“ 在大型网络安全攻防活动前夕,互联网上又出现不少漏洞治理相关文章,部分微信群也纷纷进行热议。关于漏洞的治理,仍旧是网安行业经久不衰的话题。”
01
—
调研背景
漏洞治理的第一环便是 - - 漏洞发现。漏洞发现的途径较多,主要以漏洞情报、漏洞扫描、安全测试、红蓝对抗、安全设备日志与告警分析等方式展开。然而,令人头疼的要数漏洞情报产生的漏洞,每天会有大量的漏洞情报,但并不是所有的漏洞甚至高危漏洞都应该在企业内部进行处置。
安全人员也往往疲于奔命在漏洞监测、判断、推修、验证等工作上,由于实际水平的差距,做得好的企业并不多。为了拉平在漏洞情报方面处理信息的能力,故发起此次调研。
【致谢参与】
感谢参与者的无私分享,才会有这份简单、真实的调研报告。
【 核心关注】
本次调研核心关注:
- 根据互联网上的漏洞情报,各行各业会关注并修复哪些漏洞?
- 判断这些漏洞是否必须修复,有哪些依据可供参考?
【计划输出】
- “漏洞情报产生漏洞的处置依据”
- “漏洞情报方面的必修漏洞清单”
02
—
基础信息
本次调研活动共发起2次,第一次是在金融业企业安全建设实践微信群(05-13),另一次是通过个人的微信公众号“我的安全视界观”(05-16)向关注者推送,截止时间均在5月的最后一天,共收到36份答卷。
【统计方法】
针对多选题,选项百分比 = 该选项被选择次数÷有效答卷份数,每道多选题的各选项百分比之和可能超过百分之一百。
【地理位置】
参与调研的“分享者”主要还是集中在北京、广东和上海,虽然总人数不多,但具备一定的代表性,符合网安行业的热度分布,也进一步说明该报告的真实性。
【所在行业】
从参与调研的行业来看,金融最多。在输出下图时,为了偷懒直接去掉填写基本无意义的内容,比如信息安全行业、IT…;也没有对相同行业不同描述进行合并,比如银行和银行业…;故从数量上来说会比总数少且不是那么严谨。
03
—
漏洞情报来源
在提供的4个选项中,通过国内安全媒介获取漏洞情报的占比高达93.75%。也就是说,100个从业人员中就会有93人通过关注安全媒介进行漏洞情报搜集。(这似乎与人们常说的漏洞情报、是否启动应急看朋友圈有所出入?)
在其他选项中,软件官方网站、上级通知、国外安全网站、公众号等也纷纷被提及。
04
—
情报获取方式
大多数的调研者主要通过乙方的服务推送获取情报,这部分可能包括:安全公司的公众号、邮件免费订阅等服务。
05
—
关注漏洞类型
毫无疑问,最吸引人关注的是RCE。在预置的14类漏洞中,高达11类占比在50%及其以上,笔者心里不禁窃喜,与大家的意见还是比较一致的。也有分享者提出应该添加移动类漏洞、系统层提权漏洞、其他办公软件的高危漏洞。(确实,此次列举的漏洞比较局限于web类)
06
—
内部推修依据
受影响的资产属性,结合攻防角度仅提出了三个选项供选择:
- 漏洞利用难易程度:有无公开的poc、exp,是否需要登录
- 漏洞影响范围:受漏洞影响资产数量达到一定程度(原意应该是漏洞利用后造成的直接危害,属于笔误)
- 受漏洞影响的资产属性:资产所在网络位置(公网或内网)、资产重要程度(重要系统或一般系统)
07
—
公司内部历史已处置漏洞
从词云不难看出:时间越近,CVE漏洞热度越大;频繁爆出RCE的框架weblogic、RDP服务也被多次提及;从漏洞类型来看,RCE、反序列化依旧上榜;从漏洞编号能看到CVE-2019-0708远程桌面服务远程命令执行漏洞、CVE-2020-0796 SMB3协议缓冲区溢出导致远程命令执行漏洞。(在编写报告时,正好看到CVE-2020-0796的POC放出来,内部排查及验证时便有了武器)。
08
—
关于漏洞治理,还想沟通的话题
大约收到近50个提问,有重复的话题,也有相互包含的情况。笔者梳理最通用和最值得思考的Top10进行讨论:
Q:如何尽早的发现漏洞?
A:漏洞的来源比较多,就漏洞情报而言,订阅安全厂商或安全媒介的情报推送、自研爬虫监控漏洞情报源均是不错的方法。
Q:如何实时获取漏洞活跃利用的情报?
A:持续跟进重大漏洞的POC/EXP公开情况,以及通过以上途径依旧有效。
Q:漏洞发现简单过处置,如何更好的做到闭环治理?
A:漏洞发现到闭环,中间有大量的工作,比如漏洞判断是否需要修复、漏洞验证、漏洞推修、漏洞复测等,需要逐步走向平台化的管理才能高效。
Q:关于三方组件的漏洞排查?
A:这里的三方组件是指web服务的架构、组件吧?比如weblogic、shiro、Jboss等。漏洞的发现离不开资产管理,梳理清楚自己家有哪些资产,再重点关注、跟进互联网上的相关漏洞信息,将漏洞信息或公开的POC/EXP内化为常规漏扫武器插件,通过常规扫描的方式针对性发现漏洞。
Q:发现漏洞后各单位的处置情况,能升级的升级,不能升级的都有哪些处置方式?
A:首先对漏洞进行分级,不同的漏洞设置不同的安全风险级别。漏洞的修复也有多种方式,根据产生原因从根源修复、设置主机iptables开启ACL、关闭相关功能...总之,先推彻底修复,减缓或规避次之。不用去强求全部都要彻底修复,不过也需要注意避免临时的限制措施被放开,需要验证机制,比如常规漏洞扫描。
Q:漏洞治理全生命周期管理机制或平台的实践案例分享,难点和痛点有哪些?
A:个人认为漏洞治理平台要由三部分组成:资产管理、漏扫体系、漏洞推修流程,打通并组合在一起就能cover住漏洞情报产生的漏洞、常规漏扫产生的漏洞。难点无疑就是在资产管理、漏洞预警产生的漏洞判断评级、漏洞推修闭环,不仅需要技术,还需要配套流程和制度来治理。
Q:目前的漏洞管理工具更多的是基于工具扫描后将结果导入,如何能将朋友圈或者国内漏洞平台上面公布的漏洞给同步到漏洞管理平台中的预警模块?
A:朋友圈和漏洞平台上的漏洞都需要筛选和判断,不妨设置监控爬取相关站点的漏洞情报,汇总到漏洞平台上进行处理。
Q:日常漏洞扫描发现大量的漏洞如何整改以及是否修补,大量的漏洞对于运维人员的压力太大,有什么好的方式减少?是否高中危漏洞必须全部修补?
A:先选择高危中的高危进行推修,并慢慢展开。不要扫出来不加判断全部扔过去,这样不仅不能达到目的,反而会被认为不专业、失去信服力。配合一定的制度要求,利用事件、政策推动,设置排名等公布方式,效果会好点。
Q:漏洞修复情况跟进(平台问题,感觉jira很麻烦,有没有更好的平台,自己开发?)
A:jira不太适用于跟进情报产生的漏洞、漏洞扫描产生的漏洞,因为量比较大不方便操作,有能力的还是建议自研。开源软件方面,洞察最近开源了2.0,看起来不错但是实际还没用过。
Q:金融行业的安全运营如何推动补丁升级?因为金融行业业务连续性要求较高,大家都不愿意担责任,经常碰到以下情况:运维中心负责运维,他们打补丁没有问题,但是说需要研发中心进行测试,研发会说我们测试没有问题,但是为了保证不出问题,要全面测试,可能需要半年时间,后来大概率就没下文了。
A:补丁和漏洞的管理还是有差别的。不过有的思路可以通用,比如缩小要打的数量,选很必要的来打(应急情况下);与运维约定打补丁的周期(打补丁本身就是运维的活儿);尽可能的都自己打一遍进行测试(陪着运维干也算);事件推动,用实际行动证明不打补丁会造成什么实际的严重危害...
09
—
漏洞情报产生漏洞的处置依据
除了在3.4中提到的三个要点外,结合自己的思考和其他分享者的贡献,梳理出如下处置依据:(仅适用于情报方面的漏洞,若有CVSS评级直接关注7.0分及以上的漏洞)
本部分内容详情,已邮件反馈给参与调研并符合要求的“分享者”。
10
—
漏洞情报方面的必修漏洞清单
感谢各位分享者的付出,共总结出110 个经验与智慧的结晶(漏洞)。
本部分内容详情,已邮件反馈给参与调研并符合要求的“分享者”。