青藤云安全:漏洞管理新说

漏洞管理(Vulnerability Management)是一个老生常谈的概念,也是信息安全领域最为人熟知的概念。漏洞管理不等于漏洞扫描
摘要

漏洞管理(Vulnerability Management)是一个老生常谈的概念,也是信息安全领域最为人熟知的概念。漏洞管理不等于漏洞扫描,漏洞扫描充其量只是过程中的一个步骤。大家经常会把漏洞管理和补丁管理(Patch Management)混为一谈,两者区别也在这里说下,补丁管理是指更新软件、操作系统和应用的一个过程,补丁通常包括功能类、性能类和安全类补丁。把漏洞管理和补丁管理放在一起,基本有一定的衔接关系,在存在漏洞的时候,需要打补丁来进行修复。但是有时候的漏洞短时间内并没有补丁,比如0Day,或者是放弃维护的软件、系统以及应用,比如Windows XP。漏洞有时候就算发现了,也会因为业务问题而无法打补丁,要通过其他的方式降低影响,比如安全流量设备的虚拟补丁。

将企业的漏洞管理计划与安全框架或标准进行对照,如 Center for Internet Security (CIS, 互联网安全中心) Controls,将有助于揭示有差距以及潜在的改进领域。目前CIS Controls的版本是V7.1发布时间是2019年4月。CIS控制是一系列有优先级的纵深防御行为,可以降低大部分常见的攻击方式。CIS控制一共分为三个大的部分,初级、基础级、组织级。每个级别是递进关系,每个级别里面表明了相应的安全手段。如下图所示,这里看到持续的漏洞检测是作为初级能力中的第三项出现,也是在安全能力要求比较低的情况下就需要做出的表现。

青藤云安全:漏洞管理新说

青藤云安全:漏洞管理新说

关于持续漏洞管理的细分要求

上图中共展示了七个要求:3.1 运行自动化扫描工具主要讲的是非认证式扫描,指外部通过网络指纹方式的扫描;3.2 运行认证的扫描,主要指登录到相应的设备进行扫描;3.3 设定专用账号,这个是扫描的方式要求,这样可以一方面方便扫描,另一方面可以降低误报;3.4部署系统的自动化补丁管理工具,是针对于系统的漏洞进行修复;3.5部署软件的自动化补丁管理工具,这是针对于软件的漏洞进行修复;3.6 进行背靠背的漏洞扫描,是为了验证漏洞是否补丁成功的验证性扫描;3.7 采用风险评级流程,是一种按照风险来对漏洞进行评估的方式。以上七个要求只是说明了应该做到的方面,但并不代表漏洞管理流程,下一章将对漏洞管理流程进行解析。

漏洞管理流程

漏洞管理流程一般情况下分为四个步骤:漏洞识别、漏洞评估、漏洞处理、漏洞报告。

漏洞识别是我们通常意义下的漏洞扫描,也是漏洞管理的第一步。根据现有资产的情况,目前可分为笔记本、PC、服务器、数据库、防火墙、交换机、路由器、打印机等。漏洞扫描进行全部资产的扫描发现已知的漏洞。后面会详细介绍漏洞识别的相关原理。

漏洞评估是在漏洞识别的基础上进行漏洞严重性的评估,这一步非常重要会影响到后面的处理步骤。比较常见的漏洞评估是使用CVSS评分法,根据CVSS的分数可以分为危急、高危、中危和低危。但是这种评估方法被业界诟病太多,需要结合其他的方式来进行评估。做法会更进一步结合资产的重要性来评估漏洞影响,更好的方式是结合风险和威胁评估。后文也会重点说明这种方式。

漏洞处理是在漏洞评估的基础上进行相关的修复、降低影响或者不修复的操作。修复动作不是简单的打补丁,是一个流程上的东西。修复过程通常包括以下几个步骤:

1. 获取厂商的补丁;

2. 分析补丁的依赖和系统的兼容性以及补丁的影响;

3. 建立回滚计划,防止补丁对业务造成未知影响;

4. 在测试环境测试补丁修复情况;

5. 在部分生产环境测试补丁修复情况;

6. 进行灰度上线补丁计划,乃至全量补丁修复;

7. 分析补丁修复后的系统稳定并监控;

8. 进行验证补丁是否修复成功,漏洞是否依然存在。

对于很多无法直接根除漏洞进行补丁修复的情况,比如0Day,不在支持范围的系统或者软件,业务需求无法中断,补丁速度滞后等情况。我们要采取降低漏洞影响的操作,如下图所示:

青藤云安全:漏洞管理新说

通常关于漏洞减轻的措施三个大的方面:网络、终端、应用和数据,细分可包括:

1. 隔离系统网络,包括防火墙规则和网络区域划分;

2. 网络访问控制;

3. NIPS、WAF、SW、DAP、RASP等软件或者设备签名规则更新;

4. HIPS终端类安全产品进行阻断;

5. EPP类安全产品类似白名单机制、系统加固等;

6. 阻断有漏洞软件的网络连接;

7. 主机防火墙进行端口阻断。

本站推荐
热门文章
标签