全球已有重要的漏洞管理标准及法律法规共计31项,囊括了漏洞管理的顶层设计、法律法规到标准、方法论、最佳实践、指南、框架等等内容。其中,近两年内发布的、修订、更新的数量占一半以上。
据统计,截止到2022年8月,知名漏洞库CVE、CNNVD、CNVD收录的漏洞都已达18万+量级,漏洞呈现一种爆炸式增长的态势,同时漏洞利用程序出现的速度及漏洞武器化的速度越来越快,在漏洞公布24小时内,互联网即可公开下载攻击程序。
在此形势下,网络运营者面临的安全运营压力无疑是巨大的,近年来全球爆发的大规模信息泄露、勒索攻击、针对关键基础上设施攻击事件表明,并不是只有0-day、1-day漏洞才也会产生重大危害影响,其反映出的难点问题主要体现在:
在国际通用的漏洞评价方法中,漏洞的可利用性已成为重要评价指标,其权重甚至与漏洞的危害影响等同。对于大量的网络运营者而言,其不一定会成为0-day漏洞的受害者,但其存在的漏洞一旦在别的系统中被证明利用成功过,且没有跟进补丁或处置操作的话,遭受攻击的风险是巨大的,这也是国际上如美、澳、英等国近年来着力于发布《最常被利用漏洞报告》的原因。
美国网络安全和基础设施安全局(CISA)、澳大利亚网络安全中心(ACSC)、英国国家网络安全中心和美国联邦调查局(FBI)2022年7月28日发布的《Top Routinely Exploited Vulnerabilities》报告。
从2020-2021最常被利用漏洞报告中可以列表中,可以看到易利用漏洞已经成成为网络攻击的常见载体。
运营者层面漏洞管理的理想效果是“所有系统漏洞均得到及时发现、及时处置”,其底线目标是“系统漏洞不被攻击者利用并产生危害影响”。要达到这个效果和目标,又面临前文所述的种种压力,必然会造成漏洞管理捉襟见肘、流于形式,这是客观存在的情况,需要从机制、思路方法上加以解决。
2021年5月12日,美国总统拜登签署名为“加强国家网络安全的行政命令”(Executive Order on Improving the Nation’s Cybersecurity)以加强网络网络安全和保护联邦政府网络。
2021年11月16日,美国网络安全和基础设施安全局(CISA)按照行政命令的要求,发布了《联邦政府网络安全事件和漏洞影响响应指南》(Federal Government Cybersecurity Incident and Vulnerability Response Playbooks),以改善和标准化联邦机构识别、修复和从影响其系统的网络安全事件和漏洞中恢复的方法。
2021年11月3日,建立了一个由 CISA 管理的已知被利用漏洞目录(KNOWN EXPLOITED VULNERABILITIES CATALOG)(KEV),这些目录中的漏洞会给联邦企业带来重大风险,并为机构建立了修复目录中包含的任何此类漏洞的要求。CISA将根据可靠证据确定漏洞需要包含在目录中,这些证据表明该漏洞正在被公共或私人组织威胁行为者积极利用。
因此,不应该让机构关注数千个可能永远不会在实际攻击中使用的漏洞,而是将重点转移到那些是主动威胁的漏洞上。已知被利用的漏洞应该是补救的首要任务,这也是KEV发布的初衷。
CISA KNOWN EXPLOITED VULNERABILITIES CATALOG(KEV)最初发布的306个漏洞,到2022年8月18日增长到801个漏洞。相比较新漏洞出现的速度,增长速度应该说非常缓慢。我们从当前的KEV运行数据来对其特点进行多角度分析。
尽管人们更加关注最新的0day漏洞,但从CISA KEV看到,列表中甚至包含2002的0day漏洞,5年、10年前漏洞仍然大量存在并被积极利用。
这一点上,与Garnter发布CARTA漏洞管理方法论时提到“十大安全战略假设”是一致的,其认为,99%的漏洞利用将依旧是安全IT专业人员已知1年以上的,企业必须致力于修补已知存在的漏洞。
801个漏洞中涉及到132个供应厂商,More Vendor,More Vulnerabilities。因此,除了掌握资产暴露面之外,厘清软件供应链信息越来越重要。
CISA KEV中对每个漏洞都规定了严格的修复截止时间(精确到天)。若达到这个效果不难推测出:CISA KEV在公开发布前应该有其它内部版本,漏洞的修复截止时间应该结合了其它的因子综合做考虑,如此严格的时间要求如果没有依据支撑很难很难令人信服。即使如此,在整个KEV体系当中,完全消除仍然需要近半年的时间,侧面反映了即使是针对已知被利用的漏洞,完全修复也有相当难度。
50个漏洞属于已报废产品,是已经不被厂家支持、不再更新的产品,相应的漏洞也不再有补丁或者防御措施。此部分不论是资产安全还是漏洞管理都是最头疼、也最应该重视的部分。
问题导向、实战导向,聚焦管理效果
从这一点出发,不难看出,应对海量漏洞管理的一种有效方法是:将易被利用或已知被利用漏洞放在较为优先甚至最为优先的处置层级,区别于传统的希望修复所有漏洞、以漏洞级别高低作为修复优先导向的管理方式。其优势体现在一方面易于集中注意力和资源,另一方面也可为尽早切断攻击链发挥积极作用,可在有限精力下较好的发挥海量漏洞管理工作成效。
三种策略、强化措施
、应对难点
那么,“将易被利用或已知被利用漏洞放在较为优先位置”这一方向确定后,针对海量漏洞管理难点,还应解决“如何确定什么漏洞是此类漏洞?”“其他类型漏洞管理工作如何把握”两方面问题,这需要从策略上、技术上共同研究部署,可参考的方式包括以下3种策略:
CISA KEV在当前来说是一个较好的抓手。Catalog中的漏洞是已经具备充足证据的、正在被广泛积极利用的、具有积极威胁的漏洞,其处置措施也是非常明确的,除漏洞库的厂商修复建议外、还配备专门的BOD(有约束力的操作指令)、ED(紧急指令)。
摄星科技已发布全中文的“关键漏洞列表”,同步更新CISA KEV,提供CSV、JSON格式文件下载,可从https://www.vulinsight.com.cn/#/kvc获取。
此类漏洞的利用复杂度、环境和利用条件要求较高,当前尚未有充足证据证明正在被广泛积极利用,现网环境可被利用的不确定程度较高。但一旦能够成功利用,造成危害很大。
除以上两部分漏洞外,其它漏洞的可被利用性缺少证据或信息。对现网环境造成的危害不大。
应对策略:保持关注,处置优先级低于优先、重点关注级别漏洞,可按照漏洞级别、资产重要级别等其它情况排序优先顺序。但仍然需要关注动态变化情况,有可能随着情报信息更新(如公开POC等),导致处置级别上升。
资源整合、技术联动,实现闭环实效
运营者不妨以资产管理+漏洞知识+漏洞管理+防护联动为技术基础,提供可量化、可视化的决策依据,完善漏洞处置评价监督机制,有利于科学合理的在运营者内部理顺漏洞处置链条、明确漏洞处置方针、激发安全运营活力,达到漏洞检测、验证、修复、复测的管理闭环效果。
推荐阅读
文章来源:摄星
原文始发于微信公众号(安全内参):从美国CISA KEV项目看海量漏洞管理方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论