近日,奇安信CERT正式對(duì)外發(fā)布了《2021年度漏洞態(tài)勢(shì)觀(guān)察報(bào)告》(簡(jiǎn)稱(chēng)《報(bào)告》),圍繞漏洞監(jiān)測(cè)、漏洞分析與研判、漏洞情報(bào)獲取、漏洞風(fēng)險(xiǎn)處置等方面描繪過(guò)去一年全網(wǎng)漏洞態(tài)勢(shì)。
《報(bào)告》顯示,2021年奇安信CERT新收錄漏洞信息21664個(gè)(其中20206條有效漏洞信息在NOX安全監(jiān)測(cè)平臺(tái)上顯示),經(jīng)NOX安全監(jiān)測(cè)平臺(tái)篩選后有14544個(gè)敏感漏洞信息觸發(fā)人工研判,其中2124個(gè)漏洞影響較大,觸發(fā)了奇安信CERT的應(yīng)急響應(yīng)流程。相較于2020年,觸發(fā)應(yīng)急響應(yīng)流程的漏洞數(shù)量增長(zhǎng)了150%以上。
收集器、過(guò)濾器和富化器
需要注意的是,盡管曝光的漏洞數(shù)量和危害程度與日俱增,但并非所有漏洞對(duì)組織造成實(shí)際危害。公開(kāi)數(shù)據(jù)顯示,實(shí)際存在野外利用的漏洞,僅占漏洞總量的1%~2%左右。因此《報(bào)告》認(rèn)為,安全運(yùn)營(yíng)人員在面對(duì)大量漏洞時(shí),需要基于漏洞情報(bào)做好漏洞處理優(yōu)先級(jí)排序,這對(duì)于威脅的消除將起到事半功倍的效果。
那么什么是漏洞情報(bào)?漏洞情報(bào)應(yīng)起到什么樣的作用呢?
《報(bào)告》認(rèn)為,威脅情報(bào)和漏洞情報(bào)作為安全情報(bào)大家族中的“大哥”和“二哥”,已經(jīng)成為持續(xù)檢測(cè)和響應(yīng)的關(guān)鍵要素。威脅情報(bào)描述現(xiàn)存的或者是即將出現(xiàn)的針對(duì)資產(chǎn)的威脅,可用于通知主體針對(duì)相關(guān)威脅采取某種響應(yīng);漏洞情報(bào)幫助企業(yè)漏洞管理者迅速判別漏洞對(duì)企業(yè)業(yè)務(wù)的影響,讓管理者能夠第一時(shí)間進(jìn)行漏洞處置,避免后續(xù)風(fēng)險(xiǎn)的擴(kuò)散。從這個(gè)角度來(lái)看,威脅情報(bào)的關(guān)鍵在與知彼,而漏洞情報(bào)的關(guān)鍵在于知己。
基于長(zhǎng)期的漏洞情報(bào)運(yùn)營(yíng)實(shí)踐,奇安信CERT認(rèn)為漏洞情報(bào)的運(yùn)營(yíng)需要起到收集器、過(guò)濾器和富化器的作用。收集器是指通過(guò)對(duì)一手?jǐn)?shù)據(jù)源的挖掘和信息實(shí)時(shí)采集,保證漏洞情報(bào)的全面性和及時(shí)性;過(guò)濾器是指分析團(tuán)隊(duì)依據(jù)完善的流程和專(zhuān)業(yè)經(jīng)驗(yàn)對(duì)漏洞的影響面和技術(shù)細(xì)節(jié)進(jìn)行研判,保證信息的準(zhǔn)確性和處理優(yōu)先級(jí)的可靠性;而富化器是指對(duì)于確認(rèn)的重要漏洞,好的漏洞情報(bào)需要給出切實(shí)可行的處理方法,提供除補(bǔ)丁鏈接以外的其他威脅緩解措施,富化漏洞信息的上下文。
多維度的情報(bào)搜集
漏洞運(yùn)營(yíng)所需要的情報(bào)信息是豐富的,需要開(kāi)展多維度的信息搜集和關(guān)聯(lián)工作。
如果漏洞的核心信息只涉及軟硬件影響面(廠(chǎng)商、應(yīng)用及版本)和漏洞本身技術(shù)層面的評(píng)估(威脅類(lèi)型、利用場(chǎng)景、危害大小等),這些只是漏洞本身的屬性的基本了解,并不能有效管控漏洞所產(chǎn)生的的風(fēng)險(xiǎn),從而指導(dǎo)接下來(lái)的響應(yīng)處置工作。
因此漏洞情報(bào)需要知道的更多,例如漏洞相關(guān)產(chǎn)品部署量有多大、是否存在公開(kāi)的POC(概念驗(yàn)證代碼)或者EXP(漏洞利用工具或者代碼)、是否存在在野利用、是否為0day漏洞或者和APT攻擊相關(guān)。而這些信息將直接影響安全運(yùn)營(yíng)人員對(duì)于漏洞的處置。
例如針對(duì)Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞,奇安信CERT關(guān)聯(lián)的信息如下圖所示。
基于漏洞實(shí)際風(fēng)險(xiǎn)的優(yōu)先級(jí)排序
在掌握多維度漏洞信息的基礎(chǔ)上,對(duì)于漏洞實(shí)際風(fēng)險(xiǎn)的判定,從而過(guò)濾出哪些漏洞風(fēng)險(xiǎn)較高,哪些漏洞風(fēng)險(xiǎn)較低,這是漏洞情報(bào)運(yùn)營(yíng)中,技術(shù)難度最高也是最為關(guān)鍵的環(huán)節(jié)。
據(jù)初步統(tǒng)計(jì),平均每天被曝光的漏洞數(shù)量就達(dá)數(shù)十個(gè)之多,想要面面俱到就得消耗巨大的資源,這對(duì)于任何單獨(dú)一個(gè)組織都是不可能完成的任務(wù)。因此組織需要對(duì)于漏洞進(jìn)行優(yōu)先級(jí)排序,優(yōu)先處置實(shí)際風(fēng)險(xiǎn)較高的漏洞。
但很多時(shí)候,如果只是基于漏洞庫(kù)給漏洞風(fēng)險(xiǎn)評(píng)分(如美國(guó)國(guó)家漏洞庫(kù)NVD給出的CVSS評(píng)分)來(lái)確定優(yōu)先級(jí),是遠(yuǎn)遠(yuǎn)不夠的。由于多種技術(shù)層面以外因素的影響,相同CVSS評(píng)分的漏洞所能導(dǎo)致實(shí)際安全風(fēng)險(xiǎn)往往天差地別。同樣 10分的漏洞,Apache Log4j2這樣頂級(jí)漏洞與其他同樣10分漏洞的實(shí)際風(fēng)險(xiǎn)天差地別。
對(duì)此《報(bào)告》認(rèn)為,這個(gè)難題需要通過(guò)結(jié)合威脅情報(bào)來(lái)緩解。奇安信CERT的多維度的漏洞情報(bào)信息,為用戶(hù)提供了基于漏洞現(xiàn)時(shí)狀態(tài)進(jìn)行優(yōu)先級(jí)排序的可能。同時(shí),奇安信CERT將已經(jīng)存在野外利用的、已有公開(kāi) Exploit/PoC、已有技術(shù)細(xì)節(jié)的高危漏洞圈定為關(guān)鍵漏洞,將其排在優(yōu)先位置。
另外,漏洞運(yùn)營(yíng)的目標(biāo)也不僅僅知道哪些漏洞重要,同樣需要知道的還有哪些漏洞“名不副實(shí)”,一定程度上可以忽略。一個(gè)典型的例子是2021年12月Log4j2漏洞爆發(fā)以后,由于聚光燈效應(yīng),一些衍生漏洞隨之出現(xiàn)。但其中絕大部分很難被利用或者并不會(huì)造成實(shí)際威脅。
可行的漏洞響應(yīng)處置措施
在收集、過(guò)濾之后,針對(duì)漏洞提供足夠豐富的處置措施,也是漏洞情報(bào)運(yùn)營(yíng)中必不可少的組成部分。
《報(bào)告》認(rèn)為,僅僅只提供了補(bǔ)丁是遠(yuǎn)遠(yuǎn)不夠的,因?yàn)榇蜓a(bǔ)丁受各種現(xiàn)實(shí)條件的限制,比如需要考慮重要服務(wù)器的性能和穩(wěn)定性、在生產(chǎn)環(huán)境中安裝補(bǔ)丁是否需要重啟、是否有完善的補(bǔ)丁回滾機(jī)制,更不要說(shuō)0day漏洞就沒(méi)有補(bǔ)丁。
此時(shí),漏洞情報(bào)需要就需要富化漏洞響應(yīng)措施,在必要時(shí)給出非補(bǔ)丁方案,例如系統(tǒng)配置更改、漏洞利用檢測(cè)規(guī)則等等。
例如對(duì)于 ProxyLogon 漏洞,奇安信CERT旗下NOX安全監(jiān)測(cè)平臺(tái)持續(xù)更新 6 次安全風(fēng)險(xiǎn)通告,不斷對(duì)緩解措施進(jìn)行完善,最終提供了兩千余字詳細(xì)描述的可行操作步驟。對(duì)于 Log4Shell 漏洞,NOX安全監(jiān)測(cè)平臺(tái)給出的完整處置建議涵蓋了漏洞排查、攻擊排查、修復(fù)版本、產(chǎn)品解決方案以及多種不同場(chǎng)景下經(jīng)過(guò)驗(yàn)證的有效緩解措施,該完整的處置建議在奇安信多家客戶(hù)單位的一線(xiàn)應(yīng)急響應(yīng)中做出了重大貢獻(xiàn)。
