漏洞管理生態系統近年來開始逐漸成熟起來,安全從業者投入大量時間來發現、管理、分類和交流漏洞。漏洞描述的標準化不僅有助于威脅情報共享,而且還有助于有效管理潛在的威脅,幫助組織、供應商和安全研究人員積極尋求發現漏洞并及時作出響應。
標準化的漏洞建模
當下,漏洞分類標準和漏洞模型都有一定成熟度,有不少標準化模型,包括CWE、CVE、CVSS、CPE、CAN、CAPEC、CKC等。在漏洞管理中,它們各自扮演什么角色,都作用在哪個階段,擁有什么特點,是安全人員需要提前了解。
圖1:標準化漏洞模型
CWE(CommonWeakness Enumeration):是開發的常見軟件和硬件安全弱點列表。基本上可以認為CWE是所有漏洞的原理基礎性總結分析,CVE中相當數量的漏洞的成因在CWE中都可以找到相應的條目。如在代碼層、應用層等多個方面的缺陷,從CWE角度看,正是由于CWE的一個或多個缺陷,從而形成了CVE的漏洞。
CVE(Common Vulnerabilities & Exposures):公開的漏洞都擁有唯一標識,漏洞編號就好比是出版物的ISBN號。目前最常見的漏洞編號,是引用MITRE組織推出的CVE編號系統,編號由(CVE Numbering Authorities)CNAs分配。漏洞信息通常包括簡要描述、告警、緩解措施和報告。 CVE就好像是一個字典表,為廣泛認同的信息安全漏洞或者已經暴露出來的弱點給出一個公共的名稱。但并不是有公開披露的漏洞都有一個相關的CVE- ID。保密的和未公開披露的漏洞通常被稱為零日漏洞。
CVSS(Common Vulnerability Scoring System):CVSS建立于1990年,目前由FIRST負責運營。它通常是基于對每個漏洞特征進行定量計算一個大致的評分(0-10分),然后輸出一個定性值(低、中或高)。當前的CVSS最新版本是2019年6月發布實施v3.1。
CPE(Common Platform Enumeration):通用平臺枚舉項,為IT產品和平臺提供了統一的名稱,原來屬于MITRE運營,2014年交由NIST,作為NVD基礎資源的一部分。它是對IT產品的統一命名規范,包括系統、平臺和軟件包等,CPE在信息安全風險評估中對應資產識別。
CAPEC(Common Attack Pattern Enumeration and Classification):是攻擊模式枚舉分類,是美國國土安全部建立于2007年,現在主要是由MITRE在運營,提供了公開的可用攻擊模式,在信息安全風險評估中應對威脅。
OVAL(Open Vulnerability and Assessment Language),用于表達系統安全狀態,是可以用于檢測的技術細節指導,包括獲取系統配置信息、分析狀態、輸出報告三個步驟。OVAL建立于2010年,2016年從MITRE轉交給CIS組織。
CKC(cyber-attacks and the Cyber Kill Chain):CKC的全面理解是建立在對漏洞生命周期的認識,包括漏洞出現和利用。CKC還通過分配特定事件的攻擊行為來提供威脅情報,并使用模型描述來理解這些行為。這種知識有助于目標系統的操作員確定一個成功的防御策略和解決某些網絡攻擊問題。
全生命周期的漏洞管理
當今的漏洞管理生命周期理論是由Arbaugh等人在2000年左右定義概念。通過漏洞生命周期映射,可定義過渡邊界的事件。由于漏洞會觸發相關的漏洞利用事件,風險程度也在提高,有了補丁可之后,風險程度則會降低。
圖2:漏洞生命周期
漏洞產生階段(Creation):漏洞尚未被發現或者利用, 因此, 該階段安全漏洞無風險。
漏洞發現階段(Discovery):當漏洞剛被發現時, 對漏洞的挖掘和利用處于探索階段, 并且掌握漏洞信息的人員數量少, 因此, 該階段漏洞風險較低。
漏洞公開階段(Disclosure):由于漏洞處于公開但未提供補丁的狀態,越來越多的潛在攻擊者開始關注此安全漏洞。攻擊方式也會發生改變, 例如攻擊由簡單的代碼供給轉變為自動攻擊工具, 使低技能攻擊者開始嘗試漏洞利用, 隨時間推移,漏洞風險持續升高。
漏洞評估階段(Assess):隨著攻擊腳本的傳播, 更多的攻擊者掌握了漏洞的利用方法, 從整體上看, 漏洞風險不斷增長,達到高峰期。
漏洞修復階段(Patched):隨著補丁釋放, 安裝用戶增多, 安全風險不斷降低。由于不同漏洞的復雜度差別較大, 對于未能提供補丁的漏洞,相關組織機構也會采取一些手段切斷黑客漏洞利用的攻擊鏈路。
ATT&CK戰術&技術的漏洞利用情況
攻擊者利用漏洞實現攻擊目標,而ATT&CK是目前為止針對攻擊場景總結最完善的知識庫。分析ATT&CK矩陣可以發現,各個戰術、技術的實現對于漏洞利用明顯不一。
如下圖所示,在將CVE漏洞與ATT&CK戰術實現進行關聯時候,發現“防御繞過”這一戰術對漏洞利用最多,而有一些戰術實現則從不利用漏洞,包括數據滲出、影響等戰術。當然有的漏洞,可能在多個戰術上都有所體現。
圖3:基于CVSS v3數據,看ATT&CK戰術的漏洞利用情況
在2019年時候,接近300種ATT&CK技術,其中有52種技術與漏洞相關,占全部ATT&CK技術范圍的17%。與漏洞相關的前3種技術是:T1148(HISTCONTROL環境變量)、T1027(故意混淆文件或信息)、T1130(安裝安全證書)。
如下表所示,總結了ATT&CK框架各個技術可利用的漏洞,括號中的數字表示受該技術影響的漏洞數量。
比快更快,比準更準的管理方案
青藤風險發現產品致力于幫助用戶精準發現內部風險,幫助安全團隊快速定位問題并有效解決安全風險。該產品能提供詳細的資產信息、風險信息以供分析和響應,能為客戶提供以下三大核心價值:
1.準確的風險識別,白盒視角的風險發現比黑盒更準確。
基于Agent的漏洞掃描,在準確性上擁有天然優勢。傳統漏掃產品對資產覆蓋的深度和廣度不足,導致檢測準確率不高。
2.極大提升掃描效率,在復雜環境下依然能達到極高的效率。
傳統漏掃產品效率低,而基于Agent方式可快速完成全部掃描。因此,一旦出現新的漏洞可在在很短時間內完成檢測工作。
3.自動關聯資產數據,定位相關負責人以及屬于何種業務。
在查到某機器上存在某個漏洞之后,可迅速知道誰負責這臺機器。
典型應用場景一:新高危漏洞的快速應急檢測
通過青藤風險發現產品可以快速進行響應,絕大部分漏洞都可通過資產識別直接定位,對于無法識別的漏洞可以通過編寫檢測腳本將其配置到檢測系統中即可。例如,攻方團隊利用了Weblogic反序列化漏洞、JBOSS遠程代碼執行漏洞、Apache Axis遠程命令執行漏洞等多個0Day漏洞進行攻擊。
典型應用場景二:高危漏洞的補丁識別和關聯
當一個漏洞被精準定位后,青藤風險發現產品能夠關聯分析這個漏洞相關的補丁。例如,風險發現產品通過CVE編號確認所有資產中有13臺機器上存在Shellshock漏洞。青藤產品不僅提供詳細補丁情況,還能夠檢測補丁修復后是否會影響其它業務。青藤通過識別應用,加載SO和進程本身確認是否被其它業務組件調用,來判斷補丁修復是否會影響其它業務。因此,在高危漏洞爆發后,青藤產品能快速幫助客戶進行補丁識別和關聯,并確認打補丁后是否存在風險等。
寫在最后
由于漏洞自身性質決定了漏洞庫更新永遠不會有完結一天,當然抓取的漏洞特征信息也不可能永遠保持正確,因此只能說漏洞樣本在一定程度上幫助組織機構更好防御風險。
當然,組織只依賴一個漏洞庫來源,不管它有多權威,可能會錯過影響其系統的重要漏洞信息。此外,CVSS評分系統雖然能夠提供一個相對參考評估,幫助了解和對比漏洞,以及漏洞嚴重程度,但這可能與現實真實情況有偏差,不同行業、不同企業IT設施都不一樣,因此面對同一個漏洞,影響面和危害面都不一樣。
