您還在苦惱先修哪個漏洞嗎?

  • 人閱讀
  • 2024-05-30 15:07:20

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

在當今數(shù)字時代,網(wǎng)絡(luò)攻擊不斷演變,漏洞修復(fù)已成為企業(yè)安全的重中之重。然而,隨著漏洞數(shù)量的激增,如何有效處理和優(yōu)先修復(fù)漏洞成為了一個挑戰(zhàn)。根據(jù)綠盟科技發(fā)布的《2023年度安全事件觀察報告》顯示,全球共披露了30947個漏洞,每天平均有84.78個CVE被披露,創(chuàng)下歷史新高。更令人擔憂的是,超過7000個漏洞具有“PoC代碼”,206個具有可用的武器化利用代碼,115個已被黑客廣泛利用。

Mandiant在RSAC主題演講中透露,32%的違規(guī)行為是由于漏洞利用導致的,這占據(jù)了追蹤到的所有違規(guī)行為中的最高比例。至2024年5月,負責維護NVD漏洞庫的NIST被曝出存在大量漏洞積壓,至少9762個CVE未被分析,僅5月就收到了2000個新的CVE。面對這種爆發(fā)式增長,安全團隊的漏洞管理亟需調(diào)整和優(yōu)化。

1.png

漏洞數(shù)量近幾年逐年增長

除了公開漏洞數(shù)量的逐年增加,發(fā)現(xiàn)漏洞的手段也不斷增多,除了傳統(tǒng)的漏洞掃描還引入紅藍對抗、眾測和威脅情報等方法。CISA的統(tǒng)計稱大概只有不到4%的漏洞被真正利用,大量的漏洞可能就只是一個編號。安全和業(yè)務(wù)團隊面對海量資產(chǎn)中的大量漏洞,如何從百萬漏洞中挑選出可利用的漏洞成為了業(yè)界的一個難題。為了解決這個問題,Gartner于2021年首次提出了漏洞優(yōu)先級技術(shù)(Vulnerability Prioritization Technology,簡稱VPT)。在Gartner的評價中,VPT被認為是十大安全項目之一,被廣泛應(yīng)用于漏洞評估市場指南和安全運營技術(shù)成熟度模型,因其重要性備受關(guān)注。

2.png

2021年Gartner安全運營成熟度曲線[3]

綠盟科技漏洞優(yōu)先級實踐

高效應(yīng)對新漏洞爆發(fā)

情報錄入:當新漏洞爆發(fā)時,綠盟VPT支持將相關(guān)情報錄入系統(tǒng)中,包括漏洞的詳細描述、CVE編號、危害等級以及可能受影響的產(chǎn)品或系統(tǒng)信息等。

動態(tài)更新:VPT會根據(jù)新漏洞的嚴重性、影響范圍、易受攻擊程度和修復(fù)方案等因素,動態(tài)更新漏洞的排名,該排名將反映漏洞對企業(yè)系統(tǒng)和數(shù)據(jù)的風險程度,用戶可以根據(jù)分數(shù)來確定優(yōu)先處理的漏洞并采取相應(yīng)的修復(fù)措施。

例如,當新漏洞爆發(fā)且在野利用并且資產(chǎn)暴露在互聯(lián)網(wǎng)上但沒有修復(fù)方案時,該漏洞優(yōu)先級較高,需要采取臨時防護措施,如白名單訪問。如果新漏洞的POC未公開且資產(chǎn)僅部署在內(nèi)網(wǎng),那么該漏洞的優(yōu)先級相對互聯(lián)網(wǎng)高危漏洞較低。平臺支持用戶動態(tài)更新漏洞情報和標簽。

資產(chǎn)因子優(yōu)化優(yōu)先級

資產(chǎn)位置:VPT將資產(chǎn)在網(wǎng)絡(luò)分區(qū)中的位置作為資產(chǎn)因子考慮進去,例如資產(chǎn)在內(nèi)網(wǎng)或互聯(lián)網(wǎng),這有助于確定資產(chǎn)所在環(huán)境的安全風險和受攻擊的可能性。

資產(chǎn)重要性:VPT會考慮資產(chǎn)的重要性因素,如資產(chǎn)存儲的敏感數(shù)據(jù)、關(guān)鍵業(yè)務(wù)系統(tǒng)等。對于承載關(guān)鍵業(yè)務(wù)的資產(chǎn),其相關(guān)漏洞可能被視為優(yōu)先級更高,而需要更緊急的修復(fù)。

優(yōu)先級判定:基于區(qū)域和資產(chǎn)重要性的因素,VPT會根據(jù)漏洞的嚴重性和受影響資產(chǎn)的關(guān)鍵程度來確定優(yōu)先級。

例如,在互聯(lián)網(wǎng)上暴露的Struts2命令執(zhí)行漏洞相比內(nèi)網(wǎng)同一漏洞可能會被視為優(yōu)先級更高,因為它可能面臨來自廣泛的網(wǎng)絡(luò)攻擊,內(nèi)網(wǎng)攻擊則需要攻擊者先獲得邊界權(quán)限。

根據(jù)經(jīng)驗進行主動調(diào)整

漏洞調(diào)優(yōu):當某些漏洞被確認為低風險漏洞且未公布POC時,用戶可以采取主動調(diào)整的措施。通過VPT的界面設(shè)置,用戶可以修改漏洞的相關(guān)因子(如影響范圍、易受攻擊程度等)或直接分配給該漏洞的分數(shù)。

動態(tài)更新:一旦用戶對漏洞的因子或分數(shù)進行了調(diào)整,VPT會在后續(xù)的計算中動態(tài)考慮這些用戶調(diào)整,并根據(jù)新的因子和分數(shù)重新計算每個漏洞的優(yōu)先級和風險等級。這樣,系統(tǒng)能夠根據(jù)用戶的實際需求和風險評估靈活地調(diào)整漏洞的優(yōu)先級。

重置還原:如果用戶決定還原之前的漏洞設(shè)置,VPT支持用戶進行重置操作。用戶可以將漏洞的因子或分數(shù)恢復(fù)到默認狀態(tài),使VPT重新根據(jù)預(yù)設(shè)標準進行計算和排名。

例如用戶針對某些版本掃描漏洞(未公布POC且部署內(nèi)網(wǎng)),由于業(yè)務(wù)系統(tǒng)重要無法輕易升級則可以調(diào)整因子或分數(shù)降低優(yōu)先級,后續(xù)系統(tǒng)計算分數(shù)時也會考慮用戶的調(diào)整。

內(nèi)置豐富的場景模板

用戶可依據(jù)場景進行模板選擇,內(nèi)置攻防演練、監(jiān)管檢查和日常運行等幾大場景,不同場景漏洞類型和因子權(quán)重會有所變化,用戶可自定義場景。

攻防演練場景模板:這個模板適用于進行攻防演練活動。在這個場景下,VPT會根據(jù)攻防演練的目標和規(guī)則,在漏洞類型和因子權(quán)重上進行特定的調(diào)整。例如,可能更關(guān)注命令執(zhí)行、注入類漏洞等與攻防演練相關(guān)的漏洞,內(nèi)網(wǎng)的高危漏洞優(yōu)先級高于互聯(lián)網(wǎng)中危漏洞。

監(jiān)管檢查場景模板:該模板適用于監(jiān)管機構(gòu)或組織進行安全合規(guī)性檢查。在這個場景下,VPT將基于監(jiān)管要求的漏洞分類和權(quán)重進行設(shè)置,以確保滿足相關(guān)監(jiān)管標準。例如,可能更關(guān)注個人信息泄露漏洞、安全配置漏洞等與合規(guī)性要求相關(guān)的漏洞。

日常運行場景模板:這個模板適用于平時的日常漏洞管理和運維工作。在這個場景下,VPT會考慮常見的漏洞類型和因子權(quán)重,以幫助用戶優(yōu)化和管理日常運行環(huán)境中的漏洞。用戶可以通過自定義設(shè)置來進一步調(diào)整和適應(yīng)自己的實際需求。

綠盟科技漏洞優(yōu)先級介紹

綠盟科技作為一家以漏洞掃描起家的信息安全公司,在VPT方面積累了豐富的經(jīng)驗。綠盟科技漏洞領(lǐng)域研究團隊在融合CVSS4.0理念的基礎(chǔ)上自定義模型因子,能夠從資產(chǎn)和漏洞兩個維度去評價漏洞的優(yōu)先級,將多種來源的數(shù)據(jù)與威脅情報、資產(chǎn)重要性、網(wǎng)絡(luò)區(qū)域、漏洞忽略比等信息相結(jié)合,并通過大數(shù)據(jù)算法進行分析,利用機器學習預(yù)測漏洞遭攻擊者利用的可能性。實實在在幫助企業(yè)對修補工作進行優(yōu)先級分析,了解需要優(yōu)先修復(fù)哪些漏洞。將有限的資源集中在對業(yè)務(wù)可能造成重大影響的漏洞處置上,最大程度快速減少業(yè)務(wù)風險。

同時為了滿足不同用戶的風險側(cè)重點,提供靈活的優(yōu)先級計算模型,支持各維度因子靈活調(diào)整,包括因子的啟用、禁用、因子權(quán)重占比等。通過提供動態(tài)評估優(yōu)先級模型,可靈活配置各維度因子權(quán)重,綜合考慮漏洞的可利用性、資產(chǎn)或業(yè)務(wù)的關(guān)鍵性、漏洞的嚴重性和現(xiàn)有的補償控制措施等方面,動態(tài)輸出漏洞排定優(yōu)先級評分。

33.png

綠盟科技漏洞和資產(chǎn)維度的因子

VPT應(yīng)用效果對比

在引入VPT前,用戶只能從漏洞自身的CVSS分數(shù)和不同廠商的最佳實踐去評價漏洞的修復(fù)優(yōu)先級,并沒有考慮漏洞的實際利用情況和資產(chǎn)的位置等因素,具體效果如下 :

4.png

VPT應(yīng)用前

引入VPT后,我們可以從風險的視角去看漏洞,考慮漏洞所在系統(tǒng)的重要性和位置,漏洞本身的可利用性等等,讓漏洞不再僅僅是一個CVSS分數(shù)高的CVE編號而是互聯(lián)網(wǎng)側(cè)的漏洞及武器化的漏洞優(yōu)先級更高,具體效果如下:

5.png

VPT應(yīng)用后

通過圖中數(shù)據(jù)可以看出:

互聯(lián)網(wǎng)側(cè)的漏洞,武器化或公開POC的優(yōu)先級更高

漏洞的自身分數(shù)9.8分,但是因為在內(nèi)網(wǎng)且沒有任何公開的POC信息,最開始CVSS分數(shù)優(yōu)先級為第四名,VPT應(yīng)用后,該漏洞優(yōu)先級為最后一名

VPT技術(shù)可以讓安全和運維團隊聚焦于危害更大的漏洞,最大程度保證業(yè)務(wù)安全

6.png

VPT效果對比

為了實現(xiàn)漏洞優(yōu)先級技術(shù)(VPT)的理想效果,用戶的深度參與至關(guān)重要。用戶需要定義資產(chǎn)因子的輸出,并持續(xù)運營VPT系統(tǒng)。這包括定期更新情報和自定義漏洞分數(shù)等。只有通過用戶的積極參與和持續(xù)運營,才能構(gòu)建一個更適合企業(yè)需求的VPT模型,并將其有效地應(yīng)用于實際業(yè)務(wù)中。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )