漏洞管理生态系统近年来开始逐渐成熟起来,安全从业者投入大量时间来发现、管理、分类和交流漏洞。漏洞描述的标准化不仅有助于威胁情报共享,而且还有助于有效管理潜在的威胁,帮助组织、供应商和安全研究人员积极寻求发现漏洞并及时作出响应。
标准化的漏洞建模
当下,漏洞分类标准和漏洞模型都有一定成熟度,有不少标准化模型,包括CWE、CVE、CVSS、CPE、CAN、CAPEC、CKC等。在漏洞管理中,它们各自扮演什么角色,都作用在哪个阶段,拥有什么特点,是安全人员需要提前了解。
图1:标准化漏洞模型
CWE(CommonWeakness Enumeration):是开发的常见软件和硬件安全弱点列表。基本上可以认为CWE是所有漏洞的原理基础性总结分析,CVE中相当数量的漏洞的成因在CWE中都可以找到相应的条目。如在代码层、应用层等多个方面的缺陷,从CWE角度看,正是由于CWE的一个或多个缺陷,从而形成了CVE的漏洞。
CVE(Common Vulnerabilities & Exposures):公开的漏洞都拥有唯一标识,漏洞编号就好比是出版物的ISBN号。目前最常见的漏洞编号,是引用MITRE组织推出的CVE编号系统,编号由(CVE Numbering Authorities)CNAs分配。漏洞信息通常包括简要描述、告警、缓解措施和报告。 CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。但并不是有公开披露的漏洞都有一个相关的CVE- ID。保密的和未公开披露的漏洞通常被称为零日漏洞。
CVSS(Common Vulnerability Scoring System):CVSS建立于1990年,目前由FIRST负责运营。它通常是基于对每个漏洞特征进行定量计算一个大致的评分(0-10分),然后输出一个定性值(低、中或高)。当前的CVSS最新版本是2019年6月发布实施v3.1。
CPE(Common Platform Enumeration):通用平台枚举项,为IT产品和平台提供了统一的名称,原来属于MITRE运营,2014年交由NIST,作为NVD基础资源的一部分。它是对IT产品的统一命名规范,包括系统、平台和软件包等,CPE在信息安全风险评估中对应资产识别。
CAPEC(Common Attack Pattern Enumeration and Classification):是攻击模式枚举分类,是美国国土安全部建立于2007年,现在主要是由MITRE在运营,提供了公开的可用攻击模式,在信息安全风险评估中应对威胁。
OVAL(Open Vulnerability and Assessment Language),用于表达系统安全状态,是可以用于检测的技术细节指导,包括获取系统配置信息、分析状态、输出报告三个步骤。OVAL建立于2010年,2016年从MITRE转交给CIS组织。
CKC(cyber-attacks and the Cyber Kill Chain):CKC的全面理解是建立在对漏洞生命周期的认识,包括漏洞出现和利用。CKC还通过分配特定事件的攻击行为来提供威胁情报,并使用模型描述来理解这些行为。这种知识有助于目标系统的操作员确定一个成功的防御策略和解决某些网络攻击问题。
全生命周期的漏洞管理
当今的漏洞管理生命周期理论是由Arbaugh等人在2000年左右定义概念。通过漏洞生命周期映射,可定义过渡边界的事件。由于漏洞会触发相关的漏洞利用事件,风险程度也在提高,有了补丁可之后,风险程度则会降低。
图2:漏洞生命周期
漏洞产生阶段(Creation):漏洞尚未被发现或者利用, 因此, 该阶段安全漏洞无风险。
漏洞发现阶段(Discovery):当漏洞刚被发现时, 对漏洞的挖掘和利用处于探索阶段, 并且掌握漏洞信息的人员数量少, 因此, 该阶段漏洞风险较低。
漏洞公开阶段(Disclosure):由于漏洞处于公开但未提供补丁的状态,越来越多的潜在攻击者开始关注此安全漏洞。攻击方式也会发生改变, 例如攻击由简单的代码供给转变为自动攻击工具, 使低技能攻击者开始尝试漏洞利用, 随时间推移,漏洞风险持续升高。
漏洞评估阶段(Assess):随着攻击脚本的传播, 更多的攻击者掌握了漏洞的利用方法, 从整体上看, 漏洞风险不断增长,达到高峰期。
漏洞修复阶段(Patched):随着补丁释放, 安装用户增多, 安全风险不断降低。由于不同漏洞的复杂度差别较大, 对于未能提供补丁的漏洞,相关组织机构也会采取一些手段切断黑客漏洞利用的攻击链路。
ATT&CK战术&技术的漏洞利用情况
攻击者利用漏洞实现攻击目标,而ATT&CK是目前为止针对攻击场景总结最完善的知识库。分析ATT&CK矩阵可以发现,各个战术、技术的实现对于漏洞利用明显不一。
如下图所示,在将CVE漏洞与ATT&CK战术实现进行关联时候,发现“防御绕过”这一战术对漏洞利用最多,而有一些战术实现则从不利用漏洞,包括数据渗出、影响等战术。当然有的漏洞,可能在多个战术上都有所体现。
图3:基于CVSS v3数据,看ATT&CK战术的漏洞利用情况
在2019年时候,接近300种ATT&CK技术,其中有52种技术与漏洞相关,占全部ATT&CK技术范围的17%。与漏洞相关的前3种技术是:T1148(hISTCONTROL环境变量)、T1027(故意混淆文件或信息)、T1130(安装安全证书)。
如下表所示,总结了ATT&CK框架各个技术可利用的漏洞,括号中的数字表示受该技术影响的漏洞数量。
比快更快,比准更准的管理方案
青藤风险发现产品致力于帮助用户精准发现内部风险,帮助安全团队快速定位问题并有效解决安全风险。该产品能提供详细的资产信息、风险信息以供分析和响应,能为客户提供以下三大核心价值:
1.准确的风险识别,白盒视角的风险发现比黑盒更准确。
基于Agent的漏洞扫描,在准确性上拥有天然优势。传统漏扫产品对资产覆盖的深度和广度不足,导致检测准确率不高。
2.极大提升扫描效率,在复杂环境下依然能达到极高的效率。
传统漏扫产品效率低,而基于Agent方式可快速完成全部扫描。因此,一旦出现新的漏洞可在在很短时间内完成检测工作。
3.自动关联资产数据,定位相关负责人以及属于何种业务。
在查到某机器上存在某个漏洞之后,可迅速知道谁负责这台机器。
典型应用场景一:新高危漏洞的快速应急检测
通过青藤风险发现产品可以快速进行响应,绝大部分漏洞都可通过资产识别直接定位,对于无法识别的漏洞可以通过编写检测脚本将其配置到检测系统中即可。例如,攻方团队利用了Weblogic反序列化漏洞、JBOSS远程代码执行漏洞、Apache Axis远程命令执行漏洞等多个0Day漏洞进行攻击。
典型应用场景二:高危漏洞的补丁识别和关联
当一个漏洞被精准定位后,青藤风险发现产品能够关联分析这个漏洞相关的补丁。例如,风险发现产品通过CVE编号确认所有资产中有13台机器上存在Shellshock漏洞。青藤产品不仅提供详细补丁情况,还能够检测补丁修复后是否会影响其它业务。青藤通过识别应用,加载SO和进程本身确认是否被其它业务组件调用,来判断补丁修复是否会影响其它业务。因此,在高危漏洞爆发后,青藤产品能快速帮助客户进行补丁识别和关联,并确认打补丁后是否存在风险等。
写在最后
由于漏洞自身性质决定了漏洞库更新永远不会有完结一天,当然抓取的漏洞特征信息也不可能永远保持正确,因此只能说漏洞样本在一定程度上帮助组织机构更好防御风险。
当然,组织只依赖一个漏洞库来源,不管它有多权威,可能会错过影响其系统的重要漏洞信息。此外,CVSS评分系统虽然能够提供一个相对参考评估,帮助了解和对比漏洞,以及漏洞严重程度,但这可能与现实真实情况有偏差,不同行业、不同企业IT设施都不一样,因此面对同一个漏洞,影响面和危害面都不一样。