在当今数字时代,网络攻击不断演变,漏洞修复已成为企业安全的重中之重。然而,随着漏洞数量的激增,如何有效处理和优先修复漏洞成为了一个挑战。根据绿盟科技发布的《2023年度安全事件观察报告》显示,全球共披露了30947个漏洞,每天平均有84.78个CVE被披露,创下历史新高。更令人担忧的是,超过7000个漏洞具有“PoC代码”,206个具有可用的武器化利用代码,115个已被黑客广泛利用。

  Mandiant在RSAC主题演讲中透露,32%的违规行为是由于漏洞利用导致的,这占据了追踪到的所有违规行为中的最高比例。至2024年5月,负责维护NVD漏洞库的NIST被曝出存在大量漏洞积压,至少9762个CVE未被分析,仅5月就收到了2000个新的CVE。面对这种爆发式增长,安全团队的漏洞管理亟需调整和优化。

1.png
漏洞数量近几年逐年增长

  除了公开漏洞数量的逐年增加,发现漏洞的手段也不断增多,除了传统的漏洞扫描还引入红蓝对抗、众测和威胁情报等方法。CISA的统计称大概只有不到4%的漏洞被真正利用,大量的漏洞可能就只是一个编号。安全和业务团队面对海量资产中的大量漏洞,如何从百万漏洞中挑选出可利用的漏洞成为了业界的一个难题。为了解决这个问题,Gartner于2021年首次提出了漏洞优先级技术(Vulnerability Prioritization Technology,简称VPT)。在Gartner的评价中,VPT被认为是十大安全项目之一,被广泛应用于漏洞评估市场指南和安全运营技术成熟度模型,因其重要性备受关注。

2.png
2021年Gartner安全运营成熟度曲线[3]

  绿盟科技漏洞优先级实践

  高效应对新漏洞爆发

  情报录入:当新漏洞爆发时,绿盟VPT支持将相关情报录入系统中,包括漏洞的详细描述、CVE编号、危害等级以及可能受影响的产品或系统信息等。

  动态更新:VPT会根据新漏洞的严重性、影响范围、易受攻击程度和修复方案等因素,动态更新漏洞的排名,该排名将反映漏洞对企业系统和数据的风险程度,用户可以根据分数来确定优先处理的漏洞并采取相应的修复措施。

  例如,当新漏洞爆发且在野利用并且资产暴露在互联网上但没有修复方案时,该漏洞优先级较高,需要采取临时防护措施,如白名单访问。如果新漏洞的POC未公开且资产仅部署在内网,那么该漏洞的优先级相对互联网高危漏洞较低。平台支持用户动态更新漏洞情报和标签。

  资产因子优化优先级

  资产位置:VPT将资产在网络分区中的位置作为资产因子考虑进去,例如资产在内网或互联网,这有助于确定资产所在环境的安全风险和受攻击的可能性。

  资产重要性:VPT会考虑资产的重要性因素,如资产存储的敏感数据、关键业务系统等。对于承载关键业务的资产,其相关漏洞可能被视为优先级更高,而需要更紧急的修复。

  优先级判定:基于区域和资产重要性的因素,VPT会根据漏洞的严重性和受影响资产的关键程度来确定优先级。

  例如,在互联网上暴露的Struts2命令执行漏洞相比内网同一漏洞可能会被视为优先级更高,因为它可能面临来自广泛的网络攻击,内网攻击则需要攻击者先获得边界权限。

  根据经验进行主动调整

  漏洞调优:当某些漏洞被确认为低风险漏洞且未公布POC时,用户可以采取主动调整的措施。通过VPT的界面设置,用户可以修改漏洞的相关因子(如影响范围、易受攻击程度等)或直接分配给该漏洞的分数。

  动态更新:一旦用户对漏洞的因子或分数进行了调整,VPT会在后续的计算中动态考虑这些用户调整,并根据新的因子和分数重新计算每个漏洞的优先级和风险等级。这样,系统能够根据用户的实际需求和风险评估灵活地调整漏洞的优先级。

  重置还原:如果用户决定还原之前的漏洞设置,VPT支持用户进行重置操作。用户可以将漏洞的因子或分数恢复到默认状态,使VPT重新根据预设标准进行计算和排名。

  例如用户针对某些版本扫描漏洞(未公布POC且部署内网),由于业务系统重要无法轻易升级则可以调整因子或分数降低优先级,后续系统计算分数时也会考虑用户的调整。

  内置丰富的场景模板

  用户可依据场景进行模板选择,内置攻防演练、监管检查和日常运行等几大场景,不同场景漏洞类型和因子权重会有所变化,用户可自定义场景。

  攻防演练场景模板:这个模板适用于进行攻防演练活动。在这个场景下,VPT会根据攻防演练的目标和规则,在漏洞类型和因子权重上进行特定的调整。例如,可能更关注命令执行、注入类漏洞等与攻防演练相关的漏洞,内网的高危漏洞优先级高于互联网中危漏洞。

  监管检查场景模板:该模板适用于监管机构或组织进行安全合规性检查。在这个场景下,VPT将基于监管要求的漏洞分类和权重进行设置,以确保满足相关监管标准。例如,可能更关注个人信息泄露漏洞、安全配置漏洞等与合规性要求相关的漏洞。

  日常运行场景模板:这个模板适用于平时的日常漏洞管理和运维工作。在这个场景下,VPT会考虑常见的漏洞类型和因子权重,以帮助用户优化和管理日常运行环境中的漏洞。用户可以通过自定义设置来进一步调整和适应自己的实际需求。

  绿盟科技漏洞优先级介绍

  绿盟科技作为一家以漏洞扫描起家的信息安全公司,在VPT方面积累了丰富的经验。绿盟科技漏洞领域研究团队在融合CVSS4.0理念的基础上自定义模型因子,能够从资产和漏洞两个维度去评价漏洞的优先级,将多种来源的数据与威胁情报、资产重要性、网络区域、漏洞忽略比等信息相结合,并通过大数据算法进行分析,利用机器学习预测漏洞遭攻击者利用的可能性。实实在在帮助企业对修补工作进行优先级分析,了解需要优先修复哪些漏洞。将有限的资源集中在对业务可能造成重大影响的漏洞处置上,最大程度快速减少业务风险。

  同时为了满足不同用户的风险侧重点,提供灵活的优先级计算模型,支持各维度因子灵活调整,包括因子的启用、禁用、因子权重占比等。通过提供动态评估优先级模型,可灵活配置各维度因子权重,综合考虑漏洞的可利用性、资产或业务的关键性、漏洞的严重性和现有的补偿控制措施等方面,动态输出漏洞排定优先级评分。

33.png
绿盟科技漏洞和资产维度的因子

  VPT应用效果对比

  在引入VPT前,用户只能从漏洞自身的CVSS分数和不同厂商的最佳实践去评价漏洞的修复优先级,并没有考虑漏洞的实际利用情况和资产的位置等因素,具体效果如下 :

4.png

VPT应用前

  引入VPT后,我们可以从风险的视角去看漏洞,考虑漏洞所在系统的重要性和位置,漏洞本身的可利用性等等,让漏洞不再仅仅是一个CVSS分数高的CVE编号而是互联网侧的漏洞及武器化的漏洞优先级更高,具体效果如下:

5.png
VPT应用后

  通过图中数据可以看出:

  互联网侧的漏洞,武器化或公开POC的优先级更高

  漏洞的自身分数9.8分,但是因为在内网且没有任何公开的POC信息,最开始CVSS分数优先级为第四名,VPT应用后,该漏洞优先级为最后一名

  VPT技术可以让安全和运维团队聚焦于危害更大的漏洞,最大程度保证业务安全

6.png
VPT效果对比

  为了实现漏洞优先级技术(VPT)的理想效果,用户的深度参与至关重要。用户需要定义资产因子的输出,并持续运营VPT系统。这包括定期更新情报和自定义漏洞分数等。只有通过用户的积极参与和持续运营,才能构建一个更适合企业需求的VPT模型,并将其有效地应用于实际业务中。