概述
漏洞管理是一种 IT 安全实践,涉及识别、评估和修复设备、网络和应用中存在的安全缺陷,以期降低网络攻击和安全漏洞的风险。
安全专业人士将漏洞管理视为安全防护自动化的一个重要组成部分。根据美国国家科学技术研究所(NIST)的定义,漏洞管理是信息安全持续监控(ISCM)的一项必要能力。
所有漏洞都采用通用漏洞披露(CVE)体系来进行跟踪,安全行业广泛使用这一系统来对安全研究人员和 IT 供应商发现的缺陷进行分类。新的 CVE 漏洞会不断出现,因此漏洞管理是一个持续的过程。漏洞管理计划有助于安全团队以自动化方式执行检测和修复,包括漏洞扫描和修补等。
漏洞管理有哪些作用?
漏洞管理的目标是降低网络攻击风险并保护 IT 基础设施。这些过程可以识别和消除可被不法分子利用的安全问题或配置错误,维护软件补丁,以及检测和化解漏洞被利用造成的攻击,从而帮助减小企业或机构的受攻击面。它有助于确保一切得到妥善修补和配置,包括端点设备、服务器、网络以及云资产等方方面面。
漏洞管理可以划分为五个相互重叠的工作流:
- 发现:检查企业或机构的 IT 资产是否存在已知和潜在的漏洞。
- 分类和优先级排序:对识别到的漏洞进行分类,并根据严重程度和实际风险排定优先级(例如,某个非常重大的设备漏洞只有当设备连入互联网时才能被利用,只要该设备永不连入互联网,就不会造成任何风险。)
- 解决:通过修复(充分解决漏洞)、缓解(使其难以被利用或减轻其影响)或接受(选择将风险评分较低的漏洞保留不动)来解决漏洞。
- 重新评估:开展新的评估,确保先前的措施发挥作用,并且不会引发任何新的漏洞。
- 报告:建立漏洞管理的基准指标,并监控其随时间推移的表现。
在 NIST 所制定的网络安全框架下,漏洞管理作为信息安全的一个组成部分,支持以下功能:
- 识别:了解系统、人员、资产、数据和功能。
- 保护:能够限制或遏制潜在网络安全事件的影响。
- 检测:能够及时发现网络安全事件。
- 响应:在检测到网络安全事件时采取适当的行动。
- 恢复:做好弹性规划,恢复因安全事件而受损的任何能力或服务。
如何识别和跟踪安全漏洞?
IT 安全漏洞通过 CVE 列表来进行编目和跟踪,该列表由 MITRE Corporation 监管,由美国国土安全局下属的网络安全和基础设施安全局(CISA)提供资金,CVE 对于整个行业来说都是重要资源。所有研究人员、供应商和开源社区成员可以提交发现的安全缺陷,使其成为 CVE 列表中的条目。
除了简单的 CVE 条目外,安全专业人士还可以从美国国家漏洞数据库(NVD)、CERT/CC漏洞注释数据库和其他来源(如供应商维护的产品相关列表)中找到有关漏洞的技术细节。
在这些不同的系统中,用户可以利用 CVE ID 来识别独特的漏洞并协调安全工具和解决方案的开发。
什么是 CVSS 评分?如何分配评分?为什么?
通用漏洞评分系统(CVSS)是对 CVE 进行评分的行业标准。它会运用一个公式来衡量与漏洞相关的一系列因素,例如潜在攻击是否可以远程进行,攻击有多复杂,以及用户有无必要采取行动。CVSS 会为每个 CVE 分配一个基本分数,范围从 0(无影响)到 10(最高安全风险)不等。
但仅凭这一分数并不能全面评估风险。还有另外两种类型(时间和环境)的评估可帮助形成更加完善的 CVSS 分析。时间评估会增加有关当前的漏洞利用技术、是否存在利用该漏洞的攻击,或是否存在针对该缺陷的补丁或解决办法的详细信息。环境评估则会增加有关最终使用者环境中可能存在的关键任务数据、系统或控制措施的相关详细信息,它们可能会改变攻击造成的影响或攻击成功的概率。
除了 CVSS 评分外,供应商和研究人员还可以使用其他衡量手段。例如,红帽产品安全团队使用四级严重性等级来帮助用户评估安全问题。这些等级包括:
- 重大影响:这类缺陷很容易被未经身份验证的远程攻击者利用,而且无需用户交互就能造成系统失守。
- 重要影响:这类缺陷很容易损害资源的机密性、完整性或可用性。
- 中度影响:这类缺陷可能比较难以被利用,但在某些情况下仍有可能导致资源的机密性、完整性或可用性受到某种损害。
- 较低影响:所有其他可能对安全产生影响的问题,包括被认为在罕见情况下才能被利用的问题,或者被成功利用后造成极小后果的问题。
什么是基于风险的漏洞管理(RBVM)?
近些年来漏洞数量呈现递增趋势,许多企业都向安全防护投入了更多人力和资源,如何高效、有效地排定这些工作的优先顺序变得非常重要。如果漏洞管理计划采纳了过于笼统、不准确的风险数据,那么就有可能某些漏洞的优先级被定得过高或过低,以及重大问题长期得不到解决。
基于风险的漏洞管理(RBVM)是一种更为新颖的方法,旨在根据对特定企业或机构的威胁风险来确定行动的优先级。RBVM 会考虑特定于利益相关者的漏洞数据,例如威胁情报、漏洞利用概率以及受影响资产的业务重要性等。也可以在其中纳入人工智能和机器学习能力,继续开发更为准确的风险评分。此外,RBVM 也力求通过持续且自动的漏洞扫描来实时监测漏洞。
漏洞评估和漏洞管理之间有何区别?
漏洞评估是对 IT 系统的安全防护措施进行检查,以确定其中存在的安全缺陷。它包括收集有关系统及其资源的数据,检查是否存在已知的漏洞,以及报告按活跃程度分类的发现结果和确定的改进方法等。您可以把漏洞评估想象成对所有基础架构进行内部审计和排查,以检查是否存在安全问题。虽然漏洞评估可以纳入常规流程,但本质上来说,它算是一种一次性活动,会以一份反映特定时间点状况的快照报告作为结束。
与之相反,漏洞管理是一项持续性工作,以自动化方式不断地执行。漏洞管理的功能是持续、重叠而不间断的。这样,团队就能尽早、快速地应对关键漏洞,提升安全性。
红帽能如何提供帮助?
作为开源软件领导者,红帽始终秉持公开透明的态度,坚持为客户和社区负责。红帽经常参与业界的漏洞议题交流,并于 2022 年成为 CVE 计划中的核心(Root)成员。
此外,红帽也协助广大企业或机构更安全地构建、部署和运行云原生应用。了解如何利用红帽 Kubernetes 高级集群安全防护来更好地检测和管理 Kubernetes 环境中的漏洞。