隨著企業(yè)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)的增強(qiáng)、合規(guī)性要求的提高和網(wǎng)絡(luò)安全事件的頻發(fā)，漏洞管理越來越被更多的企業(yè)所重視，成為了信息安全項(xiàng)目的必備基石。近幾年，我們見證了網(wǎng)絡(luò)安全威脅的瞬息萬變，網(wǎng)絡(luò)攻擊形式更自動(dòng)化、批量化、復(fù)雜化，另一方面，信息化的浪潮下，應(yīng)用新技術(shù)、數(shù)字化業(yè)務(wù)、平臺(tái)合成的企業(yè)系統(tǒng)也暴露出更多的安全漏洞。

[[321379]]

一、什么是安全漏洞?

我們有一些耳熟能詳?shù)陌踩┒疵郑热鏢QL注入、跨站腳本、緩沖區(qū)溢出等，企業(yè)的資產(chǎn)(需要保護(hù)的、有價(jià)值的資源)也面臨層出不窮的網(wǎng)絡(luò)攻擊的威脅。那什么是安全漏洞呢?簡(jiǎn)而言之就是信息系統(tǒng)中的弱點(diǎn)，這個(gè)弱點(diǎn)或者脆弱性可以是缺乏防控措施或者防控措施不足造成的，比如組織沒有應(yīng)用某一個(gè)組件的補(bǔ)丁而造成的脆弱性暴露。弱點(diǎn)可以被蓄意的攻擊者利用對(duì)組織造成危害和損失，也可以因?yàn)闊o意識(shí)的如管理人員疏忽或者違反合規(guī)性要求等給組織帶來損失。

二、為什么要做漏洞管理?

漏洞的暴露和利用可能會(huì)給企業(yè)帶來的不僅僅是巨大的經(jīng)濟(jì)損失，還有可能損害客戶利益、企業(yè)名譽(yù)，甚至違反相關(guān)的法律法規(guī)。最近爆出的數(shù)據(jù)泄露事件中，雅詩蘭黛官方服務(wù)器遭黑客入侵，導(dǎo)致未加密的云數(shù)據(jù)庫發(fā)生數(shù)據(jù)泄露，其中包括逾4億條用戶敏感數(shù)據(jù)。2017年WannaCry勒索病毒感染了100多個(gè)國(guó)家超過10萬臺(tái)電腦并造成了高達(dá)80億美元的損失，這個(gè)蠕蟲式病毒正是利用了一個(gè)已知漏洞(微軟已經(jīng)公布的補(bǔ)丁而大多數(shù)系統(tǒng)沒有更新補(bǔ)丁的)。2019年1月，拼多多用戶可領(lǐng)取100元無門檻券，大批用戶大量‘薅羊毛’，金額達(dá)數(shù)千萬元，而這個(gè)事件是由黑灰產(chǎn)團(tuán)伙利用過期優(yōu)惠券漏洞導(dǎo)致的。有效的漏洞管理可以及早的發(fā)現(xiàn)漏洞并遏制漏洞利用事件的發(fā)生，相對(duì)于企業(yè)的盈利部門，雖然漏洞管理是一項(xiàng)支出，而忽略漏洞管理可能意味著更高的經(jīng)濟(jì)成本。

另外，等保2.0的安全運(yùn)維管理中新增了(相對(duì)等保1.0)配置管理、漏洞和風(fēng)險(xiǎn)管理控制點(diǎn)，要求企業(yè)重視漏洞和補(bǔ)丁管理安全，做好配置管理工作，及時(shí)更新基本配置信息庫，定期開展安全測(cè)評(píng)工作，提升企業(yè)積極主動(dòng)防護(hù)的能力。很多企業(yè)也有要求對(duì)關(guān)鍵等級(jí)高的資產(chǎn)在上線前和重要變更時(shí)進(jìn)行滲透測(cè)試，并每季度進(jìn)行漏洞掃描，以發(fā)現(xiàn)新暴露的漏洞。另外，小程序、APP中對(duì)個(gè)人信息的收集也可能違反《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法(征求意見稿)》、《個(gè)人信息安全規(guī)范》、《消費(fèi)者權(quán)益保護(hù)法》等法律法規(guī)中的相關(guān)規(guī)定。

許多行業(yè)的法律法規(guī)都規(guī)定了對(duì)漏洞管理的要求，相關(guān)要求也逐漸擴(kuò)展到各行各業(yè)。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)涉及所有處理支付卡業(yè)務(wù)的實(shí)體，并要求涉及的實(shí)體采用行業(yè)公認(rèn)的測(cè)試方法，至少每年進(jìn)行一次滲透測(cè)試，并且在環(huán)境做出重大變更后必須再次測(cè)試。對(duì)于最近火熱的醫(yī)療行業(yè)，2018年出臺(tái)的《互聯(lián)網(wǎng)診療管理辦法(試行)》、《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》、《互聯(lián)網(wǎng)醫(yī)院基本標(biāo)準(zhǔn)(試行)》均要求互聯(lián)網(wǎng)診療相關(guān)系統(tǒng)實(shí)施三級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)，而在三級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)中規(guī)定了定期開展安全測(cè)評(píng)、形成安全測(cè)評(píng)報(bào)告并采取修復(fù)措施的要求。2019年6月發(fā)布的《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》則將控制的范圍擴(kuò)大到“網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者”，并要求相關(guān)組織或個(gè)人在獲知網(wǎng)絡(luò)產(chǎn)品或系統(tǒng)漏洞后，立即驗(yàn)證漏洞，“對(duì)相關(guān)網(wǎng)絡(luò)產(chǎn)品應(yīng)當(dāng)在 90 日內(nèi)采取漏洞修補(bǔ)或防范措施，對(duì)相關(guān)網(wǎng)絡(luò)服務(wù)或系統(tǒng)應(yīng)當(dāng)在 10日內(nèi)采取漏洞修補(bǔ)或防范措施”。

漏洞管理也可以從技術(shù)角度了解系統(tǒng)的信息收集與使用的情況，拿APP收集個(gè)人信息的行為來說，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《消費(fèi)者權(quán)益保護(hù)法》、《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法(征求意見稿)》中都規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者不能未經(jīng)用戶同意收集使用個(gè)人信息。在實(shí)際的場(chǎng)景中，App安裝后可能未經(jīng)用戶同意收集MAC地址、IP地址、用戶地址位置等個(gè)人信息，或者在用戶明確表示不允許收集的情況下，仍然收集這些信息。有些信息收集構(gòu)成了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中禁止的“收集與其提供的服務(wù)無關(guān)的個(gè)人信息”的行為。例如，一些APP可能強(qiáng)制索要用戶的系統(tǒng)權(quán)限，如果用戶不同意則拒絕提供相關(guān)業(yè)務(wù)服務(wù)(如美食類APP要求用戶提供訪問通訊錄的權(quán)限、訪問系統(tǒng)日志的權(quán)限等)。或者APP后臺(tái)自動(dòng)收集用戶設(shè)配IMEI號(hào)、IMSI號(hào)地址位置等過于頻繁，超過了業(yè)務(wù)實(shí)際需要。更多的場(chǎng)景和實(shí)例不再贅述，對(duì)敏感信息相關(guān)漏洞的測(cè)試和管理可以有效防止信息泄露并了解敏感數(shù)據(jù)收集、使用的情況，從而幫助APP開發(fā)者和管理者了解APP的合規(guī)性風(fēng)險(xiǎn)。

三、怎么做漏洞管理?

我們認(rèn)為，一個(gè)漏洞管理框架應(yīng)該包括治理、發(fā)現(xiàn)、評(píng)估、處理、監(jiān)控和報(bào)告五個(gè)部分。有效的漏洞管理可以幫助組織定期評(píng)估漏洞，根據(jù)成本效益原則修復(fù)風(fēng)險(xiǎn)嚴(yán)重、高、和中等的漏洞，并接受修復(fù)成本比較高的風(fēng)險(xiǎn)較小的漏洞。

1. 治理/準(zhǔn)備

良好的治理過程是是有效的漏洞管理的基礎(chǔ)，如果不能明確數(shù)據(jù)和處理數(shù)據(jù)的信息系統(tǒng)的的分類或者對(duì)業(yè)務(wù)的影響程度，也就無法確定他們需要保護(hù)的程度、漏洞的等級(jí)和修復(fù)的優(yōu)先級(jí)。治理的內(nèi)容包括確認(rèn)組織的信息系統(tǒng)表，需要保護(hù)的信息系統(tǒng)，對(duì)數(shù)據(jù)的分類，和一些諸如服務(wù)水平協(xié)議，角色和職責(zé)，項(xiàng)目范圍等文檔的撰寫。

2. 漏洞發(fā)現(xiàn)

漏洞發(fā)現(xiàn)的方式主要包括漏洞掃描、滲透測(cè)試等，使用Nessus等常見的漏洞掃描器可以快速識(shí)別系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序中的漏洞，例如版本漏洞和不安全的配置等，然而常規(guī)的漏洞掃描器可能存在一定的誤報(bào)率和難以發(fā)現(xiàn)如邏輯繞過之類的漏洞。滲透測(cè)試技術(shù)則可以彌補(bǔ)這一缺陷。

滲透測(cè)試是通過模擬黑客攻擊的過程，發(fā)現(xiàn)資產(chǎn)存在的漏洞。漏洞掃描只是探測(cè)漏洞是否存在，通常不會(huì)對(duì)系統(tǒng)發(fā)起主動(dòng)的攻擊性行為，而滲透測(cè)試會(huì)通過突破安全控制措施，入侵目標(biāo)系統(tǒng)來驗(yàn)證漏洞，達(dá)到評(píng)估系統(tǒng)安全性的目的。

滲透測(cè)試通常包含規(guī)劃、信息收集和發(fā)現(xiàn)、漏洞掃描、漏洞利用和報(bào)告這幾個(gè)階段。規(guī)劃階段需要確認(rèn)測(cè)試的域名、權(quán)限、時(shí)間窗口和掃描方式等問題;信息收集和發(fā)現(xiàn)結(jié)合人工和自動(dòng)化工具收集目標(biāo)環(huán)境的相關(guān)信息，信息收集的步驟通常會(huì)對(duì)漏洞利用起到很大的幫助;漏洞掃描使用自動(dòng)的掃描工具勘測(cè)系統(tǒng)漏洞;而漏洞利用階段則根據(jù)前面步驟收集的信息、發(fā)現(xiàn)的漏洞等，嘗試攻破系統(tǒng)的安全防線;最終，對(duì)發(fā)現(xiàn)的漏洞和對(duì)應(yīng)的修復(fù)方式通常以報(bào)告的形式呈現(xiàn)。漏洞利用測(cè)試的方面主要有：配置管理測(cè)試、認(rèn)證測(cè)試、會(huì)話管理測(cè)試、權(quán)限和業(yè)務(wù)邏輯測(cè)試、數(shù)據(jù)驗(yàn)證測(cè)試、共享主機(jī)測(cè)試等。具體的測(cè)試細(xì)節(jié)這里不展開討論。

滲透測(cè)試根據(jù)向攻擊者/測(cè)試者提供信息的程度可以劃分為白盒滲透測(cè)試、灰盒滲透測(cè)試、黑盒滲透測(cè)試，其中白盒滲透向攻擊者提供目標(biāo)系統(tǒng)的詳細(xì)信息，因此可以減少信息勘測(cè)的步驟，縮短測(cè)試和攻擊時(shí)間，并增加了發(fā)現(xiàn)更多漏洞的可能性。黑盒測(cè)試在攻擊前不向測(cè)試人員提供任何消息，也更接近真實(shí)的攻擊場(chǎng)景。而灰盒測(cè)試測(cè)試也被稱為部分知識(shí)測(cè)試，是前兩種測(cè)試的折中，平衡了兩者的優(yōu)缺點(diǎn)，也是最常用的滲透測(cè)試方法。

很多指南提供了可以參考的行業(yè)標(biāo)準(zhǔn)滲透測(cè)試方法，包括OWASP測(cè)試指南、OSSTMM、NIST800-115、FedRAMP滲透測(cè)試指南、PCI DSS關(guān)于滲透測(cè)試的信息補(bǔ)充等。OWASP TOP 10 2017也列出了10項(xiàng)最嚴(yán)重的應(yīng)用程序安全風(fēng)險(xiǎn)，包括：注入、失效的身份驗(yàn)證、敏感數(shù)據(jù)泄露、XML外部實(shí)體(XXE)、失效的訪問控制、安全配置錯(cuò)誤、跨站腳本攻擊(XSS)、不安全的反序列化、使用含有已知漏洞的組件、不足的日志記錄和監(jiān)控。

3. 評(píng)估

根據(jù)漏洞在當(dāng)前環(huán)境下的威脅程度、可復(fù)現(xiàn)性、影響用戶程度等評(píng)估漏洞和風(fēng)險(xiǎn)，并依此對(duì)漏洞評(píng)級(jí)、排序并確定修復(fù)的優(yōu)先級(jí)。對(duì)漏洞的定性評(píng)估可以將漏洞分為：超高危、高危、中危、低危，具體的評(píng)判標(biāo)準(zhǔn)可以參考CVE和CVSS。已發(fā)現(xiàn)的漏洞通常使用CVE(通用漏洞和披露)來標(biāo)識(shí)，由MITRE維護(hù)，可以在www.cve.mitre.org查看漏洞有關(guān)的詳情、可以造成的危害等，如前面提到的WannaCry利用的Windows系統(tǒng)的漏洞被標(biāo)識(shí)為：CVE-2017-0143;而CVSS(通用漏洞評(píng)分系統(tǒng))提供一個(gè)描述安全漏洞嚴(yán)重性的標(biāo)準(zhǔn)化評(píng)分系統(tǒng)。

4. 處理

從處理風(fēng)險(xiǎn)的角度來看，風(fēng)險(xiǎn)的響應(yīng)通常包括：風(fēng)險(xiǎn)緩解、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)威懾、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)拒絕。而一般處理漏洞的方式主要有風(fēng)險(xiǎn)緩解和風(fēng)險(xiǎn)接受。企業(yè)可以選擇修復(fù)漏洞以緩解此漏洞敞露的風(fēng)險(xiǎn)，例如SQL注入漏洞，常見的修復(fù)措施有參數(shù)化、對(duì)用戶輸入進(jìn)行驗(yàn)證、使用存儲(chǔ)過程等;對(duì)于跨站腳本攻擊(XSS)而言，驗(yàn)證用戶輸入的有效性是一個(gè)很好的措施。(詳細(xì)的修復(fù)方法可以參考OWASP)如果因?yàn)樾迯?fù)漏洞的成本大于風(fēng)險(xiǎn)可能帶來的損失，或其他綜合因素考慮，企業(yè)也可以選擇接受風(fēng)險(xiǎn)。接受風(fēng)險(xiǎn)還意味著管理層已經(jīng)同意接受風(fēng)險(xiǎn)發(fā)生可能造成的結(jié)果和損失。

除了對(duì)資產(chǎn)漏洞的修復(fù)措施外，還可以建立對(duì)系統(tǒng)的補(bǔ)償性控制。例如使用防火墻設(shè)置規(guī)則來過濾流量，Web應(yīng)用防火墻，簡(jiǎn)稱 WAF，擁有部署簡(jiǎn)易、防護(hù)及時(shí)等優(yōu)點(diǎn)，主要用于防御SQL注入、XSS跨站腳本、常見Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)核心資源訪問等OWASP常見攻擊，同時(shí)大多數(shù)防火墻也提供了日志記錄，查詢的功能，能夠滿足運(yùn)維，安全方面的管理需求。更加智能、高效的方式是建立企業(yè)的安全運(yùn)營(yíng)中心(SOC)進(jìn)行日志收集、監(jiān)控分析、識(shí)別異常行為并產(chǎn)生預(yù)警等，從而實(shí)現(xiàn)持續(xù)的安全運(yùn)營(yíng)。更加智能化的安全管理方式是建立SOC(安全運(yùn)營(yíng)中心)，SOC可以彌補(bǔ)傳統(tǒng)信息安全的不足，它以數(shù)據(jù)為核心，通過日志收集、威脅建模、指標(biāo)設(shè)計(jì)、告警分析、安全事件用例知識(shí)庫和威脅情報(bào)態(tài)勢(shì)感知等功能模塊，真正實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)安全，不僅能實(shí)現(xiàn)攻擊的維護(hù)和實(shí)時(shí)監(jiān)控，還能通過威脅情報(bào)和用戶行為分析等預(yù)測(cè)威脅，并在安全事件發(fā)生后系統(tǒng)地追蹤溯源。

5. 監(jiān)控和報(bào)告

在實(shí)際漏洞管理的過程中，企業(yè)很難一次修復(fù)所有的漏洞，通常都會(huì)涉及驗(yàn)證、再次驗(yàn)證直到漏洞被修復(fù)的過程，甚至有些漏洞難以被完全修復(fù)，因此需要對(duì)整個(gè)過程的實(shí)時(shí)監(jiān)控來提高管理效率。項(xiàng)目管理人員也需要向高級(jí)管理層匯報(bào)漏洞管理項(xiàng)目的狀態(tài)，包括對(duì)服務(wù)水平協(xié)議規(guī)定的實(shí)現(xiàn)和關(guān)鍵的業(yè)績(jī)指標(biāo)，如：漏洞發(fā)現(xiàn)率、漏洞修復(fù)率、漏洞修復(fù)時(shí)間等。另外，第三方的的安全審計(jì)、滲透測(cè)試、安全評(píng)估等也能更獨(dú)立的評(píng)估企業(yè)信息系統(tǒng)的安全性，提高管理的效率和效果。

更高效的管理方案是建立一個(gè)集中性管理平臺(tái)-漏洞管理平臺(tái)，它可以提供一個(gè)時(shí)事、高效的監(jiān)控、管理和報(bào)告的方式，通過集成漏洞掃描(保持更新最新漏洞)、漏洞自動(dòng)分類與分級(jí)、漏洞狀態(tài)管理、漏洞和修復(fù)方案描述、報(bào)告生成和下載、漏洞管理儀表盤等功能，實(shí)現(xiàn)對(duì)漏洞全生命周期的有效管理。

漏洞管理是一個(gè)持續(xù)的過程，成功的漏洞管理過程也需要與組織的業(yè)務(wù)風(fēng)險(xiǎn)管理緊密聯(lián)系，定期審核漏洞管理過程是否與組織的業(yè)務(wù)和風(fēng)險(xiǎn)管理目標(biāo)相一致，并確保企業(yè)網(wǎng)絡(luò)安全相關(guān)的人員及時(shí)了解新的安全威脅和趨勢(shì)也是漏洞管理過程中不可忽略的部分。