今日頭條
官方微信
官方抖音
資訊頻道在網(wǎng)絡(luò)安全領(lǐng)域,漏洞常被攻擊方視為“殺手锏”武器,又被防守方當作“萬惡之源”。漏洞本身雖然不產(chǎn)生危害,但一旦被利用,則極有可能帶來嚴重的威脅。關(guān)鍵信息基礎(chǔ)設(shè)施在數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型的過程中配置了大量信息資產(chǎn),其網(wǎng)絡(luò)體系越來越復雜,漏洞作為“伴生體”所帶來的威脅問題日益凸顯。習近平總書記曾指出:要全面加強網(wǎng)絡(luò)安全檢查,摸清家底,認清風險,找出漏洞,通報結(jié)果,督促整改。如何快速應(yīng)對漏洞產(chǎn)生的威脅,降低關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風險,無疑是擺在新時代的一個迫切命題。我們針對某些關(guān)鍵信息基礎(chǔ)設(shè)施在接報漏洞后面臨的處置周期長、資產(chǎn)定位難等問題,進行針對性的調(diào)研,探索對其重要信息資產(chǎn)開展漏洞治理的工作,并總結(jié)了一些實踐經(jīng)驗與同行同業(yè)分享和探討,以期拋磚引玉。
一、網(wǎng)絡(luò)安全漏洞的定義和治理的概念
國際標準化組織(ISO/IEC 27002)定義漏洞(vulnerability)為一個或多個威脅可以利用的一個或一組資產(chǎn)的弱點。通用漏洞評分系統(tǒng)(CVSS)則將漏洞定義為軟件或硬件組件中的弱點或缺陷。我國《信息安全技術(shù) 術(shù)語》(GB/T 25069-2010)將我們傳統(tǒng)意義上認為的漏洞定義為“脆弱性”,指資產(chǎn)中能被威脅所利用的弱點。《信息安全技術(shù) 安全漏洞等級劃分指南》(GB/T 30279-2013)將安全漏洞(vulnerability)定義為計算機信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運行等過程中,有意或無意產(chǎn)生的缺陷。這些缺陷以不同形式存在于計算機信息系統(tǒng)的各個層次和環(huán)節(jié)之中,一旦被惡意主體所利用,就會對計算機信息系統(tǒng)的安全造成損害,從而影響計算機信息系統(tǒng)的正常運行。綜上可見,漏洞存在于信息資產(chǎn)之上,風險主要來源于該漏洞的環(huán)境構(gòu)成,造成漏洞存在被威脅利用之機。本文所討論的漏洞與國際標準化組織定義的范圍一致。
治理的概念最早出現(xiàn)在政治學領(lǐng)域,通常指政府運用公權(quán)力管理社會和人民;而后這一概念又被引入商業(yè)和公共領(lǐng)域,延伸到組織機構(gòu)中的管理方式和制度等方面。聯(lián)合國全球治理委員會(CGG)對治理做過權(quán)威定義,指“各種公共的或私人的個人和機構(gòu)管理其共同事務(wù)的諸多方法的總和”,并總結(jié)治理的一個重要特征是以協(xié)同而非控制為基礎(chǔ)。21世紀初,隨著信息化的發(fā)展,IT治理的理念逐步被引入公司治理層面,Gartner認為,IT治理是確保信息技術(shù)有效、高效的應(yīng)用以幫助組織機構(gòu)達到其目標的過程。本文定義的漏洞治理是指漏洞信息披露后,關(guān)鍵信息基礎(chǔ)設(shè)施運營者建立機制、協(xié)同內(nèi)外部資源及條件、開展與之相關(guān)信息資產(chǎn)的分析和威脅風險評估,快速消除漏洞或隔離其被利用條件的一系列方法之總和。漏洞治理的主體是關(guān)鍵信息基礎(chǔ)設(shè)施運營者,通過協(xié)同工作機制調(diào)動其內(nèi)部資產(chǎn)相關(guān)部門、業(yè)務(wù)運營部門、信息安全部門,科學評估漏洞所產(chǎn)生的風險,在平衡風險控制與業(yè)務(wù)發(fā)展的基礎(chǔ)之上,選擇最優(yōu)的治理路徑,達到有效管控網(wǎng)絡(luò)安全風險的目標。
二、關(guān)鍵信息基礎(chǔ)設(shè)施漏洞治理面臨的三重困惑
當前黨和國家對關(guān)鍵信息基礎(chǔ)設(shè)施的重視程度前所未有。我國《網(wǎng)絡(luò)安全法》單列一節(jié),將公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等列為關(guān)鍵信息基礎(chǔ)設(shè)施,要求必須實行重點保護。《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例(征求意見稿)》規(guī)定,“運營者發(fā)現(xiàn)使用的網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風險的,應(yīng)及時采取措施消除風險隱患”。在多重法律法規(guī)的要求下,關(guān)鍵信息基礎(chǔ)設(shè)施運營者面臨著較大的安全合規(guī)壓力,但在工作中我們發(fā)現(xiàn),關(guān)鍵信息基礎(chǔ)設(shè)施帶“洞”運營仍是常態(tài)。數(shù)據(jù)顯示,某關(guān)鍵信息基礎(chǔ)設(shè)施,一年中前10個月發(fā)現(xiàn)了10027個漏洞,到年底漏洞消除率只有62%,漏洞消除的平均周期為59天,最長周期達150天。大量漏洞長期暴露未能得到及時有效的處置,漏洞整體消除周期過長,導致新發(fā)現(xiàn)的漏洞與未消除的漏洞不斷累加,網(wǎng)絡(luò)安全風險進一步疊加,這也是當前關(guān)鍵信息基礎(chǔ)設(shè)施運營者面臨的難題。
(一)網(wǎng)絡(luò)安全考核指標與漏洞所帶來的風險之間存在一定程度的割裂。
在現(xiàn)有的評價機制下,關(guān)鍵信息基礎(chǔ)設(shè)施運營者對漏洞“重發(fā)現(xiàn),輕治理”,且缺乏激勵修復漏洞的相關(guān)機制。漏洞檢出數(shù)量的多寡、危害等級與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全考核評價掛鉤。在實際工作中,有些漏洞在特定的環(huán)境中無法完全消除,強行消除漏洞可能引入更大的安全風險,導致系統(tǒng)停擺、數(shù)據(jù)泄露等更嚴重的事故,而關(guān)鍵信息基礎(chǔ)設(shè)施運營者缺乏有效的判斷依據(jù),往往不懂處置,不敢處置。關(guān)鍵信息基礎(chǔ)設(shè)施運營者的困境在于,漏洞檢出的數(shù)量越來越多,但漏洞所造成的實際危害卻千差萬別,針對漏洞對應(yīng)的資產(chǎn)、環(huán)境等因素進行危害評估的體系缺位,直接導致漏洞處置工作缺乏抓手,不分輕重緩急“眉毛胡子一把抓”,最終可能無法最大化地消除漏洞所帶來的網(wǎng)絡(luò)安全風險。
(二)傳統(tǒng)漏洞掃描工作模式難以有效提高漏洞處置的工作效率。
當前多數(shù)關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展的漏洞掃描是一種“串聯(lián)式”的工作模式,漏洞掃描是周期性、階段性的任務(wù)而非常態(tài)化的機制。在這種工作模式下,若按照每3個月對關(guān)鍵信息基礎(chǔ)設(shè)施7000-8000個IP地址開展漏洞風險排查,第一步需要使用掃描器更新漏洞數(shù)據(jù)庫,并分時分段進行漏洞掃描,過程耗時近1個月;第二步將掃描器獲得的漏洞信息分門別類整理并尋找對應(yīng)信息資產(chǎn)和責任人,分配漏洞處置任務(wù),期間又耗時1個月;第三步,工作人員必須在1個月內(nèi)完成漏洞處置、復測和總結(jié)等工作。檢查人員經(jīng)常要面對上一輪漏洞處置工作還未結(jié)束,下一輪檢查又要開始的窘迫局面。每一輪漏洞掃描均重復性地收集相關(guān)資產(chǎn)信息,將之與公開漏洞信息進行匹配從而發(fā)現(xiàn)問題所在,這種低效的工作模式必然導致在資產(chǎn)上檢測漏洞的過程嚴重滯后。
(三)信息資產(chǎn)的復雜度與漏洞的爆炸式增長造成漏洞檢測和驗證環(huán)節(jié)滯后。
隨著大數(shù)據(jù)、物聯(lián)網(wǎng)和云計算等新技術(shù)新應(yīng)用的發(fā)展,關(guān)鍵信息基礎(chǔ)設(shè)施的信息資產(chǎn)體量越來越龐大,物理資產(chǎn)和虛擬資產(chǎn)多重交叉,又分屬不同的部門使用和管理。信息資產(chǎn)的服務(wù)端口、IP地址等隨業(yè)務(wù)和使用環(huán)境變化而呈現(xiàn)動態(tài)變化的特征,這就給信息資產(chǎn)的界定問題、一致性問題、動態(tài)管理問題帶來了極大的挑戰(zhàn)。與此同時,專業(yè)網(wǎng)絡(luò)安全機構(gòu)披露漏洞數(shù)量越來越多,2017年國家信息安全漏洞共享平臺(CNVD)披露的漏洞超過1.59萬個,較 2016 年增長47.4%,國家信息安全漏洞庫(CNNVD)公布的漏洞數(shù)量超過1.47萬個,較2016年增長超過70%,增長率達到歷史新高 。海量的信息資產(chǎn)和漏洞均呈現(xiàn)多樣化、動態(tài)化和復雜化的特點,使得關(guān)鍵信息基礎(chǔ)設(shè)施運營者在傳統(tǒng)的工作模式下難以將兩者高效、快速地映射,漏洞處置和整改更無從談起。
三、以漏洞治理為切入點開展關(guān)鍵信息基礎(chǔ)設(shè)施重要信息資產(chǎn)安全保障的實踐和思考
(一)建立對信息資產(chǎn)統(tǒng)一動態(tài)管理的體系。
保障信息資產(chǎn)的完整性、一致性是漏洞治理工作的基礎(chǔ)。夯實這個基礎(chǔ),一是要建立機制保障信息資產(chǎn)的完整性,建立一套針對信息資產(chǎn)“責任人+管理制度”的體系,保證信息資產(chǎn)責任主體可追溯,對信息資產(chǎn)的全生命周期進行管理,不能只管信息資產(chǎn)“入口”(采購)、“出口”(退出)環(huán)節(jié),更要在中間使用環(huán)節(jié),特別是對資產(chǎn)變更的跟蹤進行責任確認和監(jiān)管監(jiān)督。二是要通過管理解決信息資產(chǎn)一致性問題,明確關(guān)鍵信息基礎(chǔ)設(shè)施信息資產(chǎn)跨部門協(xié)同管理,細化采購部門、運維部門、安全部門在信息資產(chǎn)管理中的角色和定位,使用統(tǒng)一的資產(chǎn)管理標準進行登記管理,細化資產(chǎn)屬性維度,避免出現(xiàn)一個資產(chǎn)多種表述,多個資產(chǎn)一種表述的現(xiàn)象。三是要通過技術(shù)手段,實現(xiàn)對信息資產(chǎn)完整性和一致性的動態(tài)管理。充分完善信息資產(chǎn)掃描探測技術(shù),對主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、中間件等重要信息資產(chǎn)進行自動識別。通過輪詢信息資產(chǎn)指紋等感知技術(shù)識別資產(chǎn)屬性變更,并運用分布式信息資產(chǎn)探測雷達,提高信息資產(chǎn)識別效率和覆蓋面,揪出“無主資產(chǎn)、僵尸資產(chǎn)”。只有全面掌握動態(tài)變化的信息資產(chǎn)完整性、一致性,才能完成對信息資產(chǎn)的實時追蹤和查詢等管理工作。
(二)探索將漏洞危害與應(yīng)用環(huán)境相結(jié)合的評估方法。
當前主流的漏洞危害評級方法是定性定量評估,該方法因其標準化、規(guī)范化的優(yōu)勢,被大多數(shù)國內(nèi)外網(wǎng)絡(luò)安全廠商和漏洞管理機構(gòu)采用,主要參考指南有《通用漏洞評分系統(tǒng)指南》(CVSS)、《信息安全技術(shù)安全漏洞等級劃分指南》(GBT 30279-2013)。網(wǎng)絡(luò)安全機構(gòu)或關(guān)鍵信息基礎(chǔ)設(shè)施運營者可依據(jù)指南從多個維度計算并評定漏洞的危害等級。定性定量評估方法的難點在于如何對漏洞所處應(yīng)用環(huán)境進行分析,如CVSS指南依照基本指標、時間指標、環(huán)境指標對漏洞危害進行評級,其中基本指標是指漏洞利用復雜度等固定的指標,而時間指標和環(huán)境指標描述的是漏洞隨時間和應(yīng)用環(huán)境變化的特征,這一部分的評定需要用戶的直接參與。網(wǎng)絡(luò)安全廠商和漏洞管理機構(gòu),如公共漏洞披露平臺(CVE)、國家信息安全漏洞共享平臺(CNVD)等一般僅根據(jù)基本指標評定漏洞危害等級,另外兩項指標及修正后的數(shù)值則由用戶自行評定。在實際操作中,關(guān)鍵信息基礎(chǔ)設(shè)施因應(yīng)用環(huán)境相對復雜,安全需求千差萬別,造成環(huán)境度量計算非常復雜,因此往往忽略環(huán)境指標的計算,導致危害評級無法真實反映漏洞對特定系統(tǒng)造成的危害。
漏洞危害評級的主要目的是推動工作人員在有限的時間和精力的情況下優(yōu)先處置高危漏洞,從而以最快的速度降低網(wǎng)絡(luò)安全風險。為使漏洞危害評級體系中環(huán)境指標度量進一步落地,我們根據(jù)CVSS3.0的指南,引入“系統(tǒng)安全防護能力”作為環(huán)境指標度量的一個維度,根據(jù)不同系統(tǒng)安全防護能力對保密性、完整性、可用性的影響賦值,計算出關(guān)鍵信息基礎(chǔ)設(shè)施每個系統(tǒng)的安全防護能力,結(jié)合漏洞管理機構(gòu)提供的基本指標度量數(shù)據(jù),采用CVSS3.0的計算方法,對漏洞危害評級評定的數(shù)據(jù)進行修正,使漏洞危害更加貼近實際應(yīng)用場景。這種方法既能保證兼容CVSS3.0指南的度量體系,又使得漏洞危害評級可以快速落地應(yīng)用,兼具可行性和易用性。
(三)制定漏洞快速處置的工作機制和協(xié)同流程。
漏洞快速處置主要依賴于三方面的設(shè)計。一是在考核機制上進行“鼓勵式”設(shè)計。網(wǎng)絡(luò)安全考核評價不能只有懲罰機制,也應(yīng)該包含激勵式制度。如某電信運營商組織內(nèi)部人員開展漏洞挖掘比賽,獎勵優(yōu)先發(fā)現(xiàn)和協(xié)助處置漏洞的工作人員,此舉充分調(diào)動了各部門員工參與網(wǎng)絡(luò)安全工作的熱情。關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)探索漏洞快速治理的創(chuàng)新做法,表彰優(yōu)先處置漏洞的部門和個人。在漏洞快速處置方面,修復補丁只是漏洞治理的其中一個途徑,通過提高系統(tǒng)防護等級,消除漏洞利用條件,提高漏洞利用難度,也能降低漏洞帶來的風險,這類新的做法應(yīng)值得嘗試。二是要有協(xié)同處置安全風險的責任設(shè)計。關(guān)鍵信息基礎(chǔ)設(shè)施運營者要劃分漏洞處置責任,調(diào)動內(nèi)部各利益相關(guān)方進行漏洞的協(xié)同處置。如針對硬件和軟件的漏洞,界定資產(chǎn)管理部門、業(yè)務(wù)運營部門、信息安全部門的責任,資產(chǎn)管理部門應(yīng)協(xié)調(diào)供應(yīng)商、開發(fā)商統(tǒng)一修復漏洞,定期打上補丁。對一些因系統(tǒng)無法維護而造成高危漏洞無法消除的情況,業(yè)務(wù)運營部門應(yīng)制定產(chǎn)品替代方案,逐步退出應(yīng)用。針對強行升級系統(tǒng)或打補丁消除漏洞可能造成業(yè)務(wù)系統(tǒng)停擺等風險時,信息安全部門應(yīng)協(xié)同業(yè)務(wù)運營部門,咨詢第三方安全機構(gòu),制定科學可行的漏洞處置方案,避免因漏洞處置而影響正常業(yè)務(wù)開展。三是要建設(shè)技術(shù)平臺提升漏洞治理的整體效率。關(guān)鍵信息基礎(chǔ)設(shè)施運營者通過建設(shè)漏洞治理技術(shù)平臺進一步提高漏洞處置效率,一方面可將實時漏洞庫、動態(tài)資產(chǎn)庫、開源POC庫進行集成,實時進行資產(chǎn)與漏洞的規(guī)則匹配,并運用自動化手段進行精準驗證,科學計算和評估漏洞的影響。另一方面充分利用漏洞治理技術(shù)平臺分發(fā)處置任務(wù)、反饋治理成果,輔助開展績效評估等工作。
四、結(jié)語
習近平總書記提出要樹立正確的網(wǎng)絡(luò)安全觀,并指出網(wǎng)絡(luò)安全是整體的、動態(tài)的、開放的、相對的和共同的。我們在開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障工作中認識到,只有牢牢抓住網(wǎng)絡(luò)安全的上述基本特點,才能實現(xiàn)對漏洞的有效治理,降低網(wǎng)絡(luò)安全風險。我們在開展漏洞治理的一年時間里,推動上述關(guān)鍵信息基礎(chǔ)設(shè)施運營者漏洞處置周期由平均59天縮短到如今的7天,在重要敏感時期,高危漏洞有效處置的周期縮短至24小時之內(nèi)。關(guān)鍵信息基礎(chǔ)設(shè)施運營者在探索漏洞治理過程中,進一步摸清了資產(chǎn)的底數(shù)、認清了風險的由來,為下一步開展網(wǎng)絡(luò)安全態(tài)勢感知工作奠定了基礎(chǔ)。
作者:陳志華,曾祥斌 廣東省信息安全測評中心
文章來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號