青藤云安全：漏洞管理新说

漏洞管理(Vulnerability Management)是一个老生常谈的概念，也是信息安全领域最为人熟知的概念。漏洞管理不等于漏洞扫描，漏洞扫描充其量只是过程中的一个步骤。大家经常会把漏洞管理和补丁管理(Patch Management)混为一谈，两者区别也在这里说下，补丁管理是指更新软件、操作系统和应用的一个过程，补丁通常包括功能类、性能类和安全类补丁。把漏洞管理和补丁管理放在一起，基本有一定的衔接关系，在存在漏洞的时候，需要打补丁来进行修复。但是有时候的漏洞短时间内并没有补丁，比如0Day，或者是放弃维护的软件、系统以及应用，比如Windows XP。漏洞有时候就算发现了，也会因为业务问题而无法打补丁，要通过其他的方式降低影响，比如安全流量设备的虚拟补丁。

将企业的漏洞管理计划与安全框架或标准进行对照，如 Center for Internet Security (CIS, 互联网安全中心) Controls，将有助于揭示有差距以及潜在的改进领域。目前CIS Controls的版本是V7.1发布时间是2019年4月。CIS控制是一系列有优先级的纵深防御行为，可以降低大部分常见的攻击方式。CIS控制一共分为三个大的部分，初级、基础级、组织级。每个级别是递进关系，每个级别里面表明了相应的安全手段。如下图所示，这里看到持续的漏洞检测是作为初级能力中的第三项出现，也是在安全能力要求比较低的情况下就需要做出的表现。

关于持续漏洞管理的细分要求

上图中共展示了七个要求：3.1 运行自动化扫描工具主要讲的是非认证式扫描，指外部通过网络指纹方式的扫描;3.2 运行认证的扫描，主要指登录到相应的设备进行扫描;3.3 设定专用账号，这个是扫描的方式要求，这样可以一方面方便扫描，另一方面可以降低误报;3.4部署系统的自动化补丁管理工具，是针对于系统的漏洞进行修复;3.5部署软件的自动化补丁管理工具，这是针对于软件的漏洞进行修复;3.6 进行背靠背的漏洞扫描，是为了验证漏洞是否补丁成功的验证性扫描;3.7 采用风险评级流程，是一种按照风险来对漏洞进行评估的方式。以上七个要求只是说明了应该做到的方面，但并不代表漏洞管理流程，下一章将对漏洞管理流程进行解析。

漏洞管理流程

漏洞管理流程一般情况下分为四个步骤：漏洞识别、漏洞评估、漏洞处理、漏洞报告。

漏洞识别是我们通常意义下的漏洞扫描，也是漏洞管理的第一步。根据现有资产的情况，目前可分为笔记本、PC、服务器、数据库、防火墙、交换机、路由器、打印机等。漏洞扫描进行全部资产的扫描发现已知的漏洞。后面会详细介绍漏洞识别的相关原理。

漏洞评估是在漏洞识别的基础上进行漏洞严重性的评估，这一步非常重要会影响到后面的处理步骤。比较常见的漏洞评估是使用CVSS评分法，根据CVSS的分数可以分为危急、高危、中危和低危。但是这种评估方法被业界诟病太多，需要结合其他的方式来进行评估。做法会更进一步结合资产的重要性来评估漏洞影响，更好的方式是结合风险和威胁评估。后文也会重点说明这种方式。

漏洞处理是在漏洞评估的基础上进行相关的修复、降低影响或者不修复的操作。修复动作不是简单的打补丁，是一个流程上的东西。修复过程通常包括以下几个步骤：

1. 获取厂商的补丁;

2. 分析补丁的依赖和系统的兼容性以及补丁的影响;

3. 建立回滚计划，防止补丁对业务造成未知影响;

4. 在测试环境测试补丁修复情况;

5. 在部分生产环境测试补丁修复情况;

6. 进行灰度上线补丁计划，乃至全量补丁修复;

7. 分析补丁修复后的系统稳定并监控;

8. 进行验证补丁是否修复成功，漏洞是否依然存在。

对于很多无法直接根除漏洞进行补丁修复的情况，比如0Day，不在支持范围的系统或者软件，业务需求无法中断，补丁速度滞后等情况。我们要采取降低漏洞影响的操作，如下图所示：

通常关于漏洞减轻的措施三个大的方面：网络、终端、应用和数据，细分可包括：

1. 隔离系统网络，包括防火墙规则和网络区域划分;

2. 网络访问控制;

3. NIPS、WAF、SW、DAP、RASP等软件或者设备签名规则更新;

4. HIPS终端类安全产品进行阻断;

5. EPP类安全产品类似白名单机制、系统加固等;

6. 阻断有漏洞软件的网络连接;

7. 主机防火墙进行端口阻断。

漏洞报告是漏洞管理的最后一个步骤，也是最终的一个产出物。这个报告的目的是为了总结每一次漏洞管理的成果以及记述过程，存档后也可以对下一次的漏洞管理行为做参考。依照报告的涉及深度可以由浅至深分为：合规报告、修复过程报告、基于风险报告、重点漏洞分析报告、趋势和指标报告、持续改进报告。合规的报告比如PCI-DSS类型的报告，仅仅为了合规的需求。报告本身其实能够说明每一次管理过程的成果，以及每次评估方法的多样性以及合理性。

综上所诉，漏洞管理的成熟度，可以参看下表：

漏洞识别原理

漏洞识别一般是通过漏洞扫描器实现的，识别漏洞的形式无外乎有四种：非认证式扫描、认证式扫描、API扫描、被动流量扫描。前两种是最普遍的方式。非认证方式扫描，也叫网络扫描方式(Network Scanning)，基本原理就是发送Request包，根据Response包的banner或者回复的报文来判断是否有漏洞，这种分析Response包内容的主要逻辑是版本比对或者根据PoC验证漏洞的一些详情来判断。认证式扫描也叫主机扫描方式(Agent Based Scanning)，这种方式可以弥补网络方式的很多误报或者漏报的情况，扫描结果更准，但是会要求开发登录接口，需要在主机进行扫描。拿Nessus举例，基本就是下发一个脚本执行引擎和NASL脚本进行执行，在主机保存相关数据然后上报服务端，最后清理工作现场。API扫描与接近于应用扫描方式，这里不做深入分析，跟之前写的一篇文章中DAST相关。被动式流量扫描比主动式的流量扫描从带宽IO上没有任何影响，但是需要对所有请求和返回包进行分析，效果来说最差，因为某些应用如果没有请求过就无法被动地获取相关流量数据进行分析。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!