今日頭條
官方微信
官方抖音
資訊頻道在網(wǎng)絡(luò)安全領(lǐng)域,漏洞常被攻擊方視為“殺手锏”武器,又被防守方當(dāng)作“萬惡之源”。漏洞本身雖然不產(chǎn)生危害,但一旦被利用,則極有可能帶來嚴(yán)重的威脅。關(guān)鍵信息基礎(chǔ)設(shè)施在數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型的過程中配置了大量信息資產(chǎn),其網(wǎng)絡(luò)體系越來越復(fù)雜,漏洞作為“伴生體”所帶來的威脅問題日益凸顯。習(xí)近平總書記曾指出:要全面加強(qiáng)網(wǎng)絡(luò)安全檢查,摸清家底,認(rèn)清風(fēng)險,找出漏洞,通報結(jié)果,督促整改。如何快速應(yīng)對漏洞產(chǎn)生的威脅,降低關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險,無疑是擺在新時代的一個迫切命題。我們針對某些關(guān)鍵信息基礎(chǔ)設(shè)施在接報漏洞后面臨的處置周期長、資產(chǎn)定位難等問題,進(jìn)行針對性的調(diào)研,探索對其重要信息資產(chǎn)開展漏洞治理的工作,并總結(jié)了一些實(shí)踐經(jīng)驗(yàn)與同行同業(yè)分享和探討,以期拋磚引玉。
一、網(wǎng)絡(luò)安全漏洞的定義和治理的概念
國際標(biāo)準(zhǔn)化組織(ISO/IEC 27002)定義漏洞(vulnerability)為一個或多個威脅可以利用的一個或一組資產(chǎn)的弱點(diǎn)。通用漏洞評分系統(tǒng)(CVSS)則將漏洞定義為軟件或硬件組件中的弱點(diǎn)或缺陷。我國《信息安全技術(shù) 術(shù)語》(GB/T 25069-2010)將我們傳統(tǒng)意義上認(rèn)為的漏洞定義為“脆弱性”,指資產(chǎn)中能被威脅所利用的弱點(diǎn)。《信息安全技術(shù) 安全漏洞等級劃分指南》(GB/T 30279-2013)將安全漏洞(vulnerability)定義為計(jì)算機(jī)信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中,有意或無意產(chǎn)生的缺陷。這些缺陷以不同形式存在于計(jì)算機(jī)信息系統(tǒng)的各個層次和環(huán)節(jié)之中,一旦被惡意主體所利用,就會對計(jì)算機(jī)信息系統(tǒng)的安全造成損害,從而影響計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)行。綜上可見,漏洞存在于信息資產(chǎn)之上,風(fēng)險主要來源于該漏洞的環(huán)境構(gòu)成,造成漏洞存在被威脅利用之機(jī)。本文所討論的漏洞與國際標(biāo)準(zhǔn)化組織定義的范圍一致。
治理的概念最早出現(xiàn)在政治學(xué)領(lǐng)域,通常指政府運(yùn)用公權(quán)力管理社會和人民;而后這一概念又被引入商業(yè)和公共領(lǐng)域,延伸到組織機(jī)構(gòu)中的管理方式和制度等方面。聯(lián)合國全球治理委員會(CGG)對治理做過權(quán)威定義,指“各種公共的或私人的個人和機(jī)構(gòu)管理其共同事務(wù)的諸多方法的總和”,并總結(jié)治理的一個重要特征是以協(xié)同而非控制為基礎(chǔ)。21世紀(jì)初,隨著信息化的發(fā)展,IT治理的理念逐步被引入公司治理層面,Gartner認(rèn)為,IT治理是確保信息技術(shù)有效、高效的應(yīng)用以幫助組織機(jī)構(gòu)達(dá)到其目標(biāo)的過程。本文定義的漏洞治理是指漏洞信息披露后,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者建立機(jī)制、協(xié)同內(nèi)外部資源及條件、開展與之相關(guān)信息資產(chǎn)的分析和威脅風(fēng)險評估,快速消除漏洞或隔離其被利用條件的一系列方法之總和。漏洞治理的主體是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者,通過協(xié)同工作機(jī)制調(diào)動其內(nèi)部資產(chǎn)相關(guān)部門、業(yè)務(wù)運(yùn)營部門、信息安全部門,科學(xué)評估漏洞所產(chǎn)生的風(fēng)險,在平衡風(fēng)險控制與業(yè)務(wù)發(fā)展的基礎(chǔ)之上,選擇最優(yōu)的治理路徑,達(dá)到有效管控網(wǎng)絡(luò)安全風(fēng)險的目標(biāo)。
二、關(guān)鍵信息基礎(chǔ)設(shè)施漏洞治理面臨的三重困惑
當(dāng)前黨和國家對關(guān)鍵信息基礎(chǔ)設(shè)施的重視程度前所未有。我國《網(wǎng)絡(luò)安全法》單列一節(jié),將公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等列為關(guān)鍵信息基礎(chǔ)設(shè)施,要求必須實(shí)行重點(diǎn)保護(hù)。《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例(征求意見稿)》規(guī)定,“運(yùn)營者發(fā)現(xiàn)使用的網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險的,應(yīng)及時采取措施消除風(fēng)險隱患”。在多重法律法規(guī)的要求下,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者面臨著較大的安全合規(guī)壓力,但在工作中我們發(fā)現(xiàn),關(guān)鍵信息基礎(chǔ)設(shè)施帶“洞”運(yùn)營仍是常態(tài)。數(shù)據(jù)顯示,某關(guān)鍵信息基礎(chǔ)設(shè)施,一年中前10個月發(fā)現(xiàn)了10027個漏洞,到年底漏洞消除率只有62%,漏洞消除的平均周期為59天,最長周期達(dá)150天。大量漏洞長期暴露未能得到及時有效的處置,漏洞整體消除周期過長,導(dǎo)致新發(fā)現(xiàn)的漏洞與未消除的漏洞不斷累加,網(wǎng)絡(luò)安全風(fēng)險進(jìn)一步疊加,這也是當(dāng)前關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者面臨的難題。
(一)網(wǎng)絡(luò)安全考核指標(biāo)與漏洞所帶來的風(fēng)險之間存在一定程度的割裂。
在現(xiàn)有的評價機(jī)制下,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者對漏洞“重發(fā)現(xiàn),輕治理”,且缺乏激勵修復(fù)漏洞的相關(guān)機(jī)制。漏洞檢出數(shù)量的多寡、危害等級與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全考核評價掛鉤。在實(shí)際工作中,有些漏洞在特定的環(huán)境中無法完全消除,強(qiáng)行消除漏洞可能引入更大的安全風(fēng)險,導(dǎo)致系統(tǒng)停擺、數(shù)據(jù)泄露等更嚴(yán)重的事故,而關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者缺乏有效的判斷依據(jù),往往不懂處置,不敢處置。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的困境在于,漏洞檢出的數(shù)量越來越多,但漏洞所造成的實(shí)際危害卻千差萬別,針對漏洞對應(yīng)的資產(chǎn)、環(huán)境等因素進(jìn)行危害評估的體系缺位,直接導(dǎo)致漏洞處置工作缺乏抓手,不分輕重緩急“眉毛胡子一把抓”,最終可能無法最大化地消除漏洞所帶來的網(wǎng)絡(luò)安全風(fēng)險。
(二)傳統(tǒng)漏洞掃描工作模式難以有效提高漏洞處置的工作效率。
當(dāng)前多數(shù)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展的漏洞掃描是一種“串聯(lián)式”的工作模式,漏洞掃描是周期性、階段性的任務(wù)而非常態(tài)化的機(jī)制。在這種工作模式下,若按照每3個月對關(guān)鍵信息基礎(chǔ)設(shè)施7000-8000個IP地址開展漏洞風(fēng)險排查,第一步需要使用掃描器更新漏洞數(shù)據(jù)庫,并分時分段進(jìn)行漏洞掃描,過程耗時近1個月;第二步將掃描器獲得的漏洞信息分門別類整理并尋找對應(yīng)信息資產(chǎn)和責(zé)任人,分配漏洞處置任務(wù),期間又耗時1個月;第三步,工作人員必須在1個月內(nèi)完成漏洞處置、復(fù)測和總結(jié)等工作。檢查人員經(jīng)常要面對上一輪漏洞處置工作還未結(jié)束,下一輪檢查又要開始的窘迫局面。每一輪漏洞掃描均重復(fù)性地收集相關(guān)資產(chǎn)信息,將之與公開漏洞信息進(jìn)行匹配從而發(fā)現(xiàn)問題所在,這種低效的工作模式必然導(dǎo)致在資產(chǎn)上檢測漏洞的過程嚴(yán)重滯后。
(三)信息資產(chǎn)的復(fù)雜度與漏洞的爆炸式增長造成漏洞檢測和驗(yàn)證環(huán)節(jié)滯后。
隨著大數(shù)據(jù)、物聯(lián)網(wǎng)和云計(jì)算等新技術(shù)新應(yīng)用的發(fā)展,關(guān)鍵信息基礎(chǔ)設(shè)施的信息資產(chǎn)體量越來越龐大,物理資產(chǎn)和虛擬資產(chǎn)多重交叉,又分屬不同的部門使用和管理。信息資產(chǎn)的服務(wù)端口、IP地址等隨業(yè)務(wù)和使用環(huán)境變化而呈現(xiàn)動態(tài)變化的特征,這就給信息資產(chǎn)的界定問題、一致性問題、動態(tài)管理問題帶來了極大的挑戰(zhàn)。與此同時,專業(yè)網(wǎng)絡(luò)安全機(jī)構(gòu)披露漏洞數(shù)量越來越多,2017年國家信息安全漏洞共享平臺(CNVD)披露的漏洞超過1.59萬個,較 2016 年增長47.4%,國家信息安全漏洞庫(CNNVD)公布的漏洞數(shù)量超過1.47萬個,較2016年增長超過70%,增長率達(dá)到歷史新高 。海量的信息資產(chǎn)和漏洞均呈現(xiàn)多樣化、動態(tài)化和復(fù)雜化的特點(diǎn),使得關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在傳統(tǒng)的工作模式下難以將兩者高效、快速地映射,漏洞處置和整改更無從談起。
三、以漏洞治理為切入點(diǎn)開展關(guān)鍵信息基礎(chǔ)設(shè)施重要信息資產(chǎn)安全保障的實(shí)踐和思考
(一)建立對信息資產(chǎn)統(tǒng)一動態(tài)管理的體系。
保障信息資產(chǎn)的完整性、一致性是漏洞治理工作的基礎(chǔ)。夯實(shí)這個基礎(chǔ),一是要建立機(jī)制保障信息資產(chǎn)的完整性,建立一套針對信息資產(chǎn)“責(zé)任人+管理制度”的體系,保證信息資產(chǎn)責(zé)任主體可追溯,對信息資產(chǎn)的全生命周期進(jìn)行管理,不能只管信息資產(chǎn)“入口”(采購)、“出口”(退出)環(huán)節(jié),更要在中間使用環(huán)節(jié),特別是對資產(chǎn)變更的跟蹤進(jìn)行責(zé)任確認(rèn)和監(jiān)管監(jiān)督。二是要通過管理解決信息資產(chǎn)一致性問題,明確關(guān)鍵信息基礎(chǔ)設(shè)施信息資產(chǎn)跨部門協(xié)同管理,細(xì)化采購部門、運(yùn)維部門、安全部門在信息資產(chǎn)管理中的角色和定位,使用統(tǒng)一的資產(chǎn)管理標(biāo)準(zhǔn)進(jìn)行登記管理,細(xì)化資產(chǎn)屬性維度,避免出現(xiàn)一個資產(chǎn)多種表述,多個資產(chǎn)一種表述的現(xiàn)象。三是要通過技術(shù)手段,實(shí)現(xiàn)對信息資產(chǎn)完整性和一致性的動態(tài)管理。充分完善信息資產(chǎn)掃描探測技術(shù),對主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、中間件等重要信息資產(chǎn)進(jìn)行自動識別。通過輪詢信息資產(chǎn)指紋等感知技術(shù)識別資產(chǎn)屬性變更,并運(yùn)用分布式信息資產(chǎn)探測雷達(dá),提高信息資產(chǎn)識別效率和覆蓋面,揪出“無主資產(chǎn)、僵尸資產(chǎn)”。只有全面掌握動態(tài)變化的信息資產(chǎn)完整性、一致性,才能完成對信息資產(chǎn)的實(shí)時追蹤和查詢等管理工作。
(二)探索將漏洞危害與應(yīng)用環(huán)境相結(jié)合的評估方法。
當(dāng)前主流的漏洞危害評級方法是定性定量評估,該方法因其標(biāo)準(zhǔn)化、規(guī)范化的優(yōu)勢,被大多數(shù)國內(nèi)外網(wǎng)絡(luò)安全廠商和漏洞管理機(jī)構(gòu)采用,主要參考指南有《通用漏洞評分系統(tǒng)指南》(CVSS)、《信息安全技術(shù)安全漏洞等級劃分指南》(GBT 30279-2013)。網(wǎng)絡(luò)安全機(jī)構(gòu)或關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者可依據(jù)指南從多個維度計(jì)算并評定漏洞的危害等級。定性定量評估方法的難點(diǎn)在于如何對漏洞所處應(yīng)用環(huán)境進(jìn)行分析,如CVSS指南依照基本指標(biāo)、時間指標(biāo)、環(huán)境指標(biāo)對漏洞危害進(jìn)行評級,其中基本指標(biāo)是指漏洞利用復(fù)雜度等固定的指標(biāo),而時間指標(biāo)和環(huán)境指標(biāo)描述的是漏洞隨時間和應(yīng)用環(huán)境變化的特征,這一部分的評定需要用戶的直接參與。網(wǎng)絡(luò)安全廠商和漏洞管理機(jī)構(gòu),如公共漏洞披露平臺(CVE)、國家信息安全漏洞共享平臺(CNVD)等一般僅根據(jù)基本指標(biāo)評定漏洞危害等級,另外兩項(xiàng)指標(biāo)及修正后的數(shù)值則由用戶自行評定。在實(shí)際操作中,關(guān)鍵信息基礎(chǔ)設(shè)施因應(yīng)用環(huán)境相對復(fù)雜,安全需求千差萬別,造成環(huán)境度量計(jì)算非常復(fù)雜,因此往往忽略環(huán)境指標(biāo)的計(jì)算,導(dǎo)致危害評級無法真實(shí)反映漏洞對特定系統(tǒng)造成的危害。
漏洞危害評級的主要目的是推動工作人員在有限的時間和精力的情況下優(yōu)先處置高危漏洞,從而以最快的速度降低網(wǎng)絡(luò)安全風(fēng)險。為使漏洞危害評級體系中環(huán)境指標(biāo)度量進(jìn)一步落地,我們根據(jù)CVSS3.0的指南,引入“系統(tǒng)安全防護(hù)能力”作為環(huán)境指標(biāo)度量的一個維度,根據(jù)不同系統(tǒng)安全防護(hù)能力對保密性、完整性、可用性的影響賦值,計(jì)算出關(guān)鍵信息基礎(chǔ)設(shè)施每個系統(tǒng)的安全防護(hù)能力,結(jié)合漏洞管理機(jī)構(gòu)提供的基本指標(biāo)度量數(shù)據(jù),采用CVSS3.0的計(jì)算方法,對漏洞危害評級評定的數(shù)據(jù)進(jìn)行修正,使漏洞危害更加貼近實(shí)際應(yīng)用場景。這種方法既能保證兼容CVSS3.0指南的度量體系,又使得漏洞危害評級可以快速落地應(yīng)用,兼具可行性和易用性。
(三)制定漏洞快速處置的工作機(jī)制和協(xié)同流程。
漏洞快速處置主要依賴于三方面的設(shè)計(jì)。一是在考核機(jī)制上進(jìn)行“鼓勵式”設(shè)計(jì)。網(wǎng)絡(luò)安全考核評價不能只有懲罰機(jī)制,也應(yīng)該包含激勵式制度。如某電信運(yùn)營商組織內(nèi)部人員開展漏洞挖掘比賽,獎勵優(yōu)先發(fā)現(xiàn)和協(xié)助處置漏洞的工作人員,此舉充分調(diào)動了各部門員工參與網(wǎng)絡(luò)安全工作的熱情。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)探索漏洞快速治理的創(chuàng)新做法,表彰優(yōu)先處置漏洞的部門和個人。在漏洞快速處置方面,修復(fù)補(bǔ)丁只是漏洞治理的其中一個途徑,通過提高系統(tǒng)防護(hù)等級,消除漏洞利用條件,提高漏洞利用難度,也能降低漏洞帶來的風(fēng)險,這類新的做法應(yīng)值得嘗試。二是要有協(xié)同處置安全風(fēng)險的責(zé)任設(shè)計(jì)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者要劃分漏洞處置責(zé)任,調(diào)動內(nèi)部各利益相關(guān)方進(jìn)行漏洞的協(xié)同處置。如針對硬件和軟件的漏洞,界定資產(chǎn)管理部門、業(yè)務(wù)運(yùn)營部門、信息安全部門的責(zé)任,資產(chǎn)管理部門應(yīng)協(xié)調(diào)供應(yīng)商、開發(fā)商統(tǒng)一修復(fù)漏洞,定期打上補(bǔ)丁。對一些因系統(tǒng)無法維護(hù)而造成高危漏洞無法消除的情況,業(yè)務(wù)運(yùn)營部門應(yīng)制定產(chǎn)品替代方案,逐步退出應(yīng)用。針對強(qiáng)行升級系統(tǒng)或打補(bǔ)丁消除漏洞可能造成業(yè)務(wù)系統(tǒng)停擺等風(fēng)險時,信息安全部門應(yīng)協(xié)同業(yè)務(wù)運(yùn)營部門,咨詢第三方安全機(jī)構(gòu),制定科學(xué)可行的漏洞處置方案,避免因漏洞處置而影響正常業(yè)務(wù)開展。三是要建設(shè)技術(shù)平臺提升漏洞治理的整體效率。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者通過建設(shè)漏洞治理技術(shù)平臺進(jìn)一步提高漏洞處置效率,一方面可將實(shí)時漏洞庫、動態(tài)資產(chǎn)庫、開源POC庫進(jìn)行集成,實(shí)時進(jìn)行資產(chǎn)與漏洞的規(guī)則匹配,并運(yùn)用自動化手段進(jìn)行精準(zhǔn)驗(yàn)證,科學(xué)計(jì)算和評估漏洞的影響。另一方面充分利用漏洞治理技術(shù)平臺分發(fā)處置任務(wù)、反饋治理成果,輔助開展績效評估等工作。
四、結(jié)語
習(xí)近平總書記提出要樹立正確的網(wǎng)絡(luò)安全觀,并指出網(wǎng)絡(luò)安全是整體的、動態(tài)的、開放的、相對的和共同的。我們在開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障工作中認(rèn)識到,只有牢牢抓住網(wǎng)絡(luò)安全的上述基本特點(diǎn),才能實(shí)現(xiàn)對漏洞的有效治理,降低網(wǎng)絡(luò)安全風(fēng)險。我們在開展漏洞治理的一年時間里,推動上述關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者漏洞處置周期由平均59天縮短到如今的7天,在重要敏感時期,高危漏洞有效處置的周期縮短至24小時之內(nèi)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在探索漏洞治理過程中,進(jìn)一步摸清了資產(chǎn)的底數(shù)、認(rèn)清了風(fēng)險的由來,為下一步開展網(wǎng)絡(luò)安全態(tài)勢感知工作奠定了基礎(chǔ)。
作者:陳志華,曾祥斌 廣東省信息安全測評中心
文章來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號