诸子笔会2022 | 孙琦:漏洞管理的核心是态度
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
漏洞管理的核心是态度
漏洞管理的核心是态度
文 | 孙琦
孙琦
某A+H股上市公司信息安全负责人
负责集团及各业态分子公司的信息安全管理工作,在传统行业、互联网行业有丰富的信息安全工作从业经验。
我认为有效的漏洞管理是最好的安全防御手段。漏洞管理能力直接反应了你的全局安全经营能力,用匠心精神去落实漏洞管理工作,你将收获颇丰。
“开源组件漏洞紧急修,修修修,何日是个头?问君如何做,才能枕无忧?安全策略补丁即刻补,补补补,啥时无缺漏?看汝怎动手,方可稍罢休?新三年,旧三年,缝缝补补又三年,老漏洞,新漏洞,补救不及真头痛。话说,网络安全查漏补缺,几乎成了令所有业者疲于奔命却又无可奈何的宿命。漏洞查得完吗?除恶可务尽否?补丁补得上吗?补了真管用吗?”
这是一个非常有趣的话题。信息安全的本质是激烈的技术对抗,公认的最有效的防御手段就是及时全面地完成已知漏洞修复的工作。当我看到这个话题的时候脑海中闪过了一首歌词“……嘿,蛋炒饭最简单也最困难,饭要粒粒分开还要沾着蛋;嘿,蛋炒饭最简单也最困难,这题目太刁钻,可我手艺并非泛泛……”漏洞管理就是这么一项看似简单重复的工作,但它的确是你构建全局安全运营能力的一个重要支撑点,做好这项工作需要你有深厚的安全经营能力。
一般而言,安全漏洞管理包含了漏洞的发现、报告、接受、验证、处置、发布、跟踪等环节,通过PDCA形成一个完整的安全漏洞管理闭环。参考GBT30276 网络安全漏洞管理规范的定义,我简单介绍一下。
图:安全漏洞管理流程
网络安全漏洞管理包含以下阶段:
■漏洞发现和报告:漏洞发现者通过人工或者自动的方法对漏洞进行探测、分析,证实漏洞存在的真实性,并由漏洞报告者将获得的漏洞信息向漏洞接收者报告;
■漏洞接收:通过相应途径接收漏洞信息;
■漏洞验证:收到漏洞报告后,进行漏洞信息的技术验证;满足相应要求可终止后续漏洞管理流程;
■漏洞处置:对漏洞进行修复,或制定并测试漏洞修复或防范措施,可包括升级版本、补丁、更改配置等方式;
■漏洞发布:通过网站、邮件列表等渠道将漏洞信息向社会或受影响的用户发布;
■漏洞跟踪:在漏洞发布后跟踪监测漏洞修复情况、产品或服务的稳定性等;视情况对漏洞修复或防范措施做进一步改进;满足相应要求可终止漏洞管理流程。
每一个阶段都有其对应的管理要求,这里我不做具体的阐述,但要强调一点,漏洞的发布是需要遵循国家相关的规定的,在该漏洞未修复或有防范措施前是不得发布的,如果违反相关规定,后果还是很严重的。
根据NVD的数据,截至2021年底,当年新增的漏洞数量为19780个,相比2020年呈现上升趋势,初步估计2022年也会保持这一态势。漏洞比例中,critical占比13.05%,high占比42.56%,其余的medium和low合计约为44%左右,即攻击者可利用的现成攻击漏洞数量占当年总新增漏洞数量的比例约为56%,攻击者可以轻易地发动远程执行任意命令或者代码,实现成功拿下被攻击对象的目标。
另外一组有趣的数据是,大量应该早就被修复的安全漏洞,依然保持了一个非常活跃的状态。根据绿盟科技的数据,2021年相关漏洞利用的攻击事件中,居然存在着10年以上的高龄漏洞任然活跃的情况。我们必须思考一个问题,当笔者在使用某软最新一代操作系统并且将补丁打到今天最新版本的时候,依然有人还在使用Windows XP或者更早的操作系统,我们应当适时的摒弃“能用就行”的想法,尊重软件的生命周期,即到了该换代的时候就必须去换代,特别是一些高校、机关等机构。
从服务端的视角分析,Web服务器无疑是一个重灾区,被统计的数据中约占68%为针对Web服务器的攻击。除了我们基数较大的原因外,针对Web服务器的攻击难度和成本都相对较小,大量Web服务器并未有效地落实漏洞修复工作也是另一个极大的因素。
从客户端的角度分析,基于浏览器的攻击值得我们重视。浏览器作为用户进行互动的直接入口正在被越来越多的攻击者用做攻击入口,通过各种组合攻击方式来获取用户的数据已成为常态,我们熟悉的chrome浏览器、Edge浏览器等都存在需要及时修补的安全漏洞。
其次,框架组件、供应链攻击、办公系统、安全产品本身等都存在着大量需要被重视的安全漏洞问题。Log4J、Fastjson、Shiro、Chromium等框架的广泛使用也被证实其一旦发生安全问题所能造成的严重安全影响,其影响面之广也引起了业界的深思和担忧。
国内厂商的大量办公系统、财务系统由于本身的安全开发能力和质量管理能力限制,加之漏洞管理机制的不健全,在每年的大型活动时期都会暴露出大量的0day漏洞,对于企业的漏洞防御、修复等工作会产生极大的困扰。特别是漏洞的对外发布能力以及为用户及时修复的后期服务能力,是一个娇大的短板。
安全产品自身的问题也是近年来逐步显现的一个严重问题,国外厂家的安全设备一般都具有较好的升级机制和服务体系,外企在使用安全设备的时候一般都会严格遵守其生命周期的建议,在产品没有原厂的支持前便启动了对应的更替工作。反观国内,由于意识以及成本等综合因素考虑,大量诸如堡垒机、防火墙、VPN等安全设备都存在设备超出生命周期后仍坚持服役的情况,最直接的结果就是安全设备自身得不到应有的正常维护更迭而变成一个巨大的安全风险。
好在国家相关部委已经出台《网络产品安全漏洞管理规定》,并于2021年9月1日正式实施。该规定对漏洞的生命周期管理进行规范和约束,对于安全从业者也是一个很好的参考。将安全漏洞管理工作制度化、规范化、常态化,一步步提升安全运营能力,确保我们的数字资产的安全可靠运行,既是一个巨大的挑战,也是一份我们热爱的事业。
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在