![抓狂!先修哪个漏洞?(阅后即焚)]( "抓狂!先修哪个漏洞?(阅后即焚)")
看到这篇你就赚了!
先看企业安全团队修漏洞的三个“迷惑”:
-
漏扫告警多,但人手就几个,哪个真正需要修?
-
漏洞修复需要PoC等细节验证资产受影响程度,也需要技术细节说服其他部门配合,但这些漏洞信息很难获得;
-
很多漏洞不能及时获得补丁,怎么办?安全团队与业务团队相互拉扯,没法直接打补丁,缓解或加固方案怎么做?
最近,事件响应和安全团队论坛(FIRST)发布的CVSS v4.0则有望解决“漏洞要不要修?”“先修哪个漏洞”等问题。CVSS v4.0 新增了威胁指标,评分从单一漏洞技术特征评估向更立体的漏洞风险评估的转变,强调了威胁情报对漏洞运营的重要意义。
作为威胁情报领域“浪波汪”的安全企业,微步认为,企业应将漏洞信息与威胁情报相结合,基于漏洞严重性,再综合漏洞在野利用、攻击工具、攻击团伙以及攻击活跃度等实时信息,形成更立体的、更具实战意义的漏洞风险评估,可以帮助企业实现更高效的漏洞运营。
CVSS,是 Common Vulnerability Scoring System 的缩写,中文翻译为“通用漏洞评分系统”,其初衷是用于衡量软件漏洞严重性的标准性方法。但在CVSS v4.0之前,CVSS并不能真实反映漏洞对企业安全的影响,用一张图说明:
这张图反映了漏洞利用攻击与CVSS评分级别之间的矛盾:CVSS评分越高意味着对软件系统的影响越大,但实际上攻击者利用更多的是那些CVSS评分为“中等”严重级别的漏洞(如上图中的红色折线)。
尽管CVSS经过多次修改,比如目前被广泛使用的CVSS v3.0版本,以及2019年更新的CVSS v3.1版本,但均未能解决“CVSS得出的漏洞严重性无法代表真实的漏洞风险”这一问题。其最核心的原因在于,漏洞在野利用等信息是随时间动态变化的,一次性的漏洞定级显然不具备实战意义。
显然,FIRST也期望通过更新CVSS评分标准来让其更具实战意义,如果CVSS v4.0能获得行业普遍认可,则有望解决上述问题。
![抓狂!先修哪个漏洞?(阅后即焚)]( "抓狂!先修哪个漏洞?(阅后即焚)")
如上图所示,与CVSS v3.0相比,CVSS v4.0新增了威胁指标,细化了环境指标和基础指标。FIRST对威胁指标的介绍:威胁指标主要体现漏洞的利用成熟度。而漏洞利用成熟度有三个指标值:PoC未公开、PoC已公开、已经捕获到针对该漏洞的攻击。CVSS v4.0也明确提出需要利用威胁情报来进行决策,而且要实时更新。这实际意味着威胁情报对威胁指标具有决定性作用。
除了新增的威胁指标之外,CVSS v4.0还弱化了基础评分的重要性,FIRST强调:漏洞的基础评分只是衡量漏洞的严重性,而非漏洞风险。针对漏洞风险的评估,实际上要参考集合了基础、环境、威胁三大指标后的综合评分——CVSS-BTE(Base&Threat&Env)。
CVSS-BTE(Base&Threat&Env)对于企业漏洞运营的意义在于,企业除了应该关注该漏洞的技术评估(基础指标)之外,更要重视关注该受漏洞影响的软件系统在企业中的重要性(环境指标),以及该漏洞的在野利用情况(威胁指标)。道理很简单,不管这个漏洞的基础评分如何,如果受该漏洞影响的软件在企业中的重要性比较高,而黑客正频繁使用的话,那么企业就应该尽早修复加固此漏洞。
因此从CVSS v4.0标准来看,新的CVSS评分结果有助于企业更高效地决策漏洞处置优先级,快速、及时识别高风险漏洞并快速响应。
在过去很长一段时间,企业漏洞运营通常依靠漏洞信息库,来自公开渠道的数据有着信息质量低、数据量少、字段杂乱不统一等问题;并且,企业在漏洞修复时的落脚点通常落在漏洞上,没有反向思考漏洞风险是否真实存在,会不会因为修复某个漏洞而引入了新的安全风险?这在很多时候会造成投入了资源但却没有意义的结果。
微步认为企业漏洞运营的正确落脚点应该是在安全风险上,应该从及时性、优先级、可操作性等三个方面为企业漏洞运营提效。为达成这一目标,微步基于多年一线实战经验,提出了“漏洞情报=漏洞+情报”的新理念,即漏洞情报除了包含漏洞影响范围、PoC基本信息外,还应该包括漏洞的利用情况、攻击者画像、活跃度等威胁情报内容,并与企业内部资产情况相结合,以为企业提供更具实战意义的漏洞情报。
根据这一新的理念,微步在2023年CSOP大会上推出了漏洞情报服务,微步漏洞情报除了包含经过漏洞专家验证的漏洞技术评估外,还将漏洞与安全事件库、APT组织和黑产团伙大数据、在野漏洞利用行为大数据进行关联,再加上7*24持续跟踪漏洞的武器化情报(比如是否有新的利用手法、补丁是否绕过、武器化程度),对漏洞风险因素进行持续的捕获和更新,对“当前”漏洞的实际威胁输出实时的、直观的结论。
![抓狂!先修哪个漏洞?(阅后即焚)]( "抓狂!先修哪个漏洞?(阅后即焚)")
微步利用VPT引擎将威胁情报与漏洞信息进行关联、研判,再与企业资产相结合,从而确定漏洞修复优先级
按照CVSS v4.0标准来看,微步漏洞情报已经包含了基础、威胁与环境等三大指标。实际上,微步漏洞情报服务除了帮助企业确定漏洞修复优先级之外,还提供漏洞复现过程、PoC、漏洞复现流量包等报告与工具,让有更高阶需求的企业用户能够更深入地了解漏洞的完整细节,转化成检测规则等安全能力,让企业能够实现更高效的漏洞运营。
微步推出的漏洞情报服务,已经在诸多头部企业中得以应用,经实践证明,融合了威胁情报的漏洞情报不仅更具科学性,让企业能够快速、高效地将注意力聚焦在真正有风险的漏洞上;同时也更具实战价值,结合持续更新的漏洞在野利用等信息,企业能够更有针对性地调整安全策略,辅助安全决策。
戳“阅读全文”,体验微步漏洞情报
↙↙↙
原文始发于微信公众号(微步在线):抓狂!先修哪个漏洞?(阅后即焚)
评论