安全的本質(zhì)是動態(tài)對抗,將其映射到漏洞管理領(lǐng)域就是漏洞不斷產(chǎn)生和不斷快速響應(yīng)的過程。在有限資源下,實(shí)現(xiàn)投入的回報(bào)收益最大化是漏洞管理的核心目標(biāo)。為了達(dá)成該目標(biāo),并將合規(guī)驅(qū)動轉(zhuǎn)化為攻防實(shí)戰(zhàn)驅(qū)動安全管理工作,我們引進(jìn)VPT技術(shù)應(yīng)用于日常漏洞管理工作體系建設(shè)。本文將就該技術(shù)實(shí)踐中的思考和過程與大家分享。VPT技術(shù)起源VPT全稱為Vulnerability prioritization technology,意為弱點(diǎn)優(yōu)先級技術(shù),被廣泛用于漏洞評估領(lǐng)域。它是全球知名咨詢公司Gartner在2019年的《A Guide to Choosing a Vulnerability Assessment Solution》(Gartner,2019.04)一文中首次提出的。Gartner示意:“到2022年,使用基于風(fēng)險(xiǎn)的漏洞管理方法的組織,會減少80%的被攻擊的可能”,認(rèn)為針對漏洞的管理應(yīng)該以縮小實(shí)際被攻擊可能性為根本目的。
在Gartner的標(biāo)準(zhǔn)定義中,對VPT提了以下技術(shù)點(diǎn):
• VA telemetry,即漏洞評估測試,主要是指基礎(chǔ)的漏洞數(shù)據(jù)提供和目標(biāo)檢測方式,對目標(biāo)系統(tǒng)進(jìn)行漏洞檢測和安全性危害評價(jià);
•Asset criticality context即資產(chǎn)重要性關(guān)系,主要是指針對弱點(diǎn)所在的資產(chǎn),站在非安全視角評估資產(chǎn)重要性以納入弱點(diǎn)影響評價(jià),廣義資產(chǎn)包含服務(wù)器、網(wǎng)站業(yè)務(wù)、接口、IoT設(shè)備等;
• Environment context即環(huán)境關(guān)系,基于網(wǎng)絡(luò)配置情況、安全防御情況等評價(jià)弱點(diǎn)的影響面和損失價(jià)值;
• Multiple threat intelligence即海量威脅情報(bào),這里的情報(bào)不是威脅情報(bào),主要是弱點(diǎn)的情報(bào)信息,包括漏洞嚴(yán)重性評分 (CVSS)、修復(fù)的難易程度、漏洞的發(fā)布日期、易受攻擊的軟件項(xiàng)目的流行程度以及發(fā)現(xiàn)漏洞的應(yīng)用程序類型等。
VPT技術(shù)的本土化思考VPT技術(shù)的主要目的是在有限的時(shí)間內(nèi),盡可能多的降低被攻擊的風(fēng)險(xiǎn),就像在降低SoC/SIEM的無效告警一樣,我們需要從威脅、影響、可修復(fù)性三個(gè)方面對漏洞處理優(yōu)先級排序,比漏洞檢測更進(jìn)一步的實(shí)現(xiàn)了基于風(fēng)險(xiǎn)的弱點(diǎn)管理。但從VPT技術(shù)落地的角度而言,我們需要更多的考慮如何將它本土化。
VPT技術(shù)關(guān)注重點(diǎn)不是漏洞,而是攻擊面。它是一種動態(tài)對抗思想,從防守角度在一定時(shí)間范圍內(nèi),最大限度的縮小已有攻擊面可能帶來的損失。在本土化背景下,該思想的落地場景主要在于攻防演練和關(guān)基保護(hù)等需要真實(shí)防范攻擊的安全場景,其中VPT的價(jià)值不僅是降低工時(shí)和提升效率,更要兼顧考慮指導(dǎo)安全響應(yīng)和避免安全責(zé)任這兩項(xiàng)附加價(jià)值。VPT應(yīng)用在國內(nèi)不得不考慮以下幾點(diǎn):
•VPT需要站在業(yè)務(wù)角度進(jìn)行評價(jià)
在評價(jià)漏洞時(shí)加入對業(yè)務(wù)影響性,并將評價(jià)的關(guān)鍵因素呈現(xiàn)出來,會使得業(yè)務(wù)部門對安全部門提出的處置優(yōu)先級更易理解。該評價(jià)不是簡單的根據(jù)漏洞所在資產(chǎn)進(jìn)行,而是需要更具象到漏洞可能造成的損失。
•VPT需要考慮到國內(nèi)老舊信息資產(chǎn)響應(yīng)實(shí)操性的問題
我國IT數(shù)字化建設(shè)發(fā)展極為迅速,但由于一些歷史原因積累了較多老舊的信息資產(chǎn),這些資產(chǎn)的漏洞修補(bǔ)會比較困難。如果不考慮漏洞的可修復(fù)性,反而會給業(yè)務(wù)部門增加很多負(fù)擔(dān),所以VPT需要建立對可修復(fù)性的建議和標(biāo)記。
•VPT需要符合中國的網(wǎng)絡(luò)安全相關(guān)規(guī)定
應(yīng)用VPT技術(shù)對弱點(diǎn)進(jìn)行評價(jià)時(shí)需要考慮我國的相關(guān)規(guī)定,如《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類分級指南》、《GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評 估規(guī)范》。在《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類分級指南》中詳細(xì)定義了漏洞指標(biāo)類分級、漏洞技術(shù)分級、漏洞綜合分級的方法對漏洞進(jìn)行評價(jià),包括不限于被利用性指標(biāo)、影響程度指標(biāo)等。
VPT技術(shù)的本土化實(shí)踐VPT技術(shù)雖然一經(jīng)推出即受到行業(yè)領(lǐng)先企業(yè)的追捧,但在國內(nèi)的落地與實(shí)踐并未展開。直到2020年,由華云安參與制定的《信息安全技術(shù)—網(wǎng)絡(luò)安全漏洞分類分級指南》(GB/T 30279-2020)正式發(fā)布,結(jié)合了《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》(GB/T 20984-2007)的風(fēng)險(xiǎn)評估理念,為我國基于風(fēng)險(xiǎn)進(jìn)行漏洞的評級和管理提供了本土化依據(jù)和方法。
華云安在VPT技術(shù)實(shí)踐中,運(yùn)用多種技術(shù)手段提高評價(jià)數(shù)據(jù)維度與精度,提高實(shí)戰(zhàn)攻防場景下VPT技術(shù)的應(yīng)用效果。
•構(gòu)建評價(jià)因子的數(shù)據(jù)模型
弱點(diǎn)優(yōu)先級評價(jià)技術(shù)就是安全弱點(diǎn)發(fā)展成安全事件的可能性。在此基礎(chǔ)上,華云安構(gòu)建了漏洞利用性評價(jià)、漏洞影響面評價(jià)、漏洞事件可能性評價(jià)等場景算法。
漏洞利用性評價(jià)基于漏洞確信度、訪問路徑、環(huán)境要求、應(yīng)用權(quán)限和交互函數(shù)等元數(shù)據(jù)構(gòu)造響應(yīng)的數(shù)據(jù)模型。
漏洞影響面評價(jià)主要包括資產(chǎn)重要性(ACR)評價(jià)及漏洞的危害性評價(jià)。從資產(chǎn)角度收集包括資產(chǎn)的流量間訪問關(guān)系、業(yè)務(wù)敏感請求,支持關(guān)聯(lián)設(shè)備類型、網(wǎng)絡(luò)區(qū)域等多類數(shù)據(jù)對資產(chǎn)的重要性進(jìn)行評價(jià),ACR數(shù)值越高,則資產(chǎn)價(jià)值量越大;漏洞危害性評價(jià)則更多依賴漏洞自身危害性關(guān)系、漏洞與攻擊事件關(guān)聯(lián)數(shù)量、攻擊事件影響等
漏洞事件可能性評價(jià)目前包括網(wǎng)絡(luò)曝光度評價(jià)、事件關(guān)聯(lián)統(tǒng)計(jì)等
•建設(shè)全量漏洞情報(bào)庫
除此之外,華云安面向公網(wǎng)捕獲威脅與漏洞情報(bào),通過關(guān)鍵詞和知識組構(gòu)造底層知識圖譜,依賴圖譜梳理漏洞cvss、首次發(fā)布時(shí)間、公開利用事件、公布PoC、Exp等多個(gè)底層數(shù)據(jù)間的關(guān)聯(lián)關(guān)系,用于模型計(jì)算。
傳統(tǒng)的漏洞優(yōu)先級大多采用CVSS評分進(jìn)行評估,而這樣“重漏洞輕資產(chǎn)”的評估方式則導(dǎo)致結(jié)果過于片面。任何漏洞只有依存在實(shí)體或非實(shí)體的資產(chǎn)上才有價(jià)值。因此華云安首創(chuàng)了基于風(fēng)險(xiǎn)的優(yōu)先級評估方法,方法分為資產(chǎn)維度和威脅維度:資產(chǎn)維度包含了“設(shè)備類型、設(shè)備能力、設(shè)備作用三個(gè)子項(xiàng)的評分;而威脅維度則會按照網(wǎng)絡(luò)曝光度、資產(chǎn)暴露度、資產(chǎn)漏洞等級進(jìn)行評分,所有的評分將采用深度學(xué)習(xí)模式進(jìn)行動態(tài)調(diào)整,深度學(xué)習(xí)的融合為算法提供了無限的演進(jìn)性,隨著時(shí)間的推移使每個(gè)企業(yè)都能夠擁有適合自身的優(yōu)先級評估方式,使計(jì)算結(jié)果更加落地。
風(fēng)險(xiǎn)評估指標(biāo)華云安基于大數(shù)據(jù)和知識圖譜架構(gòu)自主構(gòu)建了一套面向企業(yè)客戶的威脅與漏洞管理系統(tǒng)——靈洞。靈洞根據(jù)優(yōu)先級算法對漏洞進(jìn)行分類分級,同時(shí)結(jié)合客戶的核心業(yè)務(wù),為客戶指出漏洞影響業(yè)務(wù)的范圍和其產(chǎn)生的危害后果,告知其相應(yīng)解決方案,滿足了海量數(shù)據(jù)的快速關(guān)聯(lián)和分析檢索的使用需求,幫助客戶關(guān)注“真正的風(fēng)險(xiǎn)”, 為漏洞精準(zhǔn)識別和安全風(fēng)險(xiǎn)發(fā)現(xiàn)提供助力。
靈洞威脅與漏洞管理系統(tǒng)
