中国移动通信集团广西有限公司桂林分公司 广西桂林 541004
摘要:在互联网迅速发展的大背景下,各类黑客信息、工具的获取越来越方便,导致掌握漏洞攻击技能的门槛越来越低,每年互联网爆出大量安全漏洞信息并可获取到漏洞利用工具,一个普通的黑客通过利用傻瓜化工具即可成功利用漏洞进行破坏。作为被黑客攻击的对象,需要第一时间对漏洞进行感知并高效自动化完成漏洞预警、自查、复查工作,及时保障系统安全。
关键词:漏洞预警、漏洞识别、漏洞跟踪
Abstract:The background of the rapid development of the Internet,various types of information,tools hackers access to more and more convenient,to master vulnerability attack skills increasing the threshold is low,every year the Internet broke a lot of information security vulnerabilities and to exploit tool,a common hacker through a successful exploit tools can use to destroy the fool. As the object of being attacked by hackers,the first time to be aware of the vulnerability and efficient automation complete vulnerability warning,self-examination,review work,timely security system security.
Keywords:Vulnerability warning,Vulnerability identification,Bug tracking
引言
近两年,漏洞的披露和漏洞的利用方式逐步发生了改变,借助各大社区、社交平台,漏洞的传播速度惊人,早上披露的漏洞,到下午可能已经有了利用代码,到了晚上很多攻击可能已经发生。针对这种形势需要积极应对这种变化,建立和完善的系统的安全漏洞预警及闭环跟踪体系,建立安全漏洞的应急响应机制,第一时间知道漏洞爆发,随着漏洞出现时间跟踪漏洞的利用过程,随时调整漏洞的响应级别。
针对现在安全漏洞在互联网传播迅速,被利用时间短,对网络爆发式影响的特点,需要将互联网中安全漏洞威胁的跟踪作为漏洞管理的一个重要环节,而只有及时跟踪到这些威胁情报,才能及时落实到漏洞跟踪闭环管理流程中。威胁是外部因素,新漏洞披露的消息,漏洞是否被关注,是否已经有了利用该漏洞攻击的代码,是否被用于恶意软件进行传播,所有这些说明漏洞的外部威胁的强弱;漏洞是内部因素,是在具体网络资产上客观存在的,利用难度、利用方式、被利用的后果,以及资产和资产上的数据重要性,以及是安全防护是否到位,说明网络自身的健壮程度。通过适合的管理流程,把内外部安全因素统一度量、分析和管理,才能有效应对目前安全漏洞的新趋势变化。
目前互联网中有各类安全漏洞预警平台,包括Microsoft 安全公告平台、国家信息安全漏洞平台、CVE中文漏洞信息库、以及各类操作系统、数据库、应用的官网等,都会不定期发布安全漏洞预警,如通过人工进行信息汇总分析,工作量巨大容易出错,同时无法保证及时性,通过研究形成漏洞预警系统,自动从互联网获取与本单位在网设备相关漏洞预警信息,第一时间对漏洞进行感知并自动化通知系统管理员进行应对,同时通过与收费或免费版本漏洞扫描系统进行联动,自动化进行漏洞识别及对漏洞跟踪统计,自动化的完成漏洞预警、自查、复查工作,及时保障系统安全。
1.安全漏洞自动预警及跟踪闭环现状问题
1.1漏洞预警响应及时率
在漏洞预警响应阶段,目前大部分单位通过人工浏览漏洞披露平台进行感知,完全依赖人工如无法及时收集感知最新发布的漏洞信息,将无法保证安全漏洞识别的及时性。漏洞从披露到研究员分析验证,再到漏洞识别插件编写,进而到大规模扫描检测,在这环环相扣的漏洞预警响应生命周期中,最关键的两个部分应该算是漏洞感知、漏洞识别插件编写,通过开发漏洞自动预警及与漏洞扫描器联动的方式,能够大大减少漏洞预警、漏洞识别的时间周期。
1.2漏洞识别效率
在大型企业环境,如运营商,由于组网结构复杂,设备数量巨大,导致进行漏洞排查的时间成本较高,如通过人工利用POC脚本方式识别漏洞,识别效率无法满足紧急漏洞排查工作要求,需要人工操作工具化,将POC脚本形成漏洞识别插件纳入检测工具规则,避免因人员原因导致漏报误报情况,高效完成漏洞识别及整改复核操作。
1.3漏洞闭环整改及时率
在已有漏洞的识别及利用机制后,如无法在黑客发现漏洞前完成漏洞修补,将可能产生严重安全事件;事实证明,99%以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞。对于互联网爆出的安全漏洞,只有及时对漏洞进行预警并完成漏洞的识别、加固、复查闭环管理,在最短时间内完成漏洞修复,才能避免未及时整改漏洞而导致安全事件的情况发生。而漏洞闭环整改及时率往往需要有高效的漏洞识别机制、具有可操作性的漏洞整改方案、及时的漏洞通知机制。
2安全漏洞自动预警及跟踪闭环设计
2.1 安全漏洞自动预警及跟踪闭环研究总体框架
漏洞的预警及紧急响应周期中,包含了漏洞披露感知、漏洞插件编写、批量漏洞检测、整改闭环等工作流程,各流程依存关系如下:
.png)
图1 漏洞的预警及紧急响应周期
根据漏洞的预警及紧急响应周期,形成可实现漏洞自动预警、漏洞自动识别、漏洞报告自动通知、漏洞自动复查的漏洞闭环管理思路,各对应模块功能如下:
(1)漏洞自动预警:互联网中有各类安全漏洞预警平台,包括Microsoft 安全公告平台、国家信息安全漏洞平台、CVE中文漏洞信息库、以及各类操作系统、数据库、应用的官网等,都会不定期发布安全漏洞预警,如通过人工进行信息汇总,工作量巨大同时无法保证及时性,通过开发形成可以从任何网页精确采集漏洞数据,生成自定义的、规整的数据格式,与资产进行匹配,并进行精确推送到相关资产责任人,保障漏洞预警及时性。
(2)针对特定漏洞开发漏洞测试插件:通过NASL编写漏洞测试插件,自动化利用免费或已购漏洞扫描器资源,利用特定规则针对单独漏洞进行漏洞检测,大大节省新近爆发漏洞的识别时间;
(3)自动通知模块:根据资产表,把有漏洞的设备及漏洞整改方案,自动派发邮件给相关责任人,方便责任人操作,及时修补漏洞;
(4)漏洞跟踪:根据责任人修补的结果自动进行漏洞匹配,确定漏洞整改情况,形成闭环;
(5)报表输出:根据所在工作单位需求,制定统一报表格式,自动生成所需报表,留档溯源。
漏洞自动预警及跟踪闭环管理流程见图2.
.png)
图2 漏洞自动预警及跟踪闭环流程
2.2 难点及解决方案
2.2.1精准获取漏洞信息
如何在众多漏洞发布平台、黑客论坛、安全网站获取与本单位资产相关的漏洞信息,是精确进行漏洞排查的关键,可通过开发相应工具对互联网海量数据与本单位资产进行精确匹配,分析得出与本单位相关的安全漏洞信息。
同时根据漏洞自身风险、业务环境、外包威胁等因素,综合衡量漏洞自身风险、资产重要性和外部威胁,为后续的漏洞修补提供更准确的依据。
漏洞风险分析将考虑如图3所示因素:
.png)
图3 漏洞风险因素
2.2.2有效漏洞识别规则
在新的漏洞爆发后,需要有有效的漏洞识别规则,才能及时开展全量资产的漏洞排查工作,对于新爆发漏洞的识别规则,需要按小时级进行响应。漏洞规则主要通过以下两种方式获取:
(1)如暂时无利用代码,但漏洞发布平台明确指出了受影响的版本,这可通过版本号方式进行排查。
(2)如漏洞发布时已有可利用代码,需要及时把漏洞验证分析的过程通过代码描述,并根据不同类型的漏洞使用NASL编写相应的漏洞检测插件,用于漏洞的批量检测;
编写 NASL漏洞检测插件时应遵循几个准则:
1)随机性
所涉及的关键变量或数据应该具有随机性,切勿使用固定的变量值生成Payload,能够随机生成的尽量随机生成。
2)确定性
能通过测试返回的内容找到唯一确定的标识来说明该漏洞是否存在,并且这个标识需要有针对性,切勿使用过于模糊的条件去判断。
3)通用性
所使用的 Payload 或包含的检测代码应兼顾各个环境或平台,能够构造出通用的 Payload 就不要使用单一目标的检测代码,切勿只考虑漏洞复现的环境。
由于该工作涉及到很专业的安全漏洞识别技术,大部分单位无法自行编写漏洞识别新漏洞的插件规则,可以通过关注专业安全厂商获取,或购买专业安全厂商的收费插件。
2.2.3联动漏洞扫描器及精准漏洞信息推送
为能达到无人值守进行漏洞排查并通知系统管理员,可通过NASL快速地针对新出现的漏洞编写出测试插件,并利用免费漏洞扫描器(如Nessus),自动调用指定漏洞探测模块,扫描完成后将漏洞数据邮件方式自动通知到相关责任人。
2.2.4合理漏洞修复优先级
对于修补工作而言,还要考虑到在哪里投入工作量效果最明显,即修复某个漏洞对网络整体风险的降低作用最,优先级模型如图4所示:
.png)
图4 漏洞修复优先级
3在日常预警及响应中的运用
在通常的运维工作制度要求中,安全运维人员要对日常披露的漏洞做周期性扫描,一般会采用定期扫描全部漏洞、扫描全部资产的方案。在没有资产变化,原有漏洞已经修复的情况下,这种扫描方案耗费资源,占用带宽,效率低。安全漏洞自动预警及跟踪闭环方案在日常运维中可以进行增量扫描。日常采用增量扫描的方式,能够节省带宽等资源消耗,提高扫描效率,快速发现风险并处理,在漏洞爆发后能第一时间识别并修复漏洞,方案模型如图5所示:
.png)
图5 安全漏洞自动预警及跟踪闭环流程
结语
安全漏洞自动预警及跟踪闭环结合当前漏洞威胁情报、社区化互助和知识积累,结合本地风险持续监控,以及漏洞管理全流程管控能力,改原来周期式、下达任务式安全漏洞检查的管理策略,为快速应急响应、风险预警触发的自动化高效率工作模式,并且在管理流程的各环节,提供优化分析后的技术建议,最大程度加快漏洞识别及修复效率,在漏洞被利用前完成修补。可根据方案开发形成漏洞自动预警及跟踪闭环管理平台,为本单位漏洞管理流程提供自动化快速响应、有序修补、持续优化的管理能力。
参考文献:
[1]冯登国,张敏,张妍等.《云计算安全研究》,软件学报,2011(22)
[2]张新跃,刘志勇,赵进延等.《基于电信运营商的安全应急响应体系研究》,信息网络安全,2011(8)
[3]绿盟科技官方网站. http://www.nsfocus.com/,2016年
[4]Andrew Jaquith著李东东韦荣译.《安全度量SECURITY METRICS Replacing Fear,Uncertainty,and Doubt---量化、分析与确定企业信息安全效能》,电子工业出版社,2007.12
作者简介:莫富荣(1985-),女,汉族,广西桂林,本科,中级工程师,主要从事企业网络与信息安全生产运营、IP城域网维护工作。
论文作者:莫富荣
论文发表刊物:《防护工程》2019年19期
论文发表时间:2020/2/27
标签:漏洞论文; 闭环论文; 安全漏洞论文; 互联网论文; 插件论文; 资产论文; 信息论文; 《防护工程》2019年19期论文;