洞一直是網絡安全攻防的焦點,漏洞情報對于企業防範威脅的重要性不言而喻。但面對大量的新增漏洞,應該如何從中篩選出真正有威脅的漏洞,做到快速、有效的判斷識别,減少誤報率,本期話題就減少漏洞情報誤報的相關問題展開讨論。
(本文所有ID已做匿名處理)
1.漏洞情報應該如何從大量的告警中篩選出真正有威脅的漏洞,保證資訊的準确性和處理優先級的可靠性?
@鐵面無私
漏洞情報資料源的話,一般是參考不同安全服務商的資訊跟建議,觀察行業内大家的處理動向,多參考,不冒進。
@草長莺飛
通用漏洞評分CVSS,強調漏洞本身的技術嚴重性,不會給出明确的優先級順序,是以,新的VPT概念就出現了。VPT裡,可以在真實的漏洞處置過程中把企業實際IT環境中漏洞的可利用性和業務關鍵性等因素考慮進去,給出明确的優先級順序。VPT在不同環境裡有不同的計算次元,基礎的包括漏洞情報、資産資訊、優先級算法。
@清風
要确認新增漏洞的威脅矢量,必須從資産盤點開始,詳細的版本控制才能有效甄别風險是否比對,而處理的優先級則要跟内部事件定級、風險程度、整改成本等綜合考慮,漏洞威脅一個點,防禦整改一盤棋。
@空瓶
1. 在這個場景中資訊的準确性有兩個含義:
a)漏洞情報的準确性,即漏洞情報是否準确有效;
b)在滿足a)的情況下,漏洞情報與企業需求符合性,即漏洞情報涉及的範圍在企業中是否有部署。
在滿足a)b)兩條的情況下,才能夠判定相關資訊的準确性。
2. 處理優先級的可靠性,個人暫時認為是漏洞為企業帶來的風險等級,即漏洞在企業中的影響範圍和修複難易程度;
3. 綜上兩條,要滿足準确性和可靠性的需求,自然需要保證自身資産識别是否準确有效,隻有在資産識别準确有效的前提下才能做到風險識别的準确有效,才能判定應急處置的優先級。
2.對于可能受影響的實體資料和資産等關聯資訊,漏洞情報應該如何有效、快速的判斷識别?
@空瓶
1. 可以參考上個問題,需要準确有效的資産資訊是有效、快速判斷識别的基礎;
2. 在滿足資産資訊準确有效的基礎上,需要結合實體資料于資産資訊的關聯關系,可以參考STRIDE建立風險模型。
@盛夏時光
個人感覺首先要做好資産梳理,特别是供應鍊的梳理。通過工具比對幾個權威的漏洞披露源。如果有POC盡快核實是否受影響。如果影響根據資産重要性進行處理。最後通過全流量溯源核實在打更新檔之前是否已經被利用。
@鐵面無私
對于暴露的外部攻擊面要能動态監測,資産拎得清,元件能識别,然後需要内部做定期的安全掃描,并且結合hids等不同來源的資料去做确認。
@雨夜漁翁
資産拎得清,其實很難,你們資産是怎麼定義的?
@鐵面無私
我們本身跟運維條線一起做了一個資産持續監測跟蹤管控的平台,對從機櫃、實體伺服器到交換機等網絡裝置到虛拟機、到端口、IP、服務、系統都做了發現控制跟蹤維護,然後我們安全就借力做攻擊面管理。
3.一套完整的企業漏洞情報流程應該是怎樣的?是否也會根據企業性質、規模或自身資産情況不同而有所差異?
@鐵面無私
一般收到一個漏洞情報,首先在外部攻擊面資料裡去查哪些用了受影響的元件或者關聯的元件,然後結合HIDS的結果進行确認,基本外部攻擊面的可以梳理清楚,然後再在内網側結合漏掃結果,排查一遍,推進漏洞閉環。
@百事可樂
企業漏洞情報應該是從接收到漏洞情報,分析情報來源的準确性、評估風險、給出加強方案、定位排查資産、根據漏洞進行加強或者整改更新操作。
@盛夏時光
還要追溯一下加強之前是否已經進來了。
@六月時光
流程應該是:
1、安全人員發現問題;
2、出具建議方案(兩三句話)或專業方案(詳細);
3、具體落實。
一般第1點是安全人員做的,但第2、3會有争議,也是讓各個部門特别是運維反感安全的原因,運維覺得這些事有風險。這裡風險不是安全風險,是指可用性方面的風險,例如更新後系統用不了。
@大胡子
這種應該通過專門技術委員會去評估風險,我們安全隻管漏洞的風險,需要結合目前已有的安全防護措施進行評估。
@七月流火
是以安全一定要從風險出發,而不是落到漏洞的圈裡,資産、威脅、脆弱性得出風險,不然隻會自己給自己惹麻煩。
@百事可樂
同樣的漏洞例如log4j2,在純内網要評估改動的風險,如果風險過大,肯定不會去動了,在外網那肯定是要改或者降低風險。
@七月流火
給出去的漏洞整改要對結果負責,要具有可操作性,要有自己的見解,當時的log4j2漏洞,流傳的3個整改方法,有兩個是沒用的,真的給安全的權威性大打折扣。
@古道西風
甲方視角,資源有限的情況下,要收斂漏洞情報源,避免資訊洪流,精準擷取精準修複,關注利用難度低、範圍廣、影響大的top級漏洞,以風險降級為最終目标。不擔心預算、建立自己情報庫的除外。
@空瓶
1. 完整的企業漏洞情報流程:漏洞發現-->漏洞分析-->漏洞處置-->事後複盤和優化。
2. 主要的漏洞情報流程階段大體上是一緻的,每個流程階段對應的處置細節和方式會根據企業性質、規模或自身資産情況的不同而有所差異。例如實體工廠、2C網際網路企業、2B網際網路企業、醫藥企業等在漏洞流程的細節處理上會依照自己的業務形态、技術要求會存在特定的階段強化和側重。
最後,很多時候我們關注的是安全領域的上層威脅和風險模型,很容易忽略基礎性質的工作,任何安全類型的工作和處置流程,都無法脫離資産識别和風險識别,這些才是更應當關注且花費資源和精力做好的。
本期精彩觀點到此結束啦~