终端安全漏洞运营

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”

01

—

以Windows操作系统为例，操作系统安全更新一般在每月第二个星期二发布。为及时修复安全漏洞，一般企业内部搭建WSUS（Windows Server Update Services）给有需要的终端进行补丁推送，或者依赖具备漏洞管理能力的终端安全管理系统进行每月定期的自动分发及安装。常见运营问题包括以下几个：

    1、带宽占用问题

    分布在全国各地的分支机构，若通过总部的WSUS或者终端安全系统进行软件的“扁平化”分发，一般会把分支机构与总部之间的网络带宽撑爆——由于终端数多、补丁文件大，导致分发补丁占用带宽大、时间长。解决方案有两种：

     （1）内网更新方案（适用于纯内网终端环境）：通过在各分支机构建立更新中继来控制分发补丁的总量；

     （2）外网更新方案（适用于可访问互联网的终端环境）：只从总部推送安全更新补丁列表，分支机构终端直接从互联网下载补丁。

    两种方案都需要辅以补丁更新的流量管控策略，将补丁更新占用带宽的速度限制为分支机构本地带宽的50%以下，避免影响正常的办公网络使用需求。

    2、更新补丁后系统出现异常

    更新补丁后，操作系统出现无法成功启动、蓝屏、应用软件运行异常等情况是常见现象。这好比我们防病毒软件在某天的病毒库自动更新后，误将关键系统文件判定为病毒，通过实时/预设扫描任务将关键文件自动查杀一样，给员工办公带来较大影响。解决方案：

    提前配置补丁（规则库）更新的首批用户组，作为“小白鼠”进行测试验证，跑几天下来没问题后，再逐步覆盖至其他终端。为保证验证效果较全面，需要注意选择不同部门、操作系统版本等具有区别特征的终端纳入首批验证组。

通过每日的漏洞情报资讯，可及时获取到终端软件的高危漏洞。最常见的是谷歌、Firefox、Edge等常用浏览器的漏洞，和操作系统厂商一样，已经建立每月发布安全更新的机制。另外，去年印象比较深刻的终端软件的还有keepass、向日葵、钉钉、WPS、QQ等。碰上终端软件高危漏洞并不可怕，关键是快速定位存在问题的终端后，第一时间将漏洞修复补丁或新版本软件进行覆盖。

    1、快速定位资产

    市面上的EPP系统一般都带全局终端软件管理功能，可通过此模块按软件名称、具体版本号对进行全局搜索，得到受影响的终端清单。

    2、新版本更新/软件补丁分发

    在测试终端完成软件新版本或补丁验证通过后，使用EPP系统的软件分发功能，将安装包灰度推送至全局终端，尽可能使用静默安装方式，降低对用户办公的体验。

    碰到一些无法静默安装的软件，或者需要用户自行变更本地软件配置的情况，建议通过企业内部的通知、任务系统通知用户，要求用户完成问题修复后立即反馈结果，安全团队验证通过后方可闭环。此场景可参考服务器的漏洞管理常见做法，针对不同的漏洞风险度，设定修复时间要求，进行督促及修复时间考核。

    3、其他临时措施

    在存量终端软件漏洞补丁未发布或未推送完毕前，可通过分析漏洞情报中的细节，定位漏洞利用的关键环节，采取临时措施将特定文件、终端外连地址进行封禁，一般可通过EPP系统的进程管控功能及终端上网路径中的AC、防火墙等设备功能实现。

在做好终端操作系统漏洞的定期修复以及软件漏洞情报响应工作后，还需辅以定期的漏洞扫描机制，一般做法是每半年/每季度一次；条件允许的情况下，可使用不同厂家的扫描器，综合多家厂商的漏洞库，相互补充，提升漏洞检测率。在推送漏洞修复任务前，务必对漏洞清单进行再次审核、验证，排出漏洞修复优先级再进行推送；针对高危漏洞迟迟不能按组织要求修复的，应及时汇总分析，必要时升级处置。

    另外，针对在终端自行搭建服务的风险特别容易被忽略，可适当提高终端网段资产扫描频率，尤其注意扫描Web及数据库服务等易受攻击者青睐的高危资产，得出资产清单后再进行漏洞扫描。

漏洞治理是安全运营中的关键环节，本文围绕终端安全漏洞的几个关键点进行归纳阐述，分享相关的防护策略及运营经验，若有不足之处，希望各位师傅指点，谢谢！