• 一文透析漏洞優先級技術(VPT)

    首頁 / 業界 / 企業 /  正文
    作者:王宇
    來源:零零信安
    發布于:3個月前
    1.背景介紹
    在2020年9月的“Gartner安全風險與管理峰會”上發布的《2020-2021 Top Security Projects》中,首次正式提出“Risk-Based Vulnerability Management”(基于風險的弱點管理)項目,作為TOP 10的第二項(在2018和2019年叫“符合CARTA方法論的弱點管理項目”,于2020年進行了重新定義)。


    其項目關鍵點描述是:要意識到永不可能100%打補??;和IT運維聯合行動(創造雙贏);利用現有的掃描數據和流程;用VPT(“Vulnerability prioritization technology”漏洞優先級技術)工具來增強弱點評估以更好的確定優先級。

    為了讓描述更準確,對“Vulnerability”進一步做解釋。在信息安全領域,它包含的意義有:漏洞、弱點、脆弱性三個。

    漏洞:在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統;
    弱點:按照Tenable的描述,它包含漏洞,以及除漏洞以外的配置不當、弱口令、信息泄露等等;
    脆弱性:按照GB/T 20984的描述,它包含技術脆弱性和管理脆弱性,也就是包含了上述提到的弱點以及ISMS中包含的管理安全項。

    這里提出以上三點的原因是,在我們研究了大量資料后發現,雖然在Gartner和一些其他的方案中,都會提到“VPT”,但是它有時候代表的是“漏洞優先級技術”,而有時候代表的是“弱點優先級技術”(幸好它們幾乎考慮的都是技術安全,而沒有討論“綜合脆弱性”的問題,讓這個話題稍微簡單了一些)。

    在本文撰寫時,由于國內對該概念以及實現尚處于萌芽階段,所以本文所討論的內容,將限定在“漏洞優先級”。而更廣義的“弱點優先級”會在之后的文章中另做討論。

    2.VPT的行業認知
    Gartner在2020年9月發布了“基于風險的弱點管理”項目之后,又分別于2021年6月25日發布了“Market Guide for Vulnerability Assessment”(漏洞評估市場指南),以及在2021年7月23日發布了“Hype Cycle for Security Operations, 2021”(2021安全運營技術成熟度模型)。

    在《漏洞評估市場指南》中,提出了明確的建議:“利用漏洞優先級技術 (VPT)解決方案實施基于風險的漏洞管理方法,將漏洞結果帶到統一平臺以進行優先級排序和處理(例如修補),提高安全運營效率”。并且對于VPT的技術要求進行了定義,我們在下述技術章節中將進行描述。

    在《安全運營技術成熟度模型》中我們可以看出,VPT技術是一個新興的,并且正處于“最具期待性”的巔峰技術,其距離被市場普遍認可以及產品成熟期,還需要大約2-5年的時間。

    根據調研,該技術的收益評級為:高;市場滲透率為:20%-50%。

    很多官方給出的定義和方法論為了嚴謹性,都寫的過于冗余和復雜。我們用最接地氣的說法就是:

    在安全運營工作中,想修復所有的漏洞幾乎不可能,VPT是采用某些方法和流程,動態的將需要修復的漏洞進行優先級排序和流程優化,提高修復效率,以達到用最少的時間實現最好的效果。

    3.VPT發展的必然性
    WhiteHat Security在其《應用安全狀態縱覽》研究報告中顯示:截止2021年5月,全美公共事業部門平均漏洞修復時間在205天,全部應用中超過66%存在至少一個可利用的開放漏洞;制造業60%以上的應用存在超過365天的漏洞暴露窗口期;金融業約40%的應用具有365天的漏洞暴露窗口期。

    我們有理由相信,國內的整體安全現狀并不會比美國強多少(或者并不會比美國強)。關于漏洞的檢出和處置的話題、技術和產品,在國內已經超過20年了,在美國的時間更長。為什么隨著安全技術越來越成熟,安全產品的品類越來越多,漏洞修復時間卻越來越長,安全運營的工作量反而增多了,效果反而變差了?

    我們認為,主要有以下3個方面的原因:

    1.IT行業的技術和應用更加豐富。在傳統互聯網時代,大部分漏洞集中在操作系統、中間件、業務應用等方面,而隨著移動互聯網、云技術、IOT等的普及和應用,漏洞影響的范圍成倍數的增加了;
    2.漏洞的數量增長迅速。以美國國家漏洞庫(NVD)在2017年到2019年發布的結果來看,3年時間里漏洞從9837個/年增長到16500個/年。我國的國家信息安全漏洞共享平臺(CNVD)顯示,2020年漏洞總數量為20239個;
    3.雖然安全產品和技術種類增加了,但是很多并沒有聚焦到如何直接抑制黑客攻擊。

    我國為了加強在漏洞管理方面的力度,切實有效的直接防范國內外黑客攻擊,在2021年7月12日由工業和信息化部、國家互聯網信息辦公室、公安部三部門聯合發布了《網絡產品安全漏洞管理規定》,并于2021年9月1日施行。這是我國第一次將漏洞管理和法律責罰結合在一起發布的文件,這也體現了網絡安全中進行高效漏洞管理的重要性,標志著我國在漏洞管理方面將進行強力度的整改。

    盡管《規定》中并未對操作細節和技術要求進行定義,但是已經明確說明了主體責任和相關罰則。


    在日益成熟的DevSecOps領域,美國權威開源軟件機構WhiteSource發布了《DevSecOps深度分析報告——安全vs.開發: DevSecOps的決戰》,調查顯示,目前雖然大部分成熟的機構都在DevSecOps領域有所建樹,但是仍然存在以下四個主要問題:


    我們可以看到,在技術關鍵點上,漏洞優先級的確定以及相關流程的完善,是影響DevSecOps成熟的主要問題。以下為報告引用:


    安全左移是DevSecOps的重要部分之一,而安全左移的同時,白盒檢測等相關的安全檢測產品會爆出大量開發階段的安全漏洞,并且無論是白盒還是黑盒安全檢測,檢測的工具越豐富、手段越多,漏洞數量就越豐富。但是如上所述,DevSecOps遇到的第一個問題就是“大多數安全人員和開發人員都感到被迫要在安全性上妥協,以滿足最后交付期限的要求”。產品的Deadline是開發人員無法突破的,所以確定漏洞優先級,并處理最需要解決的問題就勢在必行。

    4.VPT的原理和實現
    通過綜合研究Gartner的各類技術報告和方法論,以及Tenable和WhiteSource等組織的報告、研究結果和解決方案,我們認為在VPT(漏洞優先級)的產品實現上應該做到以下幾點:

    Step1:建立漏洞情報庫并進行動態的漏洞應急響應

    漏洞情報庫并非漏洞庫,目前很多人將其混為一談。漏洞情報庫應該包含至少4方面的內容:
    1.較完善的漏洞庫,其中至少應包含:CVE、CWE、NVD、CNVD、CNNVD等常規漏洞庫;
    2.全國或全球攻擊面測繪數據;
    3.在野EXP庫;
    4.漏洞開源情報。

    對于漏洞情報要進行動態分析,尤其要關注0day和1day開源情報。對在野EXP的持續技術分析、0day和1day開源情報的漏洞分析,以及這些漏洞在全國和全球范圍的影響度和攻擊可能性的分析。

    這些數據將是漏洞優先級排序的重要參數之一。

    在這方面,Tenable給出了很好的示范。

    一方面,他們對于在野漏洞可使用情況進行了統計分析:


    在每年新發現的近20000個漏洞中,即使安全團隊修補了所有高危和嚴重漏洞,也不過只修復了24%的可利用漏洞,而這更意味著,安全團隊有76%的時間消耗在短期內幾乎無風險的漏洞上。更糟糕的是,有44%的短期可被利用的漏洞被評為中低風險,而很可能被忽略掉。

    這里的原因正如卡內基梅隆大學軟件工程研究所所述:CVSS旨在識別漏洞的技術嚴重性。相反,人們似乎想知道的是,漏洞或缺陷給他們帶來的風險,或者是他們面對漏洞應該有如何的反應速度。

    可惜的是,目前幾乎所有國內外漏洞掃描報告、滲透測試報告或漏洞評級都是依據這個方法定義的。

    另一方面,Tenable在通過對20萬億漏洞情報等數據進行人工分析和機器學習后認為安全團隊應該優先關注的漏洞占所有漏洞的3%左右。

    Step2:建立漏洞優先級模型

    3%的漏洞需要優先處理,也就意味著,安全團隊在漏洞優先級排序技術的幫助下,僅需要消耗比以前少的多的時間和精力,就可以使安全達到一個較高的水平,可以將其余時間和精力花費在更緊急和需要完成的工作上。


    Step3:繪制完整的網絡資產攻擊面

    漏洞優先級并不是針對某一部分IT資產,而應該是企業或組織內部所有管轄的IT資產。傳統認知的IT資產,包括服務器、數據庫、中間件、業務應用等,而現在我們應該關注的,除了傳統認知的IT資產以外,還應該包含移動APP、小程序、云端資產、容器、IOT設備等等。

    尤其是要重點關注的還應該包括兩類:一類是影子資產的存在和檢出,因為無論是真實的黑客攻擊,還是在護網等項目中,影子資產往往是最容易被安全團隊忽略和最易受到攻擊的;另一類是安全設備本身,這也是非常容易被忽略的,但是從近幾年護網和1day事件來看,安全設備本身出現問題屢見不鮮,并且如果出現了問題,往往導致整體安全性驟然降低。

    繪制完整的網絡資產攻擊面,是實現VPT場景化解決方案的輔助手段?,F在的技術方向屬于“網絡空間測繪”或“CAASM(網絡資產攻擊面管理 )”。這個能力可以是VPT產品的自有能力,也可以是集成相關產品的能力。

    Step4:適應DevSecOps并具備自動化能力

    VPT另外一個核心能力要求,就是要“利用現有漏洞掃描工具和各種漏洞數據”,這不僅僅是Gartner方法論中提出的要求,而是只有做到了這個要求,才能更有效的將VPT技術整合在DevSecOps流程中。它應該包含至少3方面的能力:

    1.符合DevSecOps和組織的基本流程,并可以在某些程度上依據組織的要求進行定制;
    2.能夠集成各類漏洞數據源,包括:網絡掃描器、Web掃描器、APP掃描器、白盒審計、滲透測試、眾測數據(甚至可以自建企業SRC)等等;
    3.對于組織自開發的業務應用,應該具有漏洞算法和調優的能力(可以考慮使用機器學習),因為企業自開發的業務應用發現的一些漏洞,往往很難匹配到通用漏洞中。

    此外,Gartner對于VPT的要求中提到,其應該具備一定的SOAR能力,也就是說,它應該具備漏洞相關產品的自動化調用和具有一定的流程編排能力。

    5.對于VPT的期待
    VPT(漏洞優先級技術)是一個漏洞管理(VM)領域的微創新技術。目前國際上對于VPT的認可度正突飛猛進,但國內尚處于萌芽階段,作為信息安全從業者,我們有義務對該技術進行推廣和實現。我們是國內最早在該技術方向進行產品研發和方案落地的公司,并于今年7月在“ISC 2021互聯網安全大會”上進行了主題演講和技術分享。希望它們能夠有效的提高安全工作的效率,提升企業安全運營的效果。