在當今數字時代,網絡攻擊不斷演變,漏洞修復已成為企業(yè)安全的重中之重�����。然而,隨著漏洞數量的激增,如何有效處理和優(yōu)先修復漏洞成為了一個挑戰(zhàn)��。根據綠盟科技發(fā)布的《2023年度安全事件觀察報告》顯示,全球共披露了30947個漏洞,每天平均有84.78個CVE被披露,創(chuàng)下歷史新高�����。更令人擔憂的是,超過7000個漏洞具有“PoC代碼”,206個具有可用的武器化利用代碼,115個已被黑客廣泛利用�。
Mandiant在RSAC主題演講中透露,32%的違規(guī)行為是由于漏洞利用導致的,這占據了追蹤到的所有違規(guī)行為中的最高比例。至2024年5月,負責維護NVD漏洞庫的NIST被曝出存在大量漏洞積壓,至少9762個CVE未被分析,僅5月就收到了2000個新的CVE����。面對這種爆發(fā)式增長,安全團隊的漏洞管理亟需調整和優(yōu)化。
漏洞數量近幾年逐年增長
除了公開漏洞數量的逐年增加,發(fā)現漏洞的手段也不斷增多,除了傳統(tǒng)的漏洞掃描還引入紅藍對抗�����、眾測和威脅情報等方法��。CISA的統(tǒng)計稱大概只有不到4%的漏洞被真正利用,大量的漏洞可能就只是一個編號。安全和業(yè)務團隊面對海量資產中的大量漏洞,如何從百萬漏洞中挑選出可利用的漏洞成為了業(yè)界的一個難題���。為了解決這個問題,Gartner于2021年首次提出了漏洞優(yōu)先級技術(Vulnerability
Prioritization
Technology,簡稱VPT)����。在Gartner的評價中,VPT被認為是十大安全項目之一,被廣泛應用于漏洞評估市場指南和安全運營技術成熟度模型,因其重要性備受關注���。
2021年Gartner安全運營成熟度曲線[3]
綠盟科技漏洞優(yōu)先級實踐
高效應對新漏洞爆發(fā)
情報錄入:當新漏洞爆發(fā)時,綠盟VPT支持將相關情報錄入系統(tǒng)中,包括漏洞的詳細描述����、CVE編號����、危害等級以及可能受影響的產品或系統(tǒng)信息等。
動態(tài)更新:VPT會根據新漏洞的嚴重性����、影響范圍、易受攻擊程度和修復方案等因素,動態(tài)更新漏洞的排名,該排名將反映漏洞對企業(yè)系統(tǒng)和數據的風險程度,用戶可以根據分數來確定優(yōu)先處理的漏洞并采取相應的修復措施�。
例如,當新漏洞爆發(fā)且在野利用并且資產暴露在互聯網上但沒有修復方案時,該漏洞優(yōu)先級較高,需要采取臨時防護措施,如白名單訪問。如果新漏洞的POC未公開且資產僅部署在內網,那么該漏洞的優(yōu)先級相對互聯網高危漏洞較低���。平臺支持用戶動態(tài)更新漏洞情報和標簽�。
資產因子優(yōu)化優(yōu)先級
資產位置:VPT將資產在網絡分區(qū)中的位置作為資產因子考慮進去,例如資產在內網或互聯網,這有助于確定資產所在環(huán)境的安全風險和受攻擊的可能性。
資產重要性:VPT會考慮資產的重要性因素,如資產存儲的敏感數據���、關鍵業(yè)務系統(tǒng)等。對于承載關鍵業(yè)務的資產,其相關漏洞可能被視為優(yōu)先級更高,而需要更緊急的修復����。
優(yōu)先級判定:基于區(qū)域和資產重要性的因素,VPT會根據漏洞的嚴重性和受影響資產的關鍵程度來確定優(yōu)先級。
例如,在互聯網上暴露的Struts2命令執(zhí)行漏洞相比內網同一漏洞可能會被視為優(yōu)先級更高,因為它可能面臨來自廣泛的網絡攻擊,內網攻擊則需要攻擊者先獲得邊界權限�����。
根據經驗進行主動調整
漏洞調優(yōu):當某些漏洞被確認為低風險漏洞且未公布POC時,用戶可以采取主動調整的措施����。通過VPT的界面設置,用戶可以修改漏洞的相關因子(如影響范圍、易受攻擊程度等)或直接分配給該漏洞的分數���。
動態(tài)更新:一旦用戶對漏洞的因子或分數進行了調整,VPT會在后續(xù)的計算中動態(tài)考慮這些用戶調整,并根據新的因子和分數重新計算每個漏洞的優(yōu)先級和風險等級����。這樣,系統(tǒng)能夠根據用戶的實際需求和風險評估靈活地調整漏洞的優(yōu)先級����。
重置還原:如果用戶決定還原之前的漏洞設置,VPT支持用戶進行重置操作。用戶可以將漏洞的因子或分數恢復到默認狀態(tài),使VPT重新根據預設標準進行計算和排名。
例如用戶針對某些版本掃描漏洞(未公布POC且部署內網),由于業(yè)務系統(tǒng)重要無法輕易升級則可以調整因子或分數降低優(yōu)先級,后續(xù)系統(tǒng)計算分數時也會考慮用戶的調整���。
內置豐富的場景模板
用戶可依據場景進行模板選擇,內置攻防演練��、監(jiān)管檢查和日常運行等幾大場景,不同場景漏洞類型和因子權重會有所變化,用戶可自定義場景����。
攻防演練場景模板:這個模板適用于進行攻防演練活動���。在這個場景下,VPT會根據攻防演練的目標和規(guī)則,在漏洞類型和因子權重上進行特定的調整�。例如,可能更關注命令執(zhí)行����、注入類漏洞等與攻防演練相關的漏洞,內網的高危漏洞優(yōu)先級高于互聯網中危漏洞。
監(jiān)管檢查場景模板:該模板適用于監(jiān)管機構或組織進行安全合規(guī)性檢查����。在這個場景下,VPT將基于監(jiān)管要求的漏洞分類和權重進行設置,以確保滿足相關監(jiān)管標準。例如,可能更關注個人信息泄露漏洞��、安全配置漏洞等與合規(guī)性要求相關的漏洞�。
日常運行場景模板:這個模板適用于平時的日常漏洞管理和運維工作。在這個場景下,VPT會考慮常見的漏洞類型和因子權重,以幫助用戶優(yōu)化和管理日常運行環(huán)境中的漏洞�。用戶可以通過自定義設置來進一步調整和適應自己的實際需求��。
綠盟科技漏洞優(yōu)先級介紹
綠盟科技作為一家以漏洞掃描起家的信息安全公司,在VPT方面積累了豐富的經驗���。綠盟科技漏洞領域研究團隊在融合CVSS4.0理念的基礎上自定義模型因子,能夠從資產和漏洞兩個維度去評價漏洞的優(yōu)先級,將多種來源的數據與威脅情報、資產重要性��、網絡區(qū)域�、漏洞忽略比等信息相結合,并通過大數據算法進行分析,利用機器學習預測漏洞遭攻擊者利用的可能性���。實實在在幫助企業(yè)對修補工作進行優(yōu)先級分析,了解需要優(yōu)先修復哪些漏洞����。將有限的資源集中在對業(yè)務可能造成重大影響的漏洞處置上,最大程度快速減少業(yè)務風險��。
同時為了滿足不同用戶的風險側重點,提供靈活的優(yōu)先級計算模型,支持各維度因子靈活調整,包括因子的啟用���、禁用�����、因子權重占比等����。通過提供動態(tài)評估優(yōu)先級模型,可靈活配置各維度因子權重,綜合考慮漏洞的可利用性、資產或業(yè)務的關鍵性��、漏洞的嚴重性和現有的補償控制措施等方面,動態(tài)輸出漏洞排定優(yōu)先級評分�����。
綠盟科技漏洞和資產維度的因子
VPT應用效果對比
在引入VPT前,用戶只能從漏洞自身的CVSS分數和不同廠商的最佳實踐去評價漏洞的修復優(yōu)先級,并沒有考慮漏洞的實際利用情況和資產的位置等因素,具體效果如下
:
VPT應用前
引入VPT后,我們可以從風險的視角去看漏洞,考慮漏洞所在系統(tǒng)的重要性和位置,漏洞本身的可利用性等等,讓漏洞不再僅僅是一個CVSS分數高的CVE編號而是互聯網側的漏洞及武器化的漏洞優(yōu)先級更高,具體效果如下:
VPT應用后
通過圖中數據可以看出:
互聯網側的漏洞,武器化或公開POC的優(yōu)先級更高
漏洞的自身分數9.8分,但是因為在內網且沒有任何公開的POC信息,最開始CVSS分數優(yōu)先級為第四名,VPT應用后,該漏洞優(yōu)先級為最后一名
VPT技術可以讓安全和運維團隊聚焦于危害更大的漏洞,最大程度保證業(yè)務安全
VPT效果對比
為了實現漏洞優(yōu)先級技術(VPT)的理想效果,用戶的深度參與至關重要�。用戶需要定義資產因子的輸出,并持續(xù)運營VPT系統(tǒng)。這包括定期更新情報和自定義漏洞分數等�。只有通過用戶的積極參與和持續(xù)運營,才能構建一個更適合企業(yè)需求的VPT模型,并將其有效地應用于實際業(yè)務中。
中企網微博
中企網微信