1.当前漏洞管理的问题

无论你从事网络安全工作有多久，都会知道漏洞管理对识别和降低网络安全风险多重要，每一次重大安全事件背后都可能存在漏洞未解决而导致的问题的发生。随着数字化技术的不断发展，如今的IT资产也在不断发生变化，云、IOT、移动应用甚至工业互联网设备，不同类型的资产不断地新增和消亡，有些资产的的生命周期可能只有几秒钟或几分钟。与之相伴的是，安全漏洞数量也在呈指数级增长，这使得组织随时随地面临安全风险。根据国家信息安全漏洞共享平台数据统计，2021年共收录26559条漏洞，其中高危7284，中危15739，低危2760，根据CVSS3.0评分统计，60%以上的漏洞被认定为高危或者紧急。

而随着技术的发展，从漏洞批露到漏洞利用的时间越来越短，Rapid7发布的《2021年度漏洞情报报告》显示，漏洞利用的平均时间已降为12天。许多攻击者广泛利用的漏洞中，有五分之三(60%)被用于勒索软件攻击，而这些广泛威胁中有一半以上是从零日漏洞利用开始的。一旦发现漏洞，安全团队和攻击者之间争分夺秒的竞赛就开始了，如何尽快找到并确定需要尽快修复的漏洞影响着企业的损失大小。

过去做漏洞管理主要是为了满足合规性要求，导致漏洞扫描和修复无法持续进行，也让安全人员没有意识到漏洞管理的重要性。通用漏洞评分系统（CVSS）评分已被视为确定漏洞优先级的主要标准。漏洞的CVSS 分数范围从1 到10（严重性依次递增）。面对持续激增的漏洞，组织更倾向于依靠CVSS 评分来确定优先级。但是CVSS 评分也存在很多问题。例如，在组织中，通常将严重程度得分超过7.0的漏洞都视为高风险，每年发现的总漏洞中有很大一部分属于此类别，但只有一小部分会在网络攻击中被利用。按照CVSS评分去修复漏洞，安全人员往往陷于漏洞修复不完且效果并不理想。

来自Tenable的研究表明，如果组织使用CVSS评分且仅修复那些7.0以上分数的漏洞，会让他们浪费了 76% 的时间来修复几乎没有风险的漏洞，同时将 44% 的风险最高的漏洞留在了他们的环境中。结果，安全团队处理的漏洞超出了他们的能力范围，导致效率的低下。      由于CVSS评分并没有将风险因素考虑进来，最后导致安全人员的时间花费在了那些风险很小的漏洞上面。

以勒索病毒为例，漏洞在勒索病毒攻击中同样扮演了一个重要角色。由于操作系统和应用软件的数量、版本众多，这些系统、软件和程序，或多或少都存在各种各样的漏洞，也正是由于这些漏洞的存在，使攻击行为变得更加快速和高效。既有远程代码执行类，也有反序列化类、任意文件上传等类型，既有Red Hat JBoss企业应用平台JMX控制台存在安全绕过漏洞（CVSS评分为5.0），也有CVSS评分为9.8分的紧急漏洞Weblogic任意文件上传漏洞（CVE-2018-2894）。

Gartner在2020-2021年十大安全项目中提出了基于风险的漏洞管理（RBVM），2021 Gartner安全运营成熟度曲线中也提出了漏洞优先级（VPT）技术；安全公司Rezilion在5月发布的一项研究报告显示，组织中约85%的漏洞并没有加载到内存，也就意味着不能够真正被利用。基于风险的漏洞管理（RBVM）在逐步替换传统的CVSS评分的修复模式，国外知名的漏洞管理厂商例如Tenable、Qualys、Rapid 7等都提出了基于风险的漏洞管理。基于风险的漏洞管理可以在海量的漏洞中快速找到最需要修复的漏洞，通过机器学习的分析和关联，可以将工作聚焦在最需要修复的漏洞上面。

基于风险的漏洞管理可以解决以下问题：

1. 企业的暴露面在哪里
2. 根据漏洞被利用的可能性，应该优先考虑先修复哪些漏洞
3. 假如漏洞被利用后，会对业务造成什么影响

基于风险的漏洞管理主要包括资产可见性管理、漏洞修复优先级确认、漏洞如何修复三个主要阶段。

2.解决最基本的资产可见性问题

你无法保护你看不到的东西，也无法解决你看不到的问题，想要做好漏洞管理，要先让资产可见，了解你的攻击面，对资产进行管理。当然，想要获取整个攻击面也绝非易事。攻击面和威胁环境都在不断变化。资产来源的方式包括多种，包括主动扫描、流量发现、人工录入等，资产管理的目的主要如下：

1.发现影子资产

通过真实客户环境看，几乎所有的客户都存在影子资产的问题，在发现影子资产并扫描后发现，这类资产往往存在的漏洞可能性更大。黑客在攻击之前往往会进行一轮信息收集工作，而未发现的影子资产，往往会成为攻击的入口，通过资产扫描也可以发现客户的攻击面情况，为攻击面收敛提供指导。

2.资产重要性确认

资产管理还有个很重要的目的是确定资产的重要性等级，因为资产的重要性等级影响后续漏洞的优先级，例如数据库资产存储了大量的个人敏感信息，资产的重要性肯定比普通的个人PC等级要高。资产的重要性等级可以通过资产扫描工具先进行自动化识别，根据指纹信息，自动化的给出资产重要性等级，人工辅助调整即可，降低人工整理的工作量。

3.资产暴露面发现

除了资产重要性等级梳理，通过资产管理还可以实现资产暴露面的梳理，资产是否暴露在互联网也会影响漏洞的优先级，暴露在公网上的资产更容易遭到黑客的攻击，漏洞修复的优先级也会更高。

4.资产责任人确认

在完成资产搜集的基础上，完善资产的管理部分，包括资产负责人、部门信息、联系信息等，这些会影响到后面的漏洞管理闭环，无法明确资产责任人则无法完成后续的漏洞修复，有些资产因为人员离职造成资产交接后负责人忘记该资产，或者即使知道有该资产存在，但是数据库运行的业务不清楚，导致最后要修复该数据库漏洞时不敢修复。

5.资产指纹库建立

资产指纹库建立可以用于当漏洞发生时，通过资产指纹库快速筛选受影响的资产，无需扫描，快速定位受影响的资产信息，缩短漏洞的响应时间。

3.漏洞修复优先级确认

漏洞在扫描并确认以后，下一步就是确定漏洞修复优先级。过去主要依靠CVSS评分作为依据去修复漏洞的方式已经无法完全满足客户的需求。通过客户反馈来看，很多客户都希望能提供漏洞修复的优先级，告诉他们哪些漏洞最需要着急修复，毕竟大部分企业安全人员少，不可能有那么多人员投入到漏洞修复上面。，而漏洞优先级技术（VPT）作为RBVM最好的实现支撑，越来越多的国内外厂商开始研究VPT技术，包括国外的Brinqa，Kenna Security，NopSec等厂商，国内的安恒、深信服、知道创宇等厂商均推出了自己的漏洞优先级模型并开始在客户使用。

以V P T 为指导构建实战化漏洞评价体系，综合考虑外部威胁及业务环境、资产重要性等多种因素，从真实的业务环境角度对漏洞的高、中、低危害进行综合评定，可以帮助运营团队尤其是存在关键信息基础设施的单位始终聚焦真正的风险，高效完成漏洞处置工作。通常来说，VPT技术包含以下几个指标；

图3-1 漏洞优先级指标

通过对指标进行分析，形成VPT自动化的计算模型，通过云端漏洞数据的训练，可不断优化VPT模型的准确度，最终可以实现通过VPT模型，自动给出漏洞优先级修复的分数，让客户直观的明白哪些漏洞要修复，可以将时间花费在那些最需要修复的漏洞上面。

漏洞修复优先级应该是动态的，随着时间变化的。通过客户内网漏洞攻击的趋势、互联网威胁情报分析、资产重要性及资产暴露面的变化，漏洞优先级也呈现不同的变化。

4.漏洞如何修复

在确定了哪些漏洞最需要修复的基础上，客户面临的下一个难题，这些漏洞是如何修复的。国外的漏洞厂商例如Tenable、Qualys等厂商宣传可以实现帮助客户自动化的漏洞修复，甚至有厂商宣传在漏洞发现那刻起自动化的漏洞修复已经开始。但是基于国内的情况看，由于担心数据安全的问题，很多大型客户的业务并不上公有云，内网漏洞尤其是涉及虚拟化、操作系统层面的漏洞,客户往往面临着不敢修、不知道怎么修复的难题，这类的漏洞即使客户知道有风险也只能选择接受。例如，通过客户内网流量分析发现，大量客户存在Hadoop未授权访问漏洞的利用，攻击者可利用RPC服务执行任意命令控制服务器。官方的建议为：1.Apache Hadoop官方建议用户开启Kerberos认证；2.设置 Hadoop RPC服务所在端口仅对可信地址开放；3.建议升级并启用Kerberos的认证功能，阻止未经授权的访问。但实际情况看，本身这个漏洞修复不难，难点在跟这个数据业务相关的系统，由于Hadoop增加了身份认证，导致他们原有的调用方式无法使用，全都要修改。实际情况这类漏洞客户往往最后不修复而不了了之。

通过基于风险的漏洞管理，确定要修复的漏洞信息，对可以修复的漏洞，参考漏洞知识库或者邀请专业的安全人员协助，完成漏洞修复。对于其他无法修复的漏洞，可采取缓解措施，解决漏洞可能带来的风险。例如上面提到的Hadoop未授权访问漏洞，可以通过终端安装EDR实时检测，在发现问题时及时阻断，避免风险的发生，其他的缓解措施包括使用堡垒机减少暴露面，使用WAF、防火墙等进行防护以降低风险。最后，将要修复的所有漏洞，通过修复或者缓解的方式，消灭潜在的安全隐患。

图4-1 不同安全设备之间漏洞管理的联动

5.结语

随着信息技术的发展，当前网络攻防已成为常态，漏洞利用造成的安全事件越来越多，损失也越来越大，贯穿漏洞生命周期的漏洞运营及其生态也在不断发展。成熟的漏洞运营体系可以有效管理潜在风险，甚至在攻击发起前已经将风险进行了修复，真正做到事前防御。做好漏洞管理工作，首先，要正视漏洞对安全的威胁不能忽视。同时，要认识到漏洞威胁依然是可控可应对的，需要组织机构及运营单位从完善自身的漏洞运维流程开始，提升自身应对漏洞的整体能力。使用基于风险的漏洞管理解决方案，将时间花费在最需要修复的漏洞上面，可以帮助您更好地分类漏洞，并为组织采取合适的安全措施。

漏洞发现

MSS服务运营团队结合资产发现与管理服务，依托云端漏扫能力和本地部署的扫描引擎，交叉扫描网络中的核心服务器、重要的网络设备以及WEB业务系统等资产，评估当前资产安全状况，绘制资产弱点画像；

漏洞分析

针对资产存在的安全漏洞，MSS服务运营团队通过云端运营平台基于CVSS影响分、时间因子、资产重要性等多方面因素分析和评估漏洞修复紧急度；

修复方案

结合漏洞分析结果，进行漏洞修复模拟测试，输出漏洞修复方案；

漏洞处置

结合漏洞修复方案进行漏洞修复，并在修复后进行复核，确保漏洞的闭环。