的漏洞情報服務,來幫助管理者迅速判別漏洞對企業業務的影響,并在第一時間進行有效的漏洞處置。安全監管單位關注全網的網絡安全態勢,需要龐大的漏洞情報數據庫支撐,更加考驗漏洞情報供應商在模式化的安全產品和情報服務之上所擁有的靈活、可變通的業務適應能力。
