漏洞一直是网络攻防的焦点所在,因为漏洞直接或间接影响安全性的核心方面------权限。攻击者挖掘和利用漏洞,获取非授权的权限;防御方定位和消除漏洞,监测和阻断漏洞的利用,使攻击者无法利用漏洞达到其目的。漏洞信息本质上是一类威胁情报,可以被用来结合组织自身的资产驱动持续的检测与响应,避免漏洞导致实际的风险。
近年来,陆续有一些厂商开始做漏洞情报,声称基于漏洞优先级排序技术(VPT,Vulnerability Priority Technology)提供更有价值的漏洞信息服务。为什么会有VPT这么个提法?大的漏洞库不能满足用户的需求吗?是的,不满足,而且是非常的不满足。
要理解这个问题,我们需要对漏洞的现状有一个基于统计数据的详细分析,而这个事情其实很多所谓的专业安全厂商都没有认真做过。
一、一些基本的统计数据
奇安信CERT收集了2020年全年加上2021年上半年的漏洞信息,以下是一些基本的漏洞及占比统计:
漏洞总数:37478个
0day漏洞数:106个,占比0.28%;其中40+国产软件
ZDI漏洞数:450个,占比1.2%;其中200+目前无CVE
无CVE漏洞数:10887个,占比29%
CNVD漏洞数:17593个,占比47%
有公开Exploit/POC的漏洞数:1973个,占比5%;Exploit-DB来源414;PacketStorm 来源633;Github来源1338;MetaSploit来源24
有野外利用的漏洞数:667个,1.8%;其中319有公开Exploit,348无公开Exploit
APT相关的漏洞数:30个,占比0.08%
二、基于数据的分析结论
真正造成实际风险的漏洞只占少数
存在Exploit/PoC的漏洞占比超过5%,但只有1.8%比例的漏洞有公开来源信息显示存在野外利用,所以,实际导致安全风险的漏洞在已知漏洞集中只占很小一部分。
IBM X-Force对近10年来的漏洞利用情况做过一个统计(下图):
这里的数据跟我们的统计结果有些差异,但数量级是一样的千级。近年来每年的漏洞数量都在创新高,但被利用的漏洞数却相当稳定:只有10%不到。
关注漏洞的实际野外利用状态非常重要
有Exploit的漏洞数量达1973个,有在野利用的漏洞数667个,只有其中319个有公开Exploit。
大量的在野利用漏洞并没有公开的Exploit,处于私有状态,占比15%,所以只通过标记漏洞是否存在公开Exploit来判定漏洞的现实威胁还是不够的。但是调研了一圈国内的所谓漏洞情报,基本上看不到把漏洞是否存在野外攻击这个属性进行标记,并进行持续跟踪的,这也是挺搞笑的事。
CVE远没有覆盖绝大多数已知漏洞
无CVE的漏洞占比接近三分之一,因此,有大量的漏洞在CVE的视野之外,完全依靠NVD的数据是不可行的。这类非CVE漏洞国产软件来源的占了很大比例,已知的0day漏洞中国产软件相关的也占了差不多一半,因此非常有必要维护一个CVE超集类型的漏洞库。
三、用户的漏洞处理痛点
通过以上的数据分析,结合实际的用户反馈,我们发现用户在漏洞处置过程中存在如下痛点:
每天数以百计的新漏洞披露,如何才能识别出哪些漏洞是真正有威胁的部分;
一般情况下,攻击者会比防御方更早地知道漏洞的存在,如何能尽早得到完整准确的信息,不落后于攻击者太多;
通常发布漏洞补丁需要一定时间,而即使发布了相应的漏洞补丁,很多场景下,用户也无法随心所欲地安装。是否有快速可靠的临时解决方案,可以规避漏洞导致的风险;
在处置资源有限的情况下,应该优先处理哪些漏洞,以最大程度减小漏洞风险的敞口;
如何把漏洞情报无缝集成到组织自身的日常漏洞处理流程和机制中。
好的漏洞情报需要能回应上面这些痛点,解决或缓解用户的焦虑。
四、漏洞情报应该怎么做?
基于漏洞情报运营实践,奇安信CERT认为漏洞情报的运营需要起到收集器、过滤器和富化器的作用。
具体而言主要包括如下环节:
通过对一手数据源的挖掘和信息实时采集,结合威胁情报对漏洞进行多维度的属性标定,保证漏洞信息的全面性和及时性;
分析团队依据完善的流程和专业经验对漏洞的影响面和技术细节进行研判,把真正重要的漏洞过滤出来,保证信息的准确性和处理优先级的可靠性;
对于确认的重要漏洞,我们需要富化漏洞信息的上下文,跟踪漏洞的现时威胁状态,关联相应的安全事件,给出切实可行的处理方法,提供除补丁链接以外的其他威胁缓解措施建议。
1、全面的多维漏洞信息整合及属性标定
漏洞情报相对传统漏洞库区别最大的地方在于对漏洞本身技术层面以外维度的持续动态跟踪,一般的漏洞库的核心信息只会涉及软硬件影响面(厂商、应用及版本)和漏洞本身技术层面的评估(威胁类型、利用场景、危害大小等),这些信息还远远不够,是为了有效管控漏洞导致的风险,通常需要知道得更多:
漏洞是否在默认配置下存在,配置情况对漏洞可利用性影响极大,非默认配置下的漏洞其实际威胁往往远不如技术层面的定性看起来那么大;
漏洞相关的应用系统部署量有多大,这直接影响漏洞整体的威胁评估;
漏洞是否已经有了公开的技术细节、 Exploit 工具、概念验证代码(PoC),这会直接影响漏洞转变为现实的攻击;
漏洞是否已经有了野外的利用,这体现了漏洞是否已经从潜在威胁转化为了现实威胁;
漏洞是否已经被已知的漏洞利用攻击包或大型的僵尸网络集成作为获取对系统控制的途径,这标志着漏洞现实威胁的提升;
漏洞是否为0day或APT活动相关,意味着漏洞可能被用于攻击高价值的目标。
所有上面这些属性都应该通过运营被标记出来,以方便用户实现有效的处理优先级排序。
下图是奇安信CERT对2021年底核弹级漏洞Apache Log4j任意代码执行漏洞(CVE-2021-44228)的标签实例,随着新近利用此漏洞的攻击事件的发现,这些标签会随时新增和更新。
奇安信CERT的漏洞情报还会支持基于标签的搜索,让用户非常方便地获取匹配特定属性的漏洞集合。这些标签将来还会有对应的分类和描述,让用户能更深入地了解漏洞导致的威胁。
当然,上面所有的一切都是建立在全面收集漏洞信息的基础上,奇安信监测了多个主流漏洞数据库以及数百安全厂商,跟踪了2000+推特账号和80+安全相关新闻源,开源信息采集结合商业数据采购,并通过各种手段挖掘新的数据源。
2、准确的漏洞所导致实际安全风险判定
据统计,每年增加几万个漏洞,平均到每天百级的漏洞被公开出来,如果全部对其分析验证需要巨量的资源投入,这对任何厂商和组织都是不可能完成的任务,操作层面上既无可能也无必要。事实上每年新公开的漏洞只有极少数会被认真研究。处理流程上,奇安信CERT会根据漏洞的影响面和验证条件,筛选出值得深入分析的漏洞,在利用多种渠道收集或自研PoC进行技术验证,这是漏洞情报运营过程中专业度要求最高的环节。
2021年,Microsoft Windows Active Directory域服务特权提升漏洞(CVE-2021-42287)14、Apache APISIX Dashboard未授权访问漏洞(CVE-2021-45232)、Grafana未授权任意文件读取漏洞(CVE-2021-43798)等漏洞经过奇安信CERT复现并被打上"奇安信CERT验证"的标签,标记我们对于此类严重漏洞的存在性和可利用性的专业验证。
漏洞运营的目标也不仅仅告诉用户哪些漏洞重要,同样重要的,需要告诉用户哪些看起来高危的漏洞所对应风险名不副实。一个典型的例子是2021年12月Log4j漏洞爆发以后,聚光灯效应下一些衍生漏洞随之出现,团队对那些漏洞研究分析之后确认其中绝大部分并没有实际场景下的威胁,随即发布了相关的风险通告做了技术上的澄清。
图:奇安信 CERT 发布的澄清报告
3、可靠的综合性漏洞处理的优先级排序
在筛选出的重要漏洞中,大量的漏洞具有相同的CVSS评分,仅基于这些评分基本上很难对漏洞的实际风险做出有效的评估,其他诸如漏洞是否默认配置受影响、利用的易用性稳定性、攻击者所能接触到的存在漏洞的资产量级和漏洞利用的其他前置条件,都对漏洞的实际风险有极大影响,而这些维度的评价在 CVSS评分体系中非常难以准确量化。
于是产生了一个疑问,目前普遍基于CVSS 评分的高低来评估漏洞的危险程度,这样真的能准确地反映漏洞的实际风险吗?
以两个CVSS评分接近漏洞的对比为例:Log4j远程代码执行漏洞(CVE-2021-44228)(CVSS 10)vs Samba远程代码执行漏洞(CVE-2021-44142)(CVSS 9.8)。
通过以上对比,可以看到虽然两个漏洞的CVSS评分看起来相差无几,但由于一系列非CVSS考察维度属性的差别,导致漏洞的实际威胁天差地别,Log4j的是真正的核弹级,而Samba的这个基本可以归到鸡肋级。
目前CVSS 评分高于9.0的漏洞数量有13000多个,其中有3300( 25%)多个漏洞存在对应的Exploit,这个比例不算低,但只有580多个漏洞被标记存在野外利用,占比这类高危漏洞不到5%的比例。所以,即便是技术层面风险度非常高的漏洞,真正被用于网络攻击的概率也不高。这个难题需要通过结合威胁情报来缓解,奇安信CERT的漏洞情报多维度标签为用户提供了基于漏洞现时状态进行优先级排序的可能。
NOX安全监测平台现已收录关键漏洞27042个,并将漏洞按照更新时间先后进行排序,例如:Apache Log4j任意代码执行漏洞(CVE-2021-44228)、Google Chrome 远程代码执行漏洞(CVE-2021-37973)、致远OA代码执行漏洞(CNVD-2021-51370)等漏洞已经被标注为"发现在野利用"并且漏洞威胁等级为"高危"或"极危",此类漏洞建议用户参考漏洞修补方法尽快进行修补。美国网络安全与基础设施安全局(CISA,Cybersecurity & Infrastructure Security Agency)发布了一个包含500多个已知存在野外利用的漏洞列表,奇安信CERT目前已经标记了超过4000个在野利用漏洞,这个列表也已经对外发布,这是个每个组织都要必修的漏洞列表。
4、及时的与组织自身相关漏洞风险通知
目前从漏洞信息公开到野外实际利用的间隔期越来越短,大多数时候防御方是在跟攻击者抢时间,哪方先知道漏洞的存在及相应的细节,决定了谁在对抗中获胜。为了及时输出漏洞风险通知,漏洞情报的运营理想条件下需要采用7*24 的监测处理机制,直接的厂商源头信息采集,及时研判并实时推送漏洞状态更新。我们认为如下5类漏洞相关的状态更新需要尽快通报,因为这些更新会渐次影响漏洞的现实危害程度:
第一,新的关键漏洞公开;
第二,发现关键漏洞的技术细节;
第三,发现关键漏洞的 Exploit 或 PoC 公开;
第四,发现关键漏洞的在野利用案例;
第五,发现关键漏洞的新修补和缓解方案。
2021年,奇安信CERT发布了涉及40多个重点厂商、300余条漏洞的147 篇实时安全风险通告。其中CVE-2021-21224 Google Chrome远程代码执行漏洞(发现时漏洞为0day状态)、WebLogic T3反序列化0day漏洞、CVE-2021-28474 Microsoft SharePoint远程代码执行漏洞等漏洞的风险通告,均为奇安信CERT使用自研PoC首次验证并第一时间发布。
同样重要的,为了能让组织全面地获取自身网络环境相关的漏洞信息,我们引入了全面的CPE信息集成,非CVE漏洞(主要为国产软件漏洞)的扩展CPE支持,使用归一化的厂商及产品列表,包含1000+软件厂商、10000+产品,结合主动的资产测绘精准评估漏洞影响面,第一时间提供高危漏洞定向风险通告。
对外的输出形式,不仅提供基于多维属性筛选的Web访问界面,还提供在线数据获取的API接口及离线数据包,用户可以根据自己需要集成到自有漏洞处理流程。
5、可行的包含详细操作步骤的处置措施
除了全面性、及时性、有效性,提供有效的缓解措施和可落地解决方案也是漏洞情报实现其价值的重要一环。很多时候,安装补丁并不是漏洞威胁处置的第一选择,因为打补丁受各种现实条件的限制。比如在重大活动中核心服务器出于性能和稳定性的考虑,一旦安装补丁导致宕机后果不堪设想,有些补丁打完以后需要重启机器的操作是不允许的,更不用提0day漏洞暂时无补丁可打的情况。
因此对于很多重要漏洞,奇安信CERT团队还会组织相关部门开发主机或网络虚拟补丁,寻找通过调整机器配置暂时规避漏洞利用的临时解决方案,输出经过验证的step-by-step 的操作步骤,帮助客户迅速上手进行规避风险,以后在合适的时机进行彻底修复。
例如:对于ProxyLogon漏洞,NOX安全监测平台持续更新6次安全风险通告,不断对缓解措施进行完善,最终提供了两千余字详细描述的可行操作步骤;对于Log4Shell漏洞, NOX安全监测平台给出的完整处置建议涵盖了漏洞排查、攻击排查、修复版本、产品解决方案以及多种不同场景下经过验证的有效缓解措施,该完整的处置建议在奇安信多家客户单位的一线应急响应中起到了重要作用。
五、不同类型用户的漏洞情报选择
当前网络安全正处在转型升级的上升期,网络安全体系架构已经由基础架构安全、被动防御向主动防御、反制进攻阶段进化。传统的安全思维模式和安全技术已经无法有效满足政企客户对安全防护的需要,新的安全理念、新的安全技术不断涌现。要实现有效的积极防御,很关键的一点是要具备安全情报的收集与使用能力。
对于个人用户、企业用户以及安全监管单位而言如何挑选到满足自身业务需求的优质漏洞情报,可以简单概括为一句话:"C端用户挑产品、B端用户挑服务、监管机构挑供应商"。
个人用户只需要确保自身的隐私安全和资产安全,不需要关注漏洞本身的技术细节,因此,在漏洞情报的使用上更加依赖于其部署的终端安全产品对漏洞情报的敏感程度。
企业用户基于其信息系统的复杂程度,单一的安全产品无法满足其建立企业自身漏洞检测与响应能力的需求,企业需要更加精准和定制化的漏洞情报服务,来帮助管理者迅速判别漏洞对企业业务的影响,并第一时间进行有效的漏洞处置;安全监管单位关注全网的网络安全态势,需要庞大的漏洞情报数据库支撑,更加考验漏洞情报供应商在模式化的安全产品和情报服务之上,所拥有的灵活、可变通的业务适应能力。