近日,奇安信CERT正式對外發布了《2021年度漏洞態勢觀察報告》(簡稱《報告》),圍繞漏洞監測、漏洞分析與研判、漏洞情報獲取、漏洞風險處置等方面描繪過去一年全網漏洞態勢。
《報告》顯示,2021年奇安信CERT新收錄漏洞信息21664個(其中20206條有效漏洞信息在NOX安全監測平臺上顯示),經NOX安全監測平臺篩選后有14544個敏感漏洞信息觸發人工研判,其中2124個漏洞影響較大,觸發了奇安信CERT的應急響應流程。相較于2020年,觸發應急響應流程的漏洞數量增長了150%以上。
收集器、過濾器和富化器
需要注意的是,盡管曝光的漏洞數量和危害程度與日俱增,但并非所有漏洞對組織造成實際危害。公開數據顯示,實際存在野外利用的漏洞,僅占漏洞總量的1%~2%左右。因此《報告》認為,安全運營人員在面對大量漏洞時,需要基于漏洞情報做好漏洞處理優先級排序,這對于威脅的消除將起到事半功倍的效果。
那么什么是漏洞情報?漏洞情報應起到什么樣的作用呢?
《報告》認為,威脅情報和漏洞情報作為安全情報大家族中的“大哥”和“二哥”,已經成為持續檢測和響應的關鍵要素。威脅情報描述現存的或者是即將出現的針對資產的威脅,可用于通知主體針對相關威脅采取某種響應;漏洞情報幫助企業漏洞管理者迅速判別漏洞對企業業務的影響,讓管理者能夠第一時間進行漏洞處置,避免后續風險的擴散。從這個角度來看,威脅情報的關鍵在與知彼,而漏洞情報的關鍵在于知己。
基于長期的漏洞情報運營實踐,奇安信CERT認為漏洞情報的運營需要起到收集器、過濾器和富化器的作用。收集器是指通過對一手數據源的挖掘和信息實時采集,保證漏洞情報的全面性和及時性;過濾器是指分析團隊依據完善的流程和專業經驗對漏洞的影響面和技術細節進行研判,保證信息的準確性和處理優先級的可靠性;而富化器是指對于確認的重要漏洞,好的漏洞情報需要給出切實可行的處理方法,提供除補丁鏈接以外的其他威脅緩解措施,富化漏洞信息的上下文。
多維度的情報搜集
漏洞運營所需要的情報信息是豐富的,需要開展多維度的信息搜集和關聯工作。
如果漏洞的核心信息只涉及軟硬件影響面(廠商、應用及版本)和漏洞本身技術層面的評估(威脅類型、利用場景、危害大小等),這些只是漏洞本身的屬性的基本了解,并不能有效管控漏洞所產生的的風險,從而指導接下來的響應處置工作。
因此漏洞情報需要知道的更多,例如漏洞相關產品部署量有多大、是否存在公開的POC(概念驗證代碼)或者EXP(漏洞利用工具或者代碼)、是否存在在野利用、是否為0day漏洞或者和APT攻擊相關。而這些信息將直接影響安全運營人員對于漏洞的處置。
例如針對Apache Log4j2遠程代碼執行漏洞,奇安信CERT關聯的信息如下圖所示。
基于漏洞實際風險的優先級排序
在掌握多維度漏洞信息的基礎上,對于漏洞實際風險的判定,從而過濾出哪些漏洞風險較高,哪些漏洞風險較低,這是漏洞情報運營中,技術難度最高也是最為關鍵的環節。
據初步統計,平均每天被曝光的漏洞數量就達數十個之多,想要面面俱到就得消耗巨大的資源,這對于任何單獨一個組織都是不可能完成的任務。因此組織需要對于漏洞進行優先級排序,優先處置實際風險較高的漏洞。
但很多時候,如果只是基于漏洞庫給漏洞風險評分(如美國國家漏洞庫NVD給出的CVSS評分)來確定優先級,是遠遠不夠的。由于多種技術層面以外因素的影響,相同CVSS評分的漏洞所能導致實際安全風險往往天差地別。同樣 10分的漏洞,Apache Log4j2這樣頂級漏洞與其他同樣10分漏洞的實際風險天差地別。
對此《報告》認為,這個難題需要通過結合威脅情報來緩解。奇安信CERT的多維度的漏洞情報信息,為用戶提供了基于漏洞現時狀態進行優先級排序的可能。同時,奇安信CERT將已經存在野外利用的、已有公開 Exploit/PoC、已有技術細節的高危漏洞圈定為關鍵漏洞,將其排在優先位置。
另外,漏洞運營的目標也不僅僅知道哪些漏洞重要,同樣需要知道的還有哪些漏洞“名不副實”,一定程度上可以忽略。一個典型的例子是2021年12月Log4j2漏洞爆發以后,由于聚光燈效應,一些衍生漏洞隨之出現。但其中絕大部分很難被利用或者并不會造成實際威脅。
可行的漏洞響應處置措施
在收集、過濾之后,針對漏洞提供足夠豐富的處置措施,也是漏洞情報運營中必不可少的組成部分。
《報告》認為,僅僅只提供了補丁是遠遠不夠的,因為打補丁受各種現實條件的限制,比如需要考慮重要服務器的性能和穩定性、在生產環境中安裝補丁是否需要重啟、是否有完善的補丁回滾機制,更不要說0day漏洞就沒有補丁。
此時,漏洞情報需要就需要富化漏洞響應措施,在必要時給出非補丁方案,例如系統配置更改、漏洞利用檢測規則等等。
例如對于 ProxyLogon 漏洞,奇安信CERT旗下NOX安全監測平臺持續更新 6 次安全風險通告,不斷對緩解措施進行完善,最終提供了兩千余字詳細描述的可行操作步驟。對于 Log4Shell 漏洞,NOX安全監測平臺給出的完整處置建議涵蓋了漏洞排查、攻擊排查、修復版本、產品解決方案以及多種不同場景下經過驗證的有效緩解措施,該完整的處置建議在奇安信多家客戶單位的一線應急響應中做出了重大貢獻。
