随着企业网络安全风险意识的增强、合规要求的提高以及网络安全事件的频繁发生,越来越多的企业对漏洞管理越来越重视,已成为信息安全项目的核心。必不可少的基石。近年来,我们见证了网络安全威胁的日新月异,网络攻击的形式更加自动化、批量化、复杂化。另一方面,在信息化浪潮下,应用新技术、数字化服务、平台集成的企业系统更多的安全漏洞。1.什么是安全漏洞?SQL注入、跨站脚本、缓冲区溢出等安全漏洞的名字我们都耳熟能详,企业资产(需要保护的宝贵资源)也面临着层出不穷的网络攻击威胁。那么什么是安全漏洞呢?简而言之,它是信息系统的弱点。这种弱点或漏洞可能是由于缺乏防控措施或防控措施不充分造成的,例如机构未对某组件性暴露打补丁造成的漏洞。漏洞可以被蓄意的攻击者利用,对组织造成伤害和损失,也可能因管理者的无意疏忽或违反合规要求而给组织造成损失。2.为什么需要漏洞管理?漏洞的暴露和利用,不仅可能给企业带来巨大的经济损失,还可能损害客户利益、企业声誉,甚至触犯相关法律法规。在最近的数据泄露事件中,雅诗兰黛官方服务器遭到黑客攻击,导致未加密的云端数据库发生数据泄露,其中包括超过4亿用户敏感数据。2017年,WannaCry勒索病毒感染了100多个国家超过10万台电脑,造成的损失高达80亿美元。这种类似蠕虫的病毒利用了一个已知的漏洞(微软发布了补丁,大多数系统还没有更新。打补丁)。2019年1月,拼多多用户即可领到100元无门槛优惠券,一大批用户“薅羊毛”,金额达数千万元。这起事件是黑灰制作团伙利用过期优惠券漏洞造成的。有效的漏洞管理可以及早发现漏洞,遏制漏洞利用事件的发生。与企业的利润部门相比,漏洞管理虽然是一项支出,但忽视漏洞管理可能意味着更高的经济成本。此外,在免保2.0的安全运维管理中,新增了配置管理、漏洞和风险管理控制点(相对于免保1.0),要求企业重视漏洞和补丁管理的安全性,做好做好配置管理,及时更新基本配置信息数据库,定期开展安全评估工作,提高企业主动自我保护能力。很多企业还需要在上线前和重大变更时对高危资产进行渗透测试,并按季度进行漏洞扫描,发现新暴露的漏洞。此外,小程序和APP中收集个人信息也可能违反《中华人民共和国网络安全法》、《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》、《个人信息安全规范》、《消费者权益保护法》等法律法规的相关规定。许多行业的法律法规规定漏洞管理要求,相关要求逐步推广到各行各业。支付卡行业数据安全标准(PCIDSS)针对所有处理支付卡的实体,要求相关实体使用行业认可的测试方法,每年至少进行一次渗透测试,并且必须在环境发生重大变化后重新测试。针对近期大热的医疗行业,2018年出台的《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》、《互联网医院基本标准(试行)》均要求对互联网诊疗相关系统实施三级网络安全等级保护,三级网络安全等级保护规定了定期的安全措施。评估、形成安全评估报告和采取补救措施的要求。2019年6月发布的《网络安全漏洞管理规定(征求意见稿)》将管控范围扩大至“网络产品、服务提供者、网络运营者”,要求相关组织或个人在获悉网络产品或系统漏洞后立即进行漏洞核实。相关网络产品应当在90日内采取漏洞修补或者防范措施,相关网络服务或者系统应当在10日内采取漏洞修补或者防范措施。”漏洞管理也可以从技术角度理解系统的信息收集和使用。以APP收集个人信息的行为为例,《中华人民共和国网络安全法》、《消费者权益保护法》、《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》规定网络运营者不得收集、使用个人信息。在实际场景中,应用安装后,可能会在未经用户同意的情况下收集MAC地址、IP地址、用户地址位置等个人信息,或者在用户明确表示不收集的情况下仍可能收集此类信息允许。部分信息收集构成《中华人民共和国网络安全法》所禁止的“收集与提供的服务无关的个人信息”的行为。例如,某些应用程序可能会强行请求用户的系统权限,如果用户不同意则拒绝提供相关业务服务(例如美食类应用程序需要用户提供访问通讯录、访问系统日志等的权限).).或者APP后台自动采集用户配置IMEI号、IMSI号、地址位置等过于频繁,超出业务实际需求。更多的场景和例子在此不再赘述。对敏感信息相关漏洞的检测和管理,可以有效防止信息泄露,了解敏感数据的收集和使用情况,从而帮助APP开发者和管理者了解APP合规风险。3、漏洞管理怎么做?我们认为一个漏洞管理框架应该包括五个部分:治理、发现、评估、处理、监控和报告。有效的漏洞管理可以帮助组织定期评估漏洞,在具有成本效益的基础上修复关键、高风险和中等风险的漏洞,并接受对风险较低的漏洞进行具有成本效益的修复。1.治理/准备良好的治理流程是有效漏洞管理的基础。如果没有对数据和处理数据的信息系统或对业务的影响程度进行明确的分类,则无法确定它们需要保护的程度、漏洞的程度和修复的优先级。治理的内容包括识别组织的信息系统表、需要保护的信息系统、数据的分类,以及服务水平协议、角色和职责、项目范围等文件的编写。2.漏洞发现漏洞发现主要包括漏洞扫描、渗透测试等,常见的漏洞扫描器如Nessus等可以快速识别系统、网络和应用中的漏洞,如版本漏洞、不安全配置等。漏洞扫描器可能存在一定的误报率,很难发现逻辑绕过等漏洞。渗透测试技术可以弥补这一不足。渗透测试是模拟黑客攻击以发现资产漏洞的过程。漏洞扫描只是检测漏洞的存在,通常不会对系统发起主动攻击行为,而渗透测试则是通过突破安全控制措施侵入目标系统来验证漏洞,从而达到评估系统安全性的目的。渗透测试通常包括计划、信息收集和发现、漏洞扫描、利用和报告阶段。在计划阶段,需要确定测试的域名、权限、时间窗口、扫描方式;信息收集和发现结合了手动和自动化工具来收集目标环境的相关信息。信息收集的步骤通常对漏洞利用很有帮助;漏洞扫描使用自动扫描工具排查系统漏洞;在漏洞利用阶段,根据前面步骤收集到的信息,发现漏洞,试图突破系统的安全防御;最后,发现的漏洞和相应的修复方法通常以报告的形式呈现。漏洞利用测试主要包括:配置管理测试、认证测试、会话管理测试、权限和业务逻辑测试、数据校验测试、共享主机测试等,具体测试细节这里不做讨论。渗透测试根据向攻击者/测试者提供信息的程度可分为白盒渗透测试、灰盒渗透测试和黑盒渗透测试。白盒渗透为攻击者提供了目标系统的详细信息,因此可以减少信息调查的步骤,缩短测试和攻击时间,增加发现更多漏洞的可能性。黑盒测试在攻击发生前不向测试人员提供任何信息,更接近真实的攻击场景。灰盒测试又称部分知识测试,是前两种测试的折衷,平衡了两者的优缺点,也是最常用的渗透测试方法。很多指南提供了行业标准的渗透测试方法可以参考,包括OWASPTestingGuidelines、OSSTMM、NIST800-115、FedRAMPPenetrationTestingGuidelines、PCIDSS关于渗透测试的补充信息等。OWASPTOP102017还列出了10大最严重的应用程序安全风险,包括:注入、无效身份验证、敏感数据泄露、XML外部实体(XXE)、无效访问控制、安全配置错误、跨站脚本攻击(XSS)、不安全的反序列化,使用具有已知漏洞的组件,日志记录和监控不足。3.根据漏洞和风险的威胁程度、重现性和对当前环境中用户的影响,评估漏洞和风险,并据此对修复进行评级、排序和优先级排序。漏洞的定性评估可分为:超高风险、高风险、中等风险和低风险。具体评价标准参考CVE和CVSS。发现的漏洞通常由MITRE维护的CVE(CommonVulnerabilitiesandExposures)标识。可以在www.cve.mitre.org查看漏洞的详细信息以及它们可能造成的危害,比如前面提到的被WannaCry利用的Windows。系统漏洞标识为:CVE-2017-0143;而CVSS(CommonVulnerabilityScoringSystem)提供了一个描述安全漏洞严重程度的标准化评分系统。4、处理从风险处理的角度来看,风险应对通常包括:风险缓释、风险转移、风险接受、风险威慑、风险规避和风险拒绝。一般处理漏洞的方式主要包括风险缓释和风险接受。企业可以选择修复漏洞来降低此漏洞暴露的风险,例如SQL注入漏洞,常见的修复措施包括参数化、用户输入验证、使用存储过程等;对于跨站点脚本攻击(XSS),验证用户输入的有效性是一个很好的衡量标准。(详细修复方法请参考OWASP。)如果修复漏洞的成本大于风险可能造成的损失,或者综合考虑其他因素,企业也可以选择接受风险。接受风险也意味着管理层同意接受风险可能带来的后果和损失。除了针对资产漏洞的补救措施外,还可以在系统上建立补偿控制。例如,使用防火墙设置规则来过滤流量。Web应用防火墙,简称WAF,具有部署简单、防护及时等优点。主要用于防御SQL注入、XSS跨站脚本、Web服务器常见插件漏洞、木马上传、核心资源未授权等。Access等常见的OWASP攻击,大部分防火墙还提供了日志和查询功能,可以满足运维和安全的管理需求。更智能高效的方式是建立企业安全运营中心(SOC),进行日志收集、监控分析、异常行为识别及预警等,实现安全持续运营。更智能的安全管理方式是建立SOC(SecurityOperationsCenter)。SOC可以弥补传统信息安全的不足。以数据为核心,收集日志、威胁建模、指标设计、告警分析、安全事件用例知识库。威胁情报、态势感知等功能模块,真正实现数据驱动的安全。不仅可以实现攻击维护和实时监控,还可以通过威胁情报和用户行为分析来预测威胁,并在安全事件发生后进行系统跟踪和追溯。5.监控和报告在漏洞管理的实际过程中,企业很难一次性修复所有的漏洞。它通常涉及验证和重新验证的过程,直到修复漏洞。有些漏洞甚至难以完全修复。因此,有必要对整个过程进行监控。实时监控,提高管理效率。项目经理还需要向高级管理层报告漏洞管理项目的状态,包括服务水平协议的执行情况和关键绩效指标,如:漏洞发现率、漏洞修复率、漏洞修复时间等。此外、第三方安全审计、渗透测试、安全评估等,还可以独立评估企业信息系统的安全性,提高管理效率和效果。更高效的管理方案是建立一个集中的管理平台——漏洞管理平台,通过集成的漏洞扫描(持续更新最新漏洞)、漏洞的自动分级分类、漏洞状态管理、漏洞及修复方案描述、报告生成下载、漏洞管理仪表盘等功能,实现漏洞全生命周期的有效管理。漏洞管理是一个持续的过程,成功的漏洞管理过程还需要与组织的业务风险管理紧密结合。定期审查漏洞管理流程是否与组织的业务和风险管理目标一致,并确保与企业网络安全相关的人员及时了解新的安全威胁和趋势,这也是漏洞管理流程不可或缺的一部分。
