金融機(jī)構(gòu)漏洞管理實(shí)踐探索

張軍

[太平洋保險(xiǎn)集團(tuán)（股份）有限公司，上海 200233]

1 引言

隨著金融科技蓬勃發(fā)展，新技術(shù)不斷地被引入到支撐金融業(yè)務(wù)的基礎(chǔ)設(shè)施中，為金融單位實(shí)現(xiàn)數(shù)字化戰(zhàn)略轉(zhuǎn)型提供了有利的幫助。與此同時(shí)，伴隨新技術(shù)的出現(xiàn)，網(wǎng)絡(luò)和信息安全形勢(shì)日益嚴(yán)峻，不斷有各種新型安全威脅爆發(fā)、新的威脅利用工具層出不窮[1]。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）權(quán)威數(shù)據(jù)統(tǒng)計(jì)，近幾年網(wǎng)絡(luò)安全漏洞整體態(tài)勢(shì)呈現(xiàn)出漏洞總數(shù)總體維持增長(zhǎng)趨勢(shì)，且0day漏洞大幅度增長(zhǎng)更是加劇了企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)壓力[2]，如圖1所示。

自網(wǎng)絡(luò)安全強(qiáng)國(guó)戰(zhàn)略實(shí)施以來，為了有效地應(yīng)對(duì)網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)運(yùn)行安全，國(guó)家層面相繼發(fā)布了《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》（征求意見稿）等相關(guān)法律和規(guī)定，要求網(wǎng)絡(luò)安全運(yùn)營(yíng)者應(yīng)能采取各類安全措施發(fā)現(xiàn)、識(shí)別、處置漏洞。同時(shí)，隨著行業(yè)監(jiān)管范圍與深度的不斷擴(kuò)大，金融科技監(jiān)管進(jìn)入深水區(qū)，各類行政處罰層出不窮，懲罰力度超前。各類常態(tài)化的網(wǎng)絡(luò)安全檢查要求建立責(zé)任追究機(jī)制，對(duì)發(fā)生重大網(wǎng)絡(luò)安全漏洞的責(zé)任單位和責(zé)任人進(jìn)行嚴(yán)肅問責(zé)。

圖1 2013-2018年CNCERT收錄安全漏洞數(shù)量變化趨勢(shì)圖

事實(shí)上，大多數(shù)金融機(jī)構(gòu)已將網(wǎng)絡(luò)安全納入公司全局戰(zhàn)略和總體規(guī)劃統(tǒng)籌考慮，通過完善網(wǎng)絡(luò)安全組織、技術(shù)和管理，來構(gòu)建動(dòng)態(tài)、立體、高效、敏捷的安全保障體系。漏洞管理是企業(yè)必須做好的網(wǎng)絡(luò)安全基礎(chǔ)工作，它的目的是通過管理和技術(shù)手段盡可能在最短時(shí)間內(nèi)發(fā)現(xiàn)IT運(yùn)行環(huán)境中的漏洞，并在第一時(shí)間組織修復(fù)，從而降低被黑客利用進(jìn)行網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)[3]。但是，在企業(yè)實(shí)踐過程中由于各種原因，導(dǎo)致漏洞管理策略落地難、資產(chǎn)識(shí)別不全、漏洞發(fā)現(xiàn)能力差、漏洞修復(fù)時(shí)效低以及修復(fù)處置方案不適合業(yè)務(wù)場(chǎng)景等問題。在吸收最新的漏洞管理理念的基礎(chǔ)上，文章結(jié)合金融機(jī)構(gòu)的實(shí)際，在Gartner模型基礎(chǔ)上，提出了一種行之有效的金融機(jī)構(gòu)漏洞管理架構(gòu)和方法。

2 漏洞管理相關(guān)概念

在2015年Gartner所發(fā)布的《A Guidance Framework for Developing and Implementing Vulnerability Management》中定義的漏洞管理包括：定義計(jì)劃和目標(biāo)、漏洞評(píng)估、漏洞修補(bǔ)三個(gè)階段。隨著多年的發(fā)展和完善，又于2019年更新發(fā)布了漏洞管理指導(dǎo)框架的新版本[4]，其中對(duì)漏洞及漏洞管理做了通用定義，具體表述如下。

2.1 漏洞

漏洞一詞包含在“易受攻擊”或“可被攻擊”的概念之內(nèi)。Gartner定義的“漏洞”是指可能受到攻擊的缺陷，利用漏洞的威脅可引發(fā)一連串安全事件，從而對(duì)組織產(chǎn)生影響。漏洞可存在于系統(tǒng)或平臺(tái)、固件、應(yīng)用軟件和設(shè)備中，具體包括配置缺陷、未修補(bǔ)的操作系統(tǒng)組件和應(yīng)用程序、一些其他技術(shù)安全缺陷，或不符合組織IT策略的情況等風(fēng)險(xiǎn)。

2.2 漏洞管理

Gartner將漏洞管理定義為收集、評(píng)估、修補(bǔ)和緩解信息系統(tǒng)安全漏洞的過程。該過程包括漏洞管理策略和范圍定義、漏洞收集、漏洞評(píng)估、漏洞修補(bǔ)、漏洞緩解和漏洞監(jiān)測(cè)。我們必須認(rèn)識(shí)到，傳統(tǒng)意義上的漏洞管理主要是發(fā)現(xiàn)和修復(fù)運(yùn)行環(huán)境中存在的漏洞，如何防止應(yīng)用軟件漏洞是軟件開發(fā)生命周期（SDLC）安全管理需要考慮的，兩者屬于同一個(gè)風(fēng)險(xiǎn)管理保護(hù)框架，但它們通常是分開的，由不同團(tuán)隊(duì)運(yùn)營(yíng)。近些年，一些先進(jìn)的企業(yè)將漏洞評(píng)估工具集成到持續(xù)集成/交付（CI/CD）中，作為軟件開發(fā)生命周期（SDLC）的一部分，使得安全能力以持續(xù)集成的方式融入到了軟件開發(fā)生命周期中。

3 企業(yè)漏洞管理總體框架

面對(duì)安全形勢(shì)的變化，早在2014年Gartner便提出了自適應(yīng)安全。而隨著時(shí)間推移，到2017年Gartner將自適應(yīng)安全升級(jí)為持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估（Continuous Adaptive Risk and Trust Assessment，CARTA），CARTA是企業(yè)構(gòu)筑安全體系全新的戰(zhàn)略性方法。

C A R T A安全框架提出，風(fēng)險(xiǎn)是必然存在的，企業(yè)應(yīng)該擁抱風(fēng)險(xiǎn)，換言之不存在絕對(duì)地安全，投入過度的防御措施往往并不有效，難以應(yīng)對(duì)諸如APT攻擊。因而，CARTA強(qiáng)調(diào)應(yīng)該持續(xù)地和自適應(yīng)地對(duì)風(fēng)險(xiǎn)和信任兩個(gè)要素進(jìn)行評(píng)估。

金融機(jī)構(gòu)要遵從和實(shí)施Gartner CARTA的戰(zhàn)略方法，如圖2所示，建立零信任網(wǎng)絡(luò)已然是關(guān)鍵，而對(duì)風(fēng)險(xiǎn)持續(xù)性管理則強(qiáng)調(diào)了安全動(dòng)態(tài)性，這種動(dòng)態(tài)性是取決于上下文的情景數(shù)據(jù)，以數(shù)據(jù)驅(qū)動(dòng)的持續(xù)性風(fēng)險(xiǎn)評(píng)估。舉例來說，在CARTA框架下，對(duì)一個(gè)網(wǎng)絡(luò)訪問活動(dòng)的發(fā)起將會(huì)動(dòng)態(tài)決定是否放行，甚至是發(fā)起挑戰(zhàn)性的驗(yàn)證，而不是像傳統(tǒng)架構(gòu)下的靜態(tài)策略，這種動(dòng)態(tài)性最大限度的減少了攻擊的可能性。

Gartner CARTA是網(wǎng)絡(luò)安全架構(gòu)整體模型，對(duì)風(fēng)險(xiǎn)（包括了漏洞）的持續(xù)性識(shí)別和響應(yīng)是其中的部分關(guān)鍵。以CARTA模型為實(shí)踐指導(dǎo)，建立漏洞全過程閉環(huán)管理，就需要覆蓋漏洞發(fā)現(xiàn)、快速評(píng)估、修復(fù)、跟蹤的漏洞管理全流程，并且要充分利用漏洞情報(bào)數(shù)據(jù)，觸發(fā)流程運(yùn)轉(zhuǎn)，幫助企業(yè)建立快速響應(yīng)機(jī)制，及時(shí)有效完成漏洞修補(bǔ)工作，并量化跟蹤漏洞管理的全過程和分析流程的執(zhí)行情況，促進(jìn)管理流程持續(xù)優(yōu)化，漏洞管理流程總體框架如圖3所示。

漏洞管理流程總體框架分為六個(gè)階段。

圖2 Gartner CARTA模型

圖3 漏洞管理流程總體框架

（1）定義漏洞管理計(jì)劃和目標(biāo)：該階段是漏洞管理的準(zhǔn)備階段，主要包含定義范圍、角色和職責(zé)、創(chuàng)建和優(yōu)化策略及評(píng)估工具選擇等。

（2）漏洞收集：漏洞管理的第一步，通過主動(dòng)、被動(dòng)方式收集內(nèi)外部漏洞情報(bào)信息，為漏洞評(píng)估階段提供信息參考。

（3）漏洞評(píng)估：依據(jù)收集過來的漏洞信息評(píng)估其技術(shù)風(fēng)險(xiǎn)，通常需要引入威脅情報(bào)、參考風(fēng)險(xiǎn)評(píng)估規(guī)范要求開展綜合分析，分析完成后利用漏洞檢測(cè)平臺(tái)（工具）自動(dòng)化檢測(cè)，以確認(rèn)受影響范圍。

（4）漏洞修復(fù)：對(duì)納入漏洞修復(fù)計(jì)劃的漏洞制定漏洞修復(fù)方案，各相關(guān)部門開展漏洞修復(fù)，并在漏洞修復(fù)完畢后，由專業(yè)技術(shù)人員開展跟蹤復(fù)測(cè)，確認(rèn)漏洞是否真正被修復(fù)。

（5）持續(xù)監(jiān)控：通過對(duì)范圍內(nèi)的資產(chǎn)和系統(tǒng)進(jìn)行周期性的掃描、測(cè)試、檢查，及時(shí)發(fā)現(xiàn)和處置復(fù)發(fā)漏洞。

（6）持續(xù)改進(jìn)：針對(duì)漏洞管理的各環(huán)節(jié)開展度量評(píng)價(jià)，發(fā)現(xiàn)影響流程的潛在問題，制定改進(jìn)方案并監(jiān)督執(zhí)行。

4 企業(yè)漏洞管理實(shí)踐

漏洞管理是企業(yè)安全運(yùn)營(yíng)的基礎(chǔ)性工作，互聯(lián)網(wǎng)安全中心（Center for Internet Security，CIS)發(fā)布的Controls是一個(gè)有優(yōu)先級(jí)的縱深防御安全建設(shè)活動(dòng)清單，在其CIS Controls 7.1版本[5]中將持續(xù)性漏洞管理列為基礎(chǔ)級(jí)，這無疑體現(xiàn)了漏洞管理的重要性。然而，正如前文所述，漏洞呈現(xiàn)的新形勢(shì)越來越嚴(yán)峻，這造成了漏洞管理工作的復(fù)雜性，使用一套成熟、適合金融架構(gòu)業(yè)務(wù)特點(diǎn)的漏洞管理流程，將顯著降低漏洞管理復(fù)雜性，并使得企業(yè)安全風(fēng)險(xiǎn)控制在可接受水平上。

4.1 漏洞管理計(jì)劃和目標(biāo)

4.1.1 定義目標(biāo)和范圍

為確保網(wǎng)絡(luò)安全工作的有效落地及實(shí)施，結(jié)合日常漏洞管理實(shí)踐經(jīng)驗(yàn)，將漏洞管理的總體目標(biāo)確立為：降低漏洞檢測(cè)和修復(fù)時(shí)間，提升漏洞管理效率和效果。

具體目標(biāo)為快速響應(yīng)、有序修補(bǔ)、優(yōu)化管理?？焖夙憫?yīng)，是網(wǎng)絡(luò)安全工作最核心的要素，網(wǎng)絡(luò)安全本身就是不對(duì)等的，我們無法獲悉攻擊者從何時(shí)、何地采取何種方式進(jìn)行攻擊，因此只有在發(fā)生事件時(shí)以最快的速度進(jìn)行響應(yīng)，將影響度、危害度降至最低，才能有效確保企業(yè)的網(wǎng)絡(luò)安全；有序修補(bǔ)，強(qiáng)調(diào)漏洞修補(bǔ)需有張有弛，有緊有松，根據(jù)既定的策略有序開展；優(yōu)化管理，漏洞管理工作需符合PDCA可持續(xù)性發(fā)展思路，不斷地提升漏洞管理工作的效率，優(yōu)化流程，規(guī)范行為，以確保整體質(zhì)量可靠。

漏洞管理范圍，即根據(jù)資產(chǎn)管理范圍明確漏洞管理范圍，并將資產(chǎn)、漏洞關(guān)系進(jìn)行入庫(kù)對(duì)應(yīng)。包括兩方面內(nèi)容。

（1）應(yīng)用安全漏洞：開發(fā)團(tuán)隊(duì)在應(yīng)用系統(tǒng)開發(fā)過程中交付或使用的開發(fā)組件框架、通用及其他軟件、信息系統(tǒng)代碼中產(chǎn)生的漏洞。

（2）基礎(chǔ)設(shè)施安全漏洞：基礎(chǔ)設(shè)施團(tuán)隊(duì)交付的操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通用及其他軟件中產(chǎn)生的漏洞。

4.1.2 定義角色和職責(zé)

按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，企業(yè)應(yīng)根據(jù)自身的實(shí)際業(yè)務(wù)情況，正確定義漏洞評(píng)估、漏洞優(yōu)先級(jí)劃分、修補(bǔ)、緩解和例外相關(guān)的必要角色和責(zé)任，如表1所示。

表1 漏洞管理角色和職責(zé)

4.1.3 選擇漏洞評(píng)估方法與工具

選擇部署合適的漏洞自動(dòng)化檢測(cè)工具是提高漏洞管理的必要條件之一，企業(yè)可根據(jù)自身漏洞管理實(shí)踐來選擇漏洞評(píng)估方法和工具。大多數(shù)企業(yè)依賴的傳統(tǒng)漏洞評(píng)估工具有綠盟RSAS遠(yuǎn)程安全評(píng)估系統(tǒng)、Tenable Nessus和Rapid7。除傳統(tǒng)漏洞評(píng)估工具以外，企業(yè)還可選擇IT服務(wù)管理和補(bǔ)丁管理工具、滲透測(cè)試、網(wǎng)絡(luò)流量監(jiān)控、云掃描、攻擊模擬工具。

常見的漏洞評(píng)估方法有未授權(quán)的網(wǎng)絡(luò)遠(yuǎn)程評(píng)估、授權(quán)的網(wǎng)絡(luò)遠(yuǎn)程評(píng)估、基于代理的評(píng)估、網(wǎng)絡(luò)監(jiān)控或被動(dòng)掃描、通過API或外部工具集成的間接評(píng)估。

4.1.4 創(chuàng)建和優(yōu)化漏洞管理策略和SLA

漏洞管理需要根據(jù)公司合規(guī)要求，對(duì)標(biāo)行業(yè)監(jiān)管、等級(jí)保護(hù)、ISO/IEC 27001標(biāo)準(zhǔn)等要求，定義漏洞管理策略和基線。明確不同級(jí)別漏洞的處理策略和漏洞修復(fù)基準(zhǔn)，并制定相應(yīng)的SLA。例如，當(dāng)遇到無法修復(fù)的漏洞時(shí)，如何選擇合適的方式規(guī)避風(fēng)險(xiǎn)；當(dāng)?shù)陀诼┒葱迯?fù)基線時(shí)需要分析原因，調(diào)整策略。

4.2 漏洞收集

企業(yè)應(yīng)建立統(tǒng)一的漏洞管理平臺(tái)，對(duì)漏洞情報(bào)進(jìn)行實(shí)時(shí)監(jiān)控，關(guān)注漏洞情報(bào)的披露情況、漏洞利用進(jìn)展、漏洞熱度。漏洞情報(bào)包括外部通報(bào)漏洞和內(nèi)部發(fā)現(xiàn)漏洞。外部通報(bào)漏洞來源于監(jiān)管機(jī)構(gòu)、第三方漏洞平臺(tái)、用戶反饋等途徑，存在此類漏洞的IP地址等系統(tǒng)信息已經(jīng)被外部知悉、可被攻擊利用。內(nèi)部發(fā)現(xiàn)漏洞來源于安全團(tuán)隊(duì)的漏洞監(jiān)測(cè)和自查以及各部門在漏洞預(yù)警排查中發(fā)現(xiàn)的漏洞。通常外部通報(bào)漏洞危害性更高，修復(fù)時(shí)效要求高于內(nèi)部發(fā)現(xiàn)漏洞。

4.2.1 外部通報(bào)漏洞

通過專門團(tuán)隊(duì)借助統(tǒng)一的漏洞管理平臺(tái)持續(xù)收集來自于各渠道的威脅情報(bào)，包括通用漏洞披露(CVE)、國(guó)家信息安全漏洞共享平臺(tái)（CNVD）、國(guó)家信息安全漏洞庫(kù)(CNNVD)、廠商補(bǔ)丁、攻防實(shí)驗(yàn)室、合作伙伴、漏洞平臺(tái)、微信公眾號(hào)、知名博客、行業(yè)通報(bào)、企業(yè)SRC等，并分析和過濾，獲取有用情報(bào)。例如，Microsoft、Oracle等廠商的每月安全公告和安全更新、CNVD、CNNVD的信息安全漏洞周報(bào)和月報(bào)以及不定期的熱點(diǎn)漏洞、重大預(yù)警、通用型漏洞等。

4.2.2 內(nèi)部發(fā)現(xiàn)漏洞

通過系統(tǒng)和應(yīng)用掃描、滲透測(cè)試、基線檢查、代碼審計(jì)等手段，對(duì)系統(tǒng)上線前開展安全評(píng)估、上線后定期的安全運(yùn)維以及在事件處置、問題跟蹤等環(huán)節(jié)發(fā)現(xiàn)的安全漏洞和威脅，統(tǒng)一納入漏洞管理平臺(tái)進(jìn)行管理。

為了提升企業(yè)漏洞發(fā)現(xiàn)的能力，建議采購(gòu)不同廠商的掃描器，針對(duì)同一資產(chǎn)進(jìn)行異構(gòu)掃描；由傳統(tǒng)單一廠商的滲透測(cè)試轉(zhuǎn)變?yōu)楸晨勘车亩鄰S商同時(shí)服務(wù)，也可嘗試眾測(cè)模式來開展服務(wù)。

4.3 漏洞評(píng)估

4.3.1 資產(chǎn)識(shí)別

資產(chǎn)識(shí)別是漏洞管理過程的關(guān)鍵活動(dòng)，漏洞是附加在資產(chǎn)之上，掌握資產(chǎn)信息是做好漏洞管理的前提條件。在傳統(tǒng)漏洞評(píng)估模型中，漏洞評(píng)估主要使用漏洞本身為視角，評(píng)價(jià)其嚴(yán)重性，比如CVSS就將漏洞分成緊急、高危、中危和低危四個(gè)嚴(yán)重性等級(jí)。然后，以漏洞視角帶來大量實(shí)踐性問題，由于企業(yè)資產(chǎn)數(shù)量龐大、資產(chǎn)運(yùn)行情況復(fù)雜、且漏洞數(shù)量日積月累導(dǎo)致的欠賬太多，如果不引入更加全面的評(píng)價(jià)體系，這就導(dǎo)致了實(shí)際漏洞閉環(huán)管理將變得十分困難。而在實(shí)踐中，通過引入以資產(chǎn)為視角的漏洞評(píng)估，如資產(chǎn)暴露面、資產(chǎn)價(jià)值、資產(chǎn)保護(hù)措施等可用來作為漏洞評(píng)估的依據(jù)，顯著改善這一情況。

通常，漏洞管理工具要具備不同的資產(chǎn)發(fā)現(xiàn)能力，從簡(jiǎn)單的網(wǎng)絡(luò)掃描到云服務(wù)商的API集成。任何情況下，企業(yè)都應(yīng)考慮業(yè)務(wù)不斷發(fā)展帶來的IT環(huán)境的變化，必須為漏洞管理計(jì)劃范圍內(nèi)的所有技術(shù)環(huán)境實(shí)施資產(chǎn)發(fā)現(xiàn)，包括不限于云環(huán)境、移動(dòng)和物聯(lián)網(wǎng)設(shè)備，同時(shí)也應(yīng)將資產(chǎn)發(fā)現(xiàn)與企業(yè)的變更管理連接起來。

實(shí)際工作中，資產(chǎn)識(shí)別一般通過各類技術(shù)手段對(duì)全部資產(chǎn)進(jìn)行識(shí)別和監(jiān)控，重點(diǎn)發(fā)現(xiàn)影子資產(chǎn)、未登記的資產(chǎn)等，通常需要手工加自動(dòng)識(shí)別相結(jié)合的方式進(jìn)行管理，包括不限于主動(dòng)的掃描探測(cè)、云端的情報(bào)識(shí)別、主機(jī)Agent采集、第三方CMDB平臺(tái)對(duì)接、被動(dòng)的流量、日志識(shí)別和手工梳理。資產(chǎn)識(shí)別后應(yīng)統(tǒng)一盤點(diǎn)入庫(kù)，發(fā)生變更時(shí)能夠自動(dòng)識(shí)別更新，對(duì)稽核后的錯(cuò)誤資產(chǎn)信息進(jìn)行修正。對(duì)識(shí)別到的全量資產(chǎn)，明確網(wǎng)絡(luò)安全責(zé)任人，并做到資產(chǎn)安全狀態(tài)可控。

另一方面，以資產(chǎn)IP或URL作為一個(gè)基本標(biāo)識(shí)，不斷完善資產(chǎn)屬性標(biāo)簽，對(duì)資產(chǎn)屬性信息做到全面收集和管理，這一工作企業(yè)可以自主開發(fā)，也可以借助第三方商用資產(chǎn)管理平臺(tái)，對(duì)從業(yè)務(wù)系統(tǒng)獲取的各種數(shù)據(jù)進(jìn)行采集和關(guān)聯(lián)分析，以最大限度的獲得資產(chǎn)信息。

4.3.2 驗(yàn)證評(píng)估

驗(yàn)證評(píng)估主要是對(duì)已發(fā)現(xiàn)的漏洞進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估、預(yù)警評(píng)估和漏洞驗(yàn)證，為后續(xù)的漏洞修復(fù)提供決策。

首先，漏洞評(píng)估工作主要包括漏洞風(fēng)險(xiǎn)級(jí)別評(píng)估和漏洞修復(fù)級(jí)別評(píng)估，以確定漏洞的實(shí)際影響程度及修復(fù)級(jí)別。

漏洞風(fēng)險(xiǎn)級(jí)別評(píng)估是指參考通用的或企業(yè)自有漏洞風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，結(jié)合漏洞的暴露程度和已知的漏洞利用工具等因素對(duì)已發(fā)現(xiàn)的系統(tǒng)漏洞風(fēng)險(xiǎn)進(jìn)行分析的過程。常見的參考有CVSS評(píng)分法[6]和GB/T 30279-2013《信息安全技術(shù) 安全漏洞等級(jí)劃分指南》[7]，參考如表2所示。

漏洞修復(fù)優(yōu)先級(jí)比較成熟的做法是借助外部平臺(tái)從云端威脅情報(bào)獲取外部漏洞利用活躍度的情報(bào)，結(jié)合本地業(yè)務(wù)系統(tǒng)重要程度，資產(chǎn)防護(hù)度等多種因素，綜合評(píng)估，給出漏洞修復(fù)的優(yōu)先級(jí)建議，使修補(bǔ)工作效果達(dá)到最大程度降低安全風(fēng)險(xiǎn)的目的。同時(shí)企業(yè)修復(fù)團(tuán)隊(duì)?wèi)?yīng)根據(jù)一定處置原則進(jìn)行漏洞修復(fù)風(fēng)險(xiǎn)處置，例如：

表2 漏洞危害等級(jí)劃分表

“極高?！钡燃?jí)的漏洞，必須進(jìn)行風(fēng)險(xiǎn)處置；

“高?！钡燃?jí)的漏洞，必須進(jìn)行風(fēng)險(xiǎn)處置；

“中?！钡燃?jí)的漏洞，必須進(jìn)行風(fēng)險(xiǎn)處置；

“低?！钡燃?jí)的漏洞，選擇“風(fēng)險(xiǎn)接受”的處置策略，不做進(jìn)一步處置。

另外針對(duì)收集到的通用型漏洞，應(yīng)進(jìn)行評(píng)估定級(jí)后，預(yù)警相關(guān)部門進(jìn)行排查修復(fù)。預(yù)警原則可參考下列等級(jí)。

“極高”等級(jí)的漏洞，應(yīng)包含上級(jí)監(jiān)管部門、CNCERT發(fā)布的通用型漏洞公告，并在全網(wǎng)范圍內(nèi)進(jìn)行預(yù)警。

“高”等級(jí)的漏洞， CNVD漏洞中進(jìn)行評(píng)估確認(rèn)，針對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、開發(fā)組件框架、通用及其他軟件中涉及的高危通用型漏洞進(jìn)行定期預(yù)警。

“中”等級(jí)的漏洞， CNVD漏洞中進(jìn)行評(píng)估確認(rèn)，針對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、開發(fā)組件框架、通用及其他軟件中涉及的中危通用型漏洞進(jìn)行定期預(yù)警。

“低”等級(jí)的漏洞，選擇“風(fēng)險(xiǎn)接受”的處置策略，不做進(jìn)一步處置。

最后，漏洞評(píng)估及資產(chǎn)范圍明確之后，應(yīng)通過部署的自動(dòng)化漏洞檢測(cè)工具或平臺(tái)，對(duì)明確范圍內(nèi)的IT資產(chǎn)開展漏洞檢測(cè)、驗(yàn)證，以確認(rèn)漏洞真實(shí)性及歸屬信息系統(tǒng)，為下一步漏洞修復(fù)階段提供明確的目標(biāo)。

4.4 漏洞修復(fù)

4.4.1 漏洞修復(fù)

漏洞修復(fù)工作應(yīng)講究一定的原則。漏洞修復(fù)團(tuán)隊(duì)?wèi)?yīng)根據(jù)安全團(tuán)隊(duì)的修復(fù)建議，從整個(gè)應(yīng)用系統(tǒng)層面對(duì)漏洞修補(bǔ)方案的影響和可行性進(jìn)行評(píng)估，在確定漏洞修復(fù)優(yōu)先級(jí)的基礎(chǔ)上，按照優(yōu)先解決業(yè)務(wù)系統(tǒng)的高、中風(fēng)險(xiǎn)漏洞，其次解決低風(fēng)險(xiǎn)漏洞的原則，制定漏洞修補(bǔ)的整體實(shí)施方案。在制定漏洞修補(bǔ)方案過程中，應(yīng)確保方案能夠有效降低漏洞的風(fēng)險(xiǎn)，確保充分測(cè)試，不會(huì)對(duì)業(yè)務(wù)產(chǎn)生負(fù)面影響。漏洞修復(fù)的目標(biāo)是領(lǐng)先漏洞被利用，將漏洞影響降到最低，這也就要求我們的漏洞修復(fù)工作時(shí)間要降低、效率要提升、質(zhì)量要提高。

在日常漏洞修復(fù)中，應(yīng)遵循如下流程對(duì)漏洞開展修復(fù)工作，流程如圖4所示。

如圖4所示，在進(jìn)行修復(fù)方式選擇時(shí)，理想情況下，修補(bǔ)是對(duì)漏洞最直接最徹底的響應(yīng)，如果無法應(yīng)用修復(fù)程序，則應(yīng)考慮其他選項(xiàng)，包括緩解控制、甚至接受來自漏洞的風(fēng)險(xiǎn)。

（1）修補(bǔ)

修補(bǔ)不是漏洞修復(fù)的唯一方法，但是最常見的方法。修補(bǔ)工作往往會(huì)帶來修復(fù)團(tuán)隊(duì)和安全團(tuán)隊(duì)的摩擦，在修補(bǔ)過程中引入自動(dòng)化的補(bǔ)救措施正在緩解這一矛盾。另外，定期開展修復(fù)工作會(huì)議、關(guān)注補(bǔ)丁管理、確定修補(bǔ)SLAs、制定可操作可執(zhí)行的修補(bǔ)政策、適合的修補(bǔ)基線等也是贏得修復(fù)所必須考慮的。

（2）緩解

緩解措施有時(shí)候也可能成為企業(yè)漏洞修復(fù)的唯一方案，例如廠商不再維護(hù)的Windows版本、已經(jīng)倒閉的軟件外包商等。緩解措施又稱為“虛擬補(bǔ)丁”，一定程度上也是比較優(yōu)化的方案。例如，一個(gè)WAF虛擬補(bǔ)丁可減輕成百上千臺(tái)服務(wù)器打補(bǔ)丁的困境。最重要的是，與修補(bǔ)措施不同，緩解控制可能完全由安全團(tuán)隊(duì)使用安全工具完成，而不再對(duì)修復(fù)和業(yè)務(wù)團(tuán)隊(duì)產(chǎn)生依賴。常見的緩解措施包括隔離緩解（FW、NAC、無線屏蔽等）、網(wǎng)絡(luò)防護(hù)緩解（IDPS、WAF、DAP等）、主機(jī)防護(hù)緩解（HIPS、應(yīng)用白名單、EDR、EPP、IptableFW等）。

（3）接受

圖4 漏洞修復(fù)工作流程

有時(shí)，針對(duì)特定漏洞或系統(tǒng)的修補(bǔ)或緩解措施不可用或在操作上不可行，亦或副作用風(fēng)險(xiǎn)太大，企業(yè)無法接受，亦可批準(zhǔn)例外。批準(zhǔn)例外接受風(fēng)險(xiǎn)，也意味著你可以承受被黑客攻擊的損失，所以例外一定要謹(jǐn)慎，必須有嚴(yán)格的審批流程。例外的批準(zhǔn)應(yīng)該是業(yè)務(wù)部門提出，需要高級(jí)管理者簽字確認(rèn)，不允許任何人批準(zhǔn)超出其控制和責(zé)任范圍的例外。最后，所有例外都必須有一個(gè)到期日，不允許無限期例外。

接下來談漏洞修復(fù)時(shí)效。外部通告漏洞及內(nèi)部發(fā)現(xiàn)漏洞原則上需要第一時(shí)間進(jìn)行修復(fù),經(jīng)評(píng)估無法按時(shí)效要求修復(fù)的極高危和高危等級(jí)漏洞，應(yīng)臨時(shí)關(guān)?；蛳戮€相關(guān)業(yè)務(wù)功能或采取其他有效措施進(jìn)行控制風(fēng)險(xiǎn)，原則上漏洞修復(fù)時(shí)效不能超過參考時(shí)間。

針對(duì)外部通報(bào)漏洞，依據(jù)評(píng)估的漏洞等級(jí)，漏洞修復(fù)時(shí)效要求如表3所示。

表3 內(nèi)網(wǎng)漏洞修復(fù)時(shí)效要求

針對(duì)內(nèi)部發(fā)現(xiàn)漏洞，依據(jù)評(píng)估的漏洞等級(jí)，原則上修復(fù)時(shí)效不能超過如表4所示參考時(shí)間。

表4 外網(wǎng)漏洞修復(fù)時(shí)效要求

4.4.2 復(fù)測(cè)跟蹤

復(fù)測(cè)跟蹤的主要工作是安全技術(shù)人員利用自動(dòng)化工具、自研工具或其他方式進(jìn)行自動(dòng)化或手工復(fù)測(cè)，并與業(yè)務(wù)確認(rèn)，驗(yàn)證修復(fù)是否成功，業(yè)務(wù)風(fēng)險(xiǎn)是否已確實(shí)降低，即需要進(jìn)行修復(fù)有效性的驗(yàn)證。通常的復(fù)測(cè)方法包括漏洞掃描、配置核查、滲透測(cè)試等傳統(tǒng)風(fēng)險(xiǎn)評(píng)估手段。對(duì)復(fù)測(cè)未通過的，需先完成回退操作，后續(xù)轉(zhuǎn)移到測(cè)試環(huán)境進(jìn)行進(jìn)一步分析、測(cè)試，獲得解決辦法后再到生產(chǎn)環(huán)境修復(fù)。

4.5 持續(xù)監(jiān)控

基于漏洞管理平臺(tái)或工具支撐，對(duì)范圍內(nèi)的資產(chǎn)開展周期性的掃描、監(jiān)測(cè)、檢查，以及時(shí)發(fā)現(xiàn)和處置復(fù)發(fā)漏洞或新漏洞，同時(shí)通過持續(xù)性監(jiān)控措施，促使漏洞管理工作不斷得到提升、優(yōu)化。

監(jiān)控指標(biāo)包括資產(chǎn)態(tài)勢(shì)、有效漏洞情報(bào)數(shù)、資產(chǎn)漏洞數(shù)量、漏洞等級(jí)分布、已修復(fù)漏洞數(shù)、未修復(fù)漏洞數(shù)、超期未修復(fù)漏洞、平均漏洞修復(fù)耗時(shí)及其他監(jiān)控指標(biāo)。

4.6 持續(xù)改進(jìn)

漏洞修復(fù)完畢后應(yīng)總結(jié)評(píng)價(jià)每一次漏洞修復(fù)的成果及處理過程，過程中產(chǎn)生的文檔需要存檔，建立知識(shí)庫(kù)，過程中存在的問題需要制定改進(jìn)計(jì)劃，暫緩處置的漏洞需要做好持續(xù)跟進(jìn)，在發(fā)生重大安全事件或組織內(nèi)外部環(huán)境發(fā)生重大變化時(shí)，需增加評(píng)審。

4.6.1 度量評(píng)價(jià)

漏洞修復(fù)后，在評(píng)估是否實(shí)現(xiàn)了適當(dāng)?shù)娘L(fēng)險(xiǎn)降低時(shí)，我們必須不斷衡量漏洞管理實(shí)踐的有效性，包括衡量所有的評(píng)估、緩解和修補(bǔ)活動(dòng)。

如表5所示，提供了用于跟蹤漏洞管理工作有效性的度量主要抽樣指標(biāo)，這些指標(biāo)大多數(shù)可以按企業(yè)部門、團(tuán)隊(duì)或系統(tǒng)類型進(jìn)行分配。

4.6.2 分析預(yù)測(cè)

持續(xù)的漏洞管理工作往往會(huì)由于各種原因，而陷入瓶頸期。已知重復(fù)漏洞如何防止再次發(fā)生，供應(yīng)商不再支持的產(chǎn)品漏洞如何決策，能否預(yù)測(cè)出有助于漏洞管理工作的資源投入。

漏洞數(shù)據(jù)可視化、漏洞修復(fù)可量化、漏洞管理流程化是漏洞管理工作的最佳實(shí)踐。借助漏洞管理平臺(tái)或工具，通過漏洞和資產(chǎn)兩個(gè)維度展示企業(yè)中TOP10高危漏洞和TOP10高危資產(chǎn)，給漏洞管理工作提供可控的目標(biāo)及參考意義。以企業(yè)中以部門為單位，對(duì)漏洞的修復(fù)情況進(jìn)行量化。例如，修復(fù)漏洞數(shù)（已修復(fù)/未修復(fù)）、修復(fù)漏洞耗時(shí)、修復(fù)漏洞成功率等，使企業(yè)管理者能清楚的了解當(dāng)前漏洞管理狀況，為漏洞管理的決策工作提供更好的依據(jù)。另外，漏洞管理過程中，應(yīng)逐步建立漏洞修復(fù)知識(shí)庫(kù)，一方面可為處置人員提供一個(gè)全面、權(quán)威和有效的漏洞修復(fù)知道方案庫(kù)，另一方面也是保證漏洞修復(fù)工作能更有效地進(jìn)行，減少漏洞修復(fù)的失敗率。

表5 漏洞管理指標(biāo)

此外，日常的漏洞管理工作下積累的經(jīng)驗(yàn)和方法，同樣可以為企業(yè)的IT項(xiàng)目提供決策參考。實(shí)際工作中我們往往關(guān)注那些有著高收益的漏洞修復(fù)方法，例如發(fā)現(xiàn)數(shù)量最多類型的漏洞，多數(shù)原因是組件版本過低而導(dǎo)致的，因此項(xiàng)目在規(guī)劃和實(shí)現(xiàn)階段，就應(yīng)該主動(dòng)要求使用最新版本的組件，而對(duì)于那些經(jīng)常爆發(fā)高危漏洞的組件，應(yīng)建議逐步替換；而對(duì)于那些漏洞數(shù)量明顯較多的資產(chǎn)，我們更應(yīng)該投入精力和資源去主動(dòng)分析，因?yàn)檫@些漏洞的修復(fù)，往往會(huì)給我們帶來更高的收益。每次掃描工作按系統(tǒng)和應(yīng)用維度給出修復(fù)建議，每年提供相關(guān)操作系統(tǒng)、Web框架和中間件的漏洞統(tǒng)計(jì)修復(fù)情況的總結(jié)，從而反向推動(dòng)在需求以及設(shè)計(jì)階段規(guī)避相關(guān)風(fēng)險(xiǎn)，從源頭減少漏洞的產(chǎn)生。

漏洞管理是一個(gè)持續(xù)的過程，日常的漏洞管理需要不斷重復(fù)各個(gè)環(huán)節(jié)，這樣漏洞管理工作才能切實(shí)有效。依托平臺(tái)（工具）對(duì)漏洞管理的整個(gè)生命周期開展持續(xù)性監(jiān)控，包括漏洞管理計(jì)劃和目標(biāo)、漏洞收集和評(píng)估、漏洞修復(fù)，監(jiān)控整個(gè)生命周期數(shù)據(jù)的輸入輸出，實(shí)現(xiàn)企業(yè)漏洞管理體系的可持續(xù)運(yùn)行。

4.7 實(shí)踐評(píng)價(jià)

以C A R T A框架為代表的未來企業(yè)安全架構(gòu)，正在如火如荼開展實(shí)踐，結(jié)合實(shí)際工作，在漏洞管理工作中積極落地上述管理框架，將漏洞管理的目標(biāo)、策略、職責(zé)分工、方法和要求作為公司安全策略在全轄發(fā)布，實(shí)施上述管理流程和工作方法，極大地提升了漏洞管理效果和效率，顯著降低企業(yè)安全風(fēng)險(xiǎn)。

4.7.1 資產(chǎn)管理更加全面

過去單位的資產(chǎn)信息分散于多個(gè)部門之中，管理權(quán)限和責(zé)任不清晰，且存在資產(chǎn)數(shù)據(jù)不完善、資產(chǎn)變動(dòng)更新不及時(shí)，并且與安全漏洞相關(guān)信息統(tǒng)計(jì)不全面等問題，往往在重大漏洞被披露后，無法定位漏洞可能影響范圍，協(xié)同排查資產(chǎn)責(zé)任人條件限制導(dǎo)致漏洞處置的不及時(shí)等，管理不善必然造成風(fēng)險(xiǎn)存在。

在新的管理框架下，首先，對(duì)資產(chǎn)進(jìn)行梳理，進(jìn)一步明確了所有資產(chǎn)的歸屬責(zé)任人，并將資產(chǎn)信息納入平臺(tái)管理；其次，通過技術(shù)手段和情報(bào)信息主動(dòng)檢測(cè)發(fā)現(xiàn)未登記的互聯(lián)網(wǎng)資產(chǎn)，2019年全轄發(fā)現(xiàn)并及時(shí)加固了139個(gè)未登記資產(chǎn)；同時(shí)，采用主機(jī)Agent采集的方式識(shí)別數(shù)據(jù)中心基礎(chǔ)設(shè)施資產(chǎn)類型，實(shí)施以來已主動(dòng)發(fā)現(xiàn)新增了11個(gè)通用資產(chǎn)類型，并第一時(shí)間將新增資產(chǎn)的漏洞情報(bào)納入日常漏洞通報(bào)，如圖5所示。

4.7.2 漏洞收集更加全面

圖5 通用組件漏洞情報(bào)

在實(shí)踐中，改變了過去漏洞收集全部借助掃描工具和黑盒測(cè)試來的單一性，加入了漏洞情報(bào)結(jié)合資產(chǎn)信息的漏洞靜態(tài)掃描、軟件安全開發(fā)管控（SDL，包括代碼審計(jì)、安全測(cè)試、開源軟件安全性評(píng)估等漏洞檢測(cè)方式）、外部漏洞應(yīng)急收集平臺(tái)等漏洞收集手段，消除了可能因?yàn)橘Y產(chǎn)范圍不全、掃描器漏報(bào)和誤報(bào)的突出問題，同時(shí)在漏洞預(yù)警方面通過主動(dòng)的收集漏洞威脅情報(bào)數(shù)據(jù)，關(guān)聯(lián)資產(chǎn)信息，做到對(duì)突發(fā)和新型漏洞及時(shí)預(yù)警，以及SDL實(shí)施成果對(duì)整體系統(tǒng)安全性的提升，圖6展示了轄內(nèi)等保應(yīng)用系統(tǒng)在全面實(shí)施應(yīng)用發(fā)布前安全檢測(cè)策略前后的生產(chǎn)環(huán)境漏洞的變化趨勢(shì)。

4.7.3 漏洞管理效率提升

過去，漏洞修復(fù)時(shí)間往往需要十幾天到幾個(gè)月，在新的管理框架下，通過優(yōu)化漏洞修復(fù)流程，明確修復(fù)時(shí)效SLA要求，以及完善漏洞緩解措施和自動(dòng)化修補(bǔ)技術(shù)等措施，漏洞修復(fù)實(shí)現(xiàn)了最快小時(shí)級(jí)閉環(huán)，修復(fù)最長(zhǎng)時(shí)間不斷收斂。這里以漏洞修復(fù)時(shí)效、漏洞修復(fù)超時(shí)率作為漏洞管理效率提升的主要衡量指標(biāo)舉例說明，圖7展示了管理框架優(yōu)化前后應(yīng)用系統(tǒng)漏洞修復(fù)時(shí)效的變化，體現(xiàn)出漏洞修復(fù)時(shí)效在不斷收斂并達(dá)標(biāo)的效果；圖8展示了超時(shí)修復(fù)漏洞數(shù)以及漏洞修復(fù)超時(shí)率的變化趨勢(shì)，體現(xiàn)了超時(shí)修復(fù)漏洞數(shù)逐步減少，以及漏洞修復(fù)超時(shí)率持續(xù)降低的效果。

5 結(jié)束語(yǔ)

漏洞管理工作是個(gè)體系化、復(fù)雜性的工作，存在諸多的挑戰(zhàn)。未來，我們可在六個(gè)方向持續(xù)改進(jìn)和優(yōu)化。

（1）利用先進(jìn)的漏洞優(yōu)先級(jí)劃分技術(shù)和自動(dòng)化的工作流程工具來簡(jiǎn)化漏洞修復(fù)工作。

（2）采用DevOps實(shí)踐的企業(yè)應(yīng)考慮采用集成到持續(xù)集成/連續(xù)交付（CI / CD）工具鏈中的漏洞處理方法。

圖6 SDL實(shí)施對(duì)比變化

圖7 最長(zhǎng)漏洞處置時(shí)間趨勢(shì)

圖8 漏洞修復(fù)超時(shí)率變化

（3）資產(chǎn)管理的覆蓋度應(yīng)更廣、更深，如影子資產(chǎn)、云、OT資產(chǎn)等。

（4）適度的高層支持，建立漏洞管理溝通機(jī)制，定期或不定期組織跨部門漏洞修復(fù)專項(xiàng)會(huì)議。

（5）增加針對(duì)新技術(shù)、開源系統(tǒng)的漏洞關(guān)注，以及重點(diǎn)跟進(jìn)個(gè)人信息或敏感數(shù)據(jù)相關(guān)的漏洞。

（6）優(yōu)化改進(jìn)修復(fù)策略，如所有例外都必須具有到期日期，不允許無限期例外；漏洞緩解最終仍需要修復(fù)。