青藤云安全:漏洞管理新说
|
说完这些模式,漏洞识别的核心原理是什么呢?漏洞识别本身并不是很复杂的事情,因为NVD的数据全部是公开,数据来源来看除非有大量的0Day,否则漏洞数量上每个厂商的区别并不大。笔者曾研究过Nessus的实现原理,毕竟在3.0之前还是开源的。80%以上的漏洞识别都是通过版本比对实现的,但是不是CVE漏洞能够体现的,而是每个厂商的安全公告(Security Announcement)获取的。比如RedHat的Security Announcement( https://www.redhat.com/mailman/listinfo/rhsa-announce),可以通过邮件订阅,这里才是真正的可用数据。这里附带一句,任何成熟的软件厂商都应该维护这样的一个安全公告,要不然客户遇到漏洞无法修复。主流的Linux系统都有这种公告我就不一一列举了,还有一些核心的软件也有这种安全公告内容。有这个的好处是让漏洞扫描工具可以迅速的定位漏洞问题所在。除了版本比对,各个扫描器的区别就在PoC的验证脚本数量,老牌的漏扫三大厂Rapid7、Tenable、Qualys积累的都不少,这个就是个日积月累的活了,这种通过PoC的方式更准。因为有些情况运维图省事,直接替换二进制,其实漏洞已经修复了,但是版本没有变化,这时候PoC就起作用了,还有在版本无法获取的情况下也可以发挥作用。PoC可以分为两种形式,一种是本地类的验证,比如bash的Ghost漏洞这种情况就是本地执行PoC方式;另一种网络类的验证,比如OpenSSL的HeartBleed漏洞,就需要向其网站能够发送触发漏洞情况的Payload。其实无论是网络类的扫描方式还是主机类的扫描方式都是这两种原理。 这里可以贴个Kenna和Cyentia联合报告的图,记录了每个厂商的修复漏洞时间:
微软对待漏洞的态度还是挺坚决,75%的漏洞都会在134天内能够修复,反观IBM就会慢很多,也是对于厂商选型来看有参考价值。 其实漏洞扫描厂商的最大区别并不是部署模式,或者是发现方式,最核心的问题是对漏洞的评估。举个例子,如果有1000个漏洞被识别了,要如何回答客户哪100个漏洞是最值得修复的,这才是核心区别,下面着重讨论。 漏洞管理遇到新的问题 一、漏洞评估方式的改进 漏洞的评估模型目前有三种:基于漏洞本身的评价;基于资产的评价;基于风险和威胁的评价。
一般客户能做到以漏洞为中心的第一点也不容易,基本都是对于所有漏洞无差别修复,这样工作量很大,且没有抓住重点。加入资产的重要性进了一步,根据实际资产的价值进行结合这样更有针对性。以威胁为中心的评价方式是近几年提出的,并不是取代上面两者,而是这个基础上综合考虑加入威胁的因素。合起来的模型叫做逐渐降低风险和立即处理威胁(Gradual Risk reduction & Imminent Threat Elimination (GRIT))。如下图所示:
越靠下的部分证明修复窗口越大,越不需要紧急修复,越靠上修复窗口越小,需要紧急修复。最下面的逐渐降低风险是对待风险以漏洞为中心或者是以资产为中心的传统方式。中间的普通紧急威胁是指在渗透的数据库里比如exploitDB或者在渗透测试的工具集里,或是在恶意软件或者勒索软件利用里面,这些数据的来源于威胁情报,需要做一些紧急的应对。最上面的紧急威胁是指针对性的攻击,主要指从威胁情报获取TTPs的攻击,这个针对性很强的攻击必须在很短的时间内处理。 下图是2019年十大安全项目之持续适应风险与信任评估的漏洞管理项目,其基本思路也是基于风险和危险的漏洞管理方式。
二、资产类型的扩展 信息化领域目前的两大趋势变化:传统数据中心上云;IT和OT的结合。两种趋势导致被评估的资产类型发生了很大的变化且导致问题关注点的转移。在上云的趋势下,传统的部署模式会有很大的挑战,尤其是容器技术的大规模使用,之前漏洞扫描的方式基本失效。云计算在使用上方的便性有很大的提升空间,但是通过本地部署的方式去进行漏洞并不是最合适的解决方案,基于云的扫描器可能更适用于这种情况。基于云计算的漏洞扫描方式可以跟云管平台联动,更好的管理云上资产,且毫不遗漏地进行所有云上资产的漏洞管理。由于容器技术的特点,之前网络类的还是基于agent的方式都很难对容器进行有效的漏洞扫描,都需要对容器的文件系统进行理解,对每个layer分析来进行漏洞的分析和扫描。因为容器的网络组织形式以及在运行时状态,会让传统的漏洞扫描失效,基本原理发生了根本的变化。所以在各个大的传统厂商,需要针对容器要做新的技术演进,同时留出了市场空间可以让专门做容器安全的公司有时间切入这个市场。 关于IT和OT的结合,这个场景会更多,漏洞作为安全领域的皇冠,OT安全首当其冲的就是考虑这个问题。OT包含的五大场景:智慧城市、智慧家庭、智慧医疗、智慧交通和智慧工业。智慧城市可以以摄像头举例,现在国内的雪亮工程都是当地极大的工程,但是很少考虑摄像头终端设备的漏洞情况和安全性问题。智慧医疗很多专业的医疗设备都会联网,同时安全性问题也就暴漏出来,国外有些安全厂商已经在关注这个特定的行业。智慧交通在车联网上在车内以及TBOX都有一些厂商切人,漏洞这块还是以挖掘为主,漏洞管理这块还没有成型。智慧工业的场景是常提到的工控安全,这个领域已经有相关的国内厂商在做,但是大部分都还是传统的IT思路。OT领域的漏洞管理还是比较初级的市场,需要更多的市场培育和关注。 三、新的产品类型 (编辑:源码网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
