隨著企業(yè)對網(wǎng)絡(luò)安全風險意識的增強、合規(guī)性要求的提高和網(wǎng)絡(luò)安全事件的頻發(fā)，漏洞管理越來越被更多的企業(yè)所重視，成為了信息安全項目的必備基石。近幾年，我們見證了網(wǎng)絡(luò)安全威脅的瞬息萬變，網(wǎng)絡(luò)攻擊形式更自動化、批量化、復雜化，另一方面，信息化的浪潮下，應用新技術(shù)、數(shù)字化業(yè)務、平臺合成的企業(yè)系統(tǒng)也暴露出更多的安全漏洞。

[[321379]]

一、什么是安全漏洞?

我們有一些耳熟能詳?shù)陌踩┒疵?，比如SQL注入、跨站腳本、緩沖區(qū)溢出等，企業(yè)的資產(chǎn)(需要保護的、有價值的資源)也面臨層出不窮的網(wǎng)絡(luò)攻擊的威脅。那什么是安全漏洞呢?簡而言之就是信息系統(tǒng)中的弱點，這個弱點或者脆弱性可以是缺乏防控措施或者防控措施不足造成的，比如組織沒有應用某一個組件的補丁而造成的脆弱性暴露。弱點可以被蓄意的攻擊者利用對組織造成危害和損失，也可以因為無意識的如管理人員疏忽或者違反合規(guī)性要求等給組織帶來損失。

二、為什么要做漏洞管理?

漏洞的暴露和利用可能會給企業(yè)帶來的不僅僅是巨大的經(jīng)濟損失，還有可能損害客戶利益、企業(yè)名譽，甚至違反相關(guān)的法律法規(guī)。最近爆出的數(shù)據(jù)泄露事件中，雅詩蘭黛官方服務器遭黑客入侵，導致未加密的云數(shù)據(jù)庫發(fā)生數(shù)據(jù)泄露，其中包括逾4億條用戶敏感數(shù)據(jù)。2017年WannaCry勒索病毒感染了100多個國家超過10萬臺電腦并造成了高達80億美元的損失，這個蠕蟲式病毒正是利用了一個已知漏洞(微軟已經(jīng)公布的補丁而大多數(shù)系統(tǒng)沒有更新補丁的)。2019年1月，拼多多用戶可領(lǐng)取100元無門檻券，大批用戶大量‘薅羊毛’，金額達數(shù)千萬元，而這個事件是由黑灰產(chǎn)團伙利用過期優(yōu)惠券漏洞導致的。有效的漏洞管理可以及早的發(fā)現(xiàn)漏洞并遏制漏洞利用事件的發(fā)生，相對于企業(yè)的盈利部門，雖然漏洞管理是一項支出，而忽略漏洞管理可能意味著更高的經(jīng)濟成本。

另外，等保2.0的安全運維管理中新增了(相對等保1.0)配置管理、漏洞和風險管理控制點，要求企業(yè)重視漏洞和補丁管理安全，做好配置管理工作，及時更新基本配置信息庫，定期開展安全測評工作，提升企業(yè)積極主動防護的能力。很多企業(yè)也有要求對關(guān)鍵等級高的資產(chǎn)在上線前和重要變更時進行滲透測試，并每季度進行漏洞掃描，以發(fā)現(xiàn)新暴露的漏洞。另外，小程序、APP中對個人信息的收集也可能違反《中華人民共和國網(wǎng)絡(luò)安全法》、《APP違法違規(guī)收集使用個人信息行為認定方法(征求意見稿)》、《個人信息安全規(guī)范》、《消費者權(quán)益保護法》等法律法規(guī)中的相關(guān)規(guī)定。

許多行業(yè)的法律法規(guī)都規(guī)定了對漏洞管理的要求，相關(guān)要求也逐漸擴展到各行各業(yè)。支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)涉及所有處理支付卡業(yè)務的實體，并要求涉及的實體采用行業(yè)公認的測試方法，至少每年進行一次滲透測試，并且在環(huán)境做出重大變更后必須再次測試。對于最近火熱的醫(yī)療行業(yè)，2018年出臺的《互聯(lián)網(wǎng)診療管理辦法(試行)》、《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》、《互聯(lián)網(wǎng)醫(yī)院基本標準(試行)》均要求互聯(lián)網(wǎng)診療相關(guān)系統(tǒng)實施三級網(wǎng)絡(luò)安全等級保護，而在三級網(wǎng)絡(luò)安全等級保護中規(guī)定了定期開展安全測評、形成安全測評報告并采取修復措施的要求。2019年6月發(fā)布的《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》則將控制的范圍擴大到“網(wǎng)絡(luò)產(chǎn)品、服務提供者和網(wǎng)絡(luò)運營者”，并要求相關(guān)組織或個人在獲知網(wǎng)絡(luò)產(chǎn)品或系統(tǒng)漏洞后，立即驗證漏洞，“對相關(guān)網(wǎng)絡(luò)產(chǎn)品應當在 90 日內(nèi)采取漏洞修補或防范措施，對相關(guān)網(wǎng)絡(luò)服務或系統(tǒng)應當在 10日內(nèi)采取漏洞修補或防范措施”。

漏洞管理也可以從技術(shù)角度了解系統(tǒng)的信息收集與使用的情況，拿APP收集個人信息的行為來說，《中華人民共和國網(wǎng)絡(luò)安全法》、《消費者權(quán)益保護法》、《APP違法違規(guī)收集使用個人信息行為認定方法(征求意見稿)》中都規(guī)定了網(wǎng)絡(luò)運營者不能未經(jīng)用戶同意收集使用個人信息。在實際的場景中，App安裝后可能未經(jīng)用戶同意收集MAC地址、IP地址、用戶地址位置等個人信息，或者在用戶明確表示不允許收集的情況下，仍然收集這些信息。有些信息收集構(gòu)成了《中華人民共和國網(wǎng)絡(luò)安全法》中禁止的“收集與其提供的服務無關(guān)的個人信息”的行為。例如，一些APP可能強制索要用戶的系統(tǒng)權(quán)限，如果用戶不同意則拒絕提供相關(guān)業(yè)務服務(如美食類APP要求用戶提供訪問通訊錄的權(quán)限、訪問系統(tǒng)日志的權(quán)限等)?；蛘逜PP后臺自動收集用戶設(shè)配IMEI號、IMSI號地址位置等過于頻繁，超過了業(yè)務實際需要。更多的場景和實例不再贅述，對敏感信息相關(guān)漏洞的測試和管理可以有效防止信息泄露并了解敏感數(shù)據(jù)收集、使用的情況，從而幫助APP開發(fā)者和管理者了解APP的合規(guī)性風險。

三、怎么做漏洞管理?

我們認為，一個漏洞管理框架應該包括治理、發(fā)現(xiàn)、評估、處理、監(jiān)控和報告五個部分。有效的漏洞管理可以幫助組織定期評估漏洞，根據(jù)成本效益原則修復風險嚴重、高、和中等的漏洞，并接受修復成本比較高的風險較小的漏洞。

1. 治理/準備

良好的治理過程是是有效的漏洞管理的基礎(chǔ)，如果不能明確數(shù)據(jù)和處理數(shù)據(jù)的信息系統(tǒng)的的分類或者對業(yè)務的影響程度，也就無法確定他們需要保護的程度、漏洞的等級和修復的優(yōu)先級。治理的內(nèi)容包括確認組織的信息系統(tǒng)表，需要保護的信息系統(tǒng)，對數(shù)據(jù)的分類，和一些諸如服務水平協(xié)議，角色和職責，項目范圍等文檔的撰寫。

2. 漏洞發(fā)現(xiàn)

漏洞發(fā)現(xiàn)的方式主要包括漏洞掃描、滲透測試等，使用Nessus等常見的漏洞掃描器可以快速識別系統(tǒng)、網(wǎng)絡(luò)和應用程序中的漏洞，例如版本漏洞和不安全的配置等，然而常規(guī)的漏洞掃描器可能存在一定的誤報率和難以發(fā)現(xiàn)如邏輯繞過之類的漏洞。滲透測試技術(shù)則可以彌補這一缺陷。

滲透測試是通過模擬黑客攻擊的過程，發(fā)現(xiàn)資產(chǎn)存在的漏洞。漏洞掃描只是探測漏洞是否存在，通常不會對系統(tǒng)發(fā)起主動的攻擊性行為，而滲透測試會通過突破安全控制措施，入侵目標系統(tǒng)來驗證漏洞，達到評估系統(tǒng)安全性的目的。

滲透測試通常包含規(guī)劃、信息收集和發(fā)現(xiàn)、漏洞掃描、漏洞利用和報告這幾個階段。規(guī)劃階段需要確認測試的域名、權(quán)限、時間窗口和掃描方式等問題;信息收集和發(fā)現(xiàn)結(jié)合人工和自動化工具收集目標環(huán)境的相關(guān)信息，信息收集的步驟通常會對漏洞利用起到很大的幫助;漏洞掃描使用自動的掃描工具勘測系統(tǒng)漏洞;而漏洞利用階段則根據(jù)前面步驟收集的信息、發(fā)現(xiàn)的漏洞等，嘗試攻破系統(tǒng)的安全防線;最終，對發(fā)現(xiàn)的漏洞和對應的修復方式通常以報告的形式呈現(xiàn)。漏洞利用測試的方面主要有：配置管理測試、認證測試、會話管理測試、權(quán)限和業(yè)務邏輯測試、數(shù)據(jù)驗證測試、共享主機測試等。具體的測試細節(jié)這里不展開討論。

滲透測試根據(jù)向攻擊者/測試者提供信息的程度可以劃分為白盒滲透測試、灰盒滲透測試、黑盒滲透測試，其中白盒滲透向攻擊者提供目標系統(tǒng)的詳細信息，因此可以減少信息勘測的步驟，縮短測試和攻擊時間，并增加了發(fā)現(xiàn)更多漏洞的可能性。黑盒測試在攻擊前不向測試人員提供任何消息，也更接近真實的攻擊場景。而灰盒測試測試也被稱為部分知識測試，是前兩種測試的折中，平衡了兩者的優(yōu)缺點，也是最常用的滲透測試方法。

很多指南提供了可以參考的行業(yè)標準滲透測試方法，包括OWASP測試指南、OSSTMM、NIST800-115、FedRAMP滲透測試指南、PCI DSS關(guān)于滲透測試的信息補充等。OWASP TOP 10 2017也列出了10項最嚴重的應用程序安全風險，包括：注入、失效的身份驗證、敏感數(shù)據(jù)泄露、XML外部實體(XXE)、失效的訪問控制、安全配置錯誤、跨站腳本攻擊(XSS)、不安全的反序列化、使用含有已知漏洞的組件、不足的日志記錄和監(jiān)控。

3. 評估

根據(jù)漏洞在當前環(huán)境下的威脅程度、可復現(xiàn)性、影響用戶程度等評估漏洞和風險，并依此對漏洞評級、排序并確定修復的優(yōu)先級。對漏洞的定性評估可以將漏洞分為：超高危、高危、中危、低危，具體的評判標準可以參考CVE和CVSS。已發(fā)現(xiàn)的漏洞通常使用CVE(通用漏洞和披露)來標識，由MITRE維護，可以在www.cve.mitre.org查看漏洞有關(guān)的詳情、可以造成的危害等，如前面提到的WannaCry利用的Windows系統(tǒng)的漏洞被標識為：CVE-2017-0143;而CVSS(通用漏洞評分系統(tǒng))提供一個描述安全漏洞嚴重性的標準化評分系統(tǒng)。

4. 處理

從處理風險的角度來看，風險的響應通常包括：風險緩解、風險轉(zhuǎn)移、風險接受、風險威懾、風險規(guī)避、風險拒絕。而一般處理漏洞的方式主要有風險緩解和風險接受。企業(yè)可以選擇修復漏洞以緩解此漏洞敞露的風險，例如SQL注入漏洞，常見的修復措施有參數(shù)化、對用戶輸入進行驗證、使用存儲過程等;對于跨站腳本攻擊(XSS)而言，驗證用戶輸入的有效性是一個很好的措施。(詳細的修復方法可以參考OWASP)如果因為修復漏洞的成本大于風險可能帶來的損失，或其他綜合因素考慮，企業(yè)也可以選擇接受風險。接受風險還意味著管理層已經(jīng)同意接受風險發(fā)生可能造成的結(jié)果和損失。

除了對資產(chǎn)漏洞的修復措施外，還可以建立對系統(tǒng)的補償性控制。例如使用防火墻設(shè)置規(guī)則來過濾流量，Web應用防火墻，簡稱 WAF，擁有部署簡易、防護及時等優(yōu)點，主要用于防御SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權(quán)核心資源訪問等OWASP常見攻擊，同時大多數(shù)防火墻也提供了日志記錄，查詢的功能，能夠滿足運維，安全方面的管理需求。更加智能、高效的方式是建立企業(yè)的安全運營中心(SOC)進行日志收集、監(jiān)控分析、識別異常行為并產(chǎn)生預警等，從而實現(xiàn)持續(xù)的安全運營。更加智能化的安全管理方式是建立SOC(安全運營中心)，SOC可以彌補傳統(tǒng)信息安全的不足，它以數(shù)據(jù)為核心，通過日志收集、威脅建模、指標設(shè)計、告警分析、安全事件用例知識庫和威脅情報態(tài)勢感知等功能模塊，真正實現(xiàn)數(shù)據(jù)驅(qū)動安全，不僅能實現(xiàn)攻擊的維護和實時監(jiān)控，還能通過威脅情報和用戶行為分析等預測威脅，并在安全事件發(fā)生后系統(tǒng)地追蹤溯源。

5. 監(jiān)控和報告

在實際漏洞管理的過程中，企業(yè)很難一次修復所有的漏洞，通常都會涉及驗證、再次驗證直到漏洞被修復的過程，甚至有些漏洞難以被完全修復，因此需要對整個過程的實時監(jiān)控來提高管理效率。項目管理人員也需要向高級管理層匯報漏洞管理項目的狀態(tài)，包括對服務水平協(xié)議規(guī)定的實現(xiàn)和關(guān)鍵的業(yè)績指標，如：漏洞發(fā)現(xiàn)率、漏洞修復率、漏洞修復時間等。另外，第三方的的安全審計、滲透測試、安全評估等也能更獨立的評估企業(yè)信息系統(tǒng)的安全性，提高管理的效率和效果。

更高效的管理方案是建立一個集中性管理平臺-漏洞管理平臺，它可以提供一個時事、高效的監(jiān)控、管理和報告的方式，通過集成漏洞掃描(保持更新最新漏洞)、漏洞自動分類與分級、漏洞狀態(tài)管理、漏洞和修復方案描述、報告生成和下載、漏洞管理儀表盤等功能，實現(xiàn)對漏洞全生命周期的有效管理。

漏洞管理是一個持續(xù)的過程，成功的漏洞管理過程也需要與組織的業(yè)務風險管理緊密聯(lián)系，定期審核漏洞管理過程是否與組織的業(yè)務和風險管理目標相一致，并確保企業(yè)網(wǎng)絡(luò)安全相關(guān)的人員及時了解新的安全威脅和趨勢也是漏洞管理過程中不可忽略的部分。