【连载】2020网信自主创新调研报告-漏洞管理
2020网信自主创新调研报告
专家委员
主 任:倪光南
副主任:严 明、霍 炜、胡伟武、窦 强
委 员(按拼音排序):曹 冬、陈晓桦、邓小四、杜 胜、杜跃进、冯燕春、冯裕才、郭守祥、韩乃平、胡红升、黄志刚、姜海舟、李 斌、李璐瑶、梁育刚、刘龙庚、刘闻欢、刘 毅、陆宝华、罗东平、潘凤岩、唐 彬、汤学军、田俊峰、肖新光、杨纪文、翟起滨、张焕国、张 强、张 彦、张宇翔、张岳公、赵 波、赵战生、郑静清、祝国邦
漏洞属于逻辑缺陷,无法完全避免。合理的组织和利用漏洞数据,能为安全厂商提供技术和数据支持,帮助用户提高安全能力、降低安全风险。在网信自主创新的大环境下,自主开发的网信产品面临着更大的漏洞风险。产品自身的安全性若未经严格漏洞测试验证,一旦投入应用于关键节点,后果不堪想象。因此,建立一套符合中国自主创新的网信生态发展特色的漏洞管理制度和治理手段十分必要,也相当迫切。
01 我国厂商已经拥有了较强的
漏洞挖掘能力和管理能力
漏洞挖掘能力
漏洞挖掘是网络攻防技术的重要组成部分,也是发现 0DAY 漏洞的有效技术手段。在我国信息安全发展的早期,主要由具备漏洞挖掘能力的个人自发性的开展漏洞挖掘。随着信息技术的高速发展,漏洞挖掘领域逐渐从个人作战发展为企业团队合作。在国家政策的指引下,国内安全厂商纷纷成立安全研究实验室,致力于网络安全前沿技术研究和漏洞挖掘工作。目前,主流的安全企业已经形成规模化的漏洞挖掘团队,漏洞挖掘技术不断完善,在漏洞挖掘领域也取得了卓越的成绩。如天融信阿尔法实验室自成立以来,共输出 CNVD(国家信息安全漏洞共享平台)原创漏洞 800 余个,CVE 平台原创漏洞 80 余个,CNNVD(国家信息安全漏洞库)原创漏洞 90 余个,CIVSVD平台原创漏洞50余个。360冰刃实验室挖掘主流厂商CVE漏洞2000余个,成就史上最强“漏洞挖掘大满贯”。
漏洞挖掘的过程是由技术人员借助工具来完成,工具的有效使用可以提升漏洞挖掘的效率,但其根本还是在人。技术人员的水平直接决定了其漏洞挖掘能力。如今,90 后已成为漏洞挖掘领域的中坚力量。在该领域,我国的技术水平已达到国际前列,在谷歌、MSRC 等组织的漏洞挖掘国际赛事上,我国年轻一代工程师多次取得优异成绩。2019 年,微软公司 Blue Hat 大会,360 以 247 次漏洞致谢位列全球第一,共有 10 人登榜其中 7 人名列榜单前 50[8]。
[8] http://science.china.com.cn/2019-01/24/content_40652472.htm
传统的漏洞管理体系面临日益庞大的信息资产数量,无法快速定位和准 确评估最新爆发的高危漏洞,无法对漏洞修复状态和情况进行有效跟踪,无法及时了解全网漏洞的风险状况,迫切需要能够对漏洞进行全生命周期管控的管理体系。漏洞全生命周期管理大致可以划分为漏洞识别、漏洞确认、漏洞加固、漏洞验证、漏洞消除、漏洞报备等几个环节。
在漏洞生命周期管理方面,国外具有较多的成熟案列,主要体现在漏洞扫描类产品和统一管理类产品。具有代表性的产品有 Tenable 公司的扫描器 Nessus,以及 Vulcan Cyber 公司的漏洞管理平台 Vulcan Cyber。
Nessus 是行业内部署最广泛的漏洞和配置评估产品,主要致力于快速发现、审计配置、资产分析、敏感数据发现、补丁管理的整合,以及安全状态的漏洞分析。Nessus 拥有超过 50,000 单个漏洞库和配置检查,具有扫描任意端口任意服务的能力,以用户指定的格产生详细的输出目标的脆弱性报告,完成用户管理侧的漏洞安全评估 [9] 。
Vulcan 的设计目标是将应用漏洞、错误配置等一系列安全问题转化为可执行的解决方案,从而使企业的安全团队能够专注于解决最有威胁的安全问题。Vulcan 基于威胁情报将企业的安全数据与 IT 数据融合,通过本地 API 与安全评估、运营集成,建立完整的漏洞安全视图。Vulcan 的自动漏洞修复解决方案支持自动化编排现有的工具和过程,将漏洞暴露时间从数周、数月缩短到了数小时,完成漏洞的全生命周期管理 [10]。
国内厂商同样推出了综合漏洞发现与评估系统,以及漏洞全生命管理平台两类漏洞管理产品。天融信依托阿尔法实验室的漏洞挖掘和分析能力,推出了具备智能扫描、资产识别、爬审分离能力的综合漏洞发现与评估系统。该系统综合运用预探测、多线程的扫描技术保证迅速完成扫描任务;采用验证分析方法,融合最新的操作系统指纹识别、智能端口服务识别等技术,能准确识别被扫描对象的各种漏洞信息。安恒信息的 AiLPHA 大数据实验室把自动化编排与响应的理念和机器学习技术融合到相关产品中,推出了弱点管理平台。该平台通过对用户的各类扫描工具与内置引擎的统一调用,提升全网自动化漏洞检测管理的能力。恒安嘉新的网络安全漏洞管理平台采用“众研、众判、共治”的漏洞治理思路,将信息产品提供者、网络运营者、漏洞收集平台、安全厂商、“白帽”团队组织起来,构建漏洞治理全流程管理平台,实现了安全威胁及时预警、安全问题精准通报、安全事件及时整改的漏洞防治效果。
[9] http://nessus.evsino.com
[10] http://blog.nsfocus.net/rsa-vulcan-cyber/
02 新形势下需要加强面向
国产化的能力和机制建设
漏洞挖掘能力有待提升
在国产网信体系漏洞检测方面,虽然国内各大安全厂商都推出了兼容国产化平台的漏洞检测产品,但不可否认的现状是手段比较单一、国产化漏洞知识库不足、产品覆盖率不全面,面临着认知偏差、能力不足、积累不足、实战不足等问题。
漏洞挖掘技术多种多样,但这些技术都有一定的不足,主要体现在分析速度慢、程序状态空间覆盖率低、自动化程度差等方面,需要将自动程序分析的结果、抽象信息与人提供的经验知识有机结合,以提高漏洞挖掘的准确性和效率。用自动攻防系统代替人类并不现实,但采取更多自动化工具,将在安全攻防中获得有力的辅助。此外,针对实战能力不足的问题,则需要多方定期开展实战攻防演练和能力评估,不断检验和提升相关行业安全防护、应急处置和指挥调度能力。
面对资产类型和规模越来越庞大,资产信息变更越来越频繁的现状,资产管理和漏洞管理的难度大大增加。在日常工作中,常常难以分辨哪些漏洞需要在第一时间解决,以及需要按何种流程处理漏洞。此外,不能落实定期评估与漏洞修补工作,不能详细梳理自身资产和业务,无法直观了解到漏洞所影响的资产范围及修复进度等问题也是普遍存在的现象。
漏洞管理的主要工作是检测、决策和修复。目前漏洞管理存在的典型问题包括:一是漏洞处理流程不清。发现漏洞后,对于漏洞修复时间、漏洞的响应级别等没有进行规范化操作。二是缺少明确的漏洞修复方案。在实际的漏洞处理过程中,修复的漏洞会被轻而易举的绕过,或者修复完全没有起到作用等情况。三是管理和决策缺位。对资产和漏洞管理的过程就是对风险管理的过程。当前现状,一方面是对现有环节缺乏管理方法和策略,另一方面缺少关键的决策环节。
只有把资产以及与漏洞相关的工具、设备、数据、情报、人员等要素,进行流程化、体系化、持续化的管理,形成漏洞管理体系,及时发现和管控资产,才能降低漏洞带来的风险,充分保障网络和业务的安全运行。
03 发展众测和响应平台
进一步提高漏洞管理水平
第三方漏洞众测和响应平台旨在提供漏洞信息共享和交易渠道,可依据和供应商的约定,配合后续的漏洞缓解、修复、预警等响应工作。发展众测和响应平台能充分利用社会研究能力,有利于供应商节约成本;同时,也有利于培育、引导、约束和保护民间漏洞研究者;此外还有利于引入外部安全专家协助供应商开展漏洞评级工作。国际上类似做法已有许多成功案例。例如,2012 年成立于美国的漏洞识别平台 HackerOne,与美国国防部、谷歌、 Twitter、GitHub、高通等 1200 多个组织合作解决了 950,000 多个漏洞。
开展第三方漏洞众测和响应时,应坚持开放测试、安全可靠、公平公正、快速响应、沉淀知识的原则,从以下四个方面进行构建:第一,设计统一、高效的漏洞报送接口;第二,制定漏洞核验评级标准;第三,开展漏洞修复 及预警协作;第四,建立专门的漏洞响应运营体系。
本报告版权属于关键信息基础设施技术创新联盟所有,受法律保护。未经许可,任何单位及个人不得以任何方式或理由对报告内容进行使用、复制、修改或与其它产品捆绑使用、销售。
转载、摘编或引用本报告内容和观点应注明“来源于关键信息基础设施技术创新联盟《 2020 网信自主创新调研报告》”,并书面知会联盟秘书处。
凡侵犯版权等知识产权的,联盟必依法追究其法律责任。
邮箱 | cii_zgc@163.com
地址 | 北京市海淀区奥北科技园
20号楼5层
关键信息基础设施技术
创新联盟
相关链接:
邮箱 | cii_zgc@163.com
地址 | 北京市海淀区奥北科技园
20号楼5层
关键信息基础设施技术
创新联盟
相关链接: