400-189-9287 CONTENTS 执行摘要 ...................................................................2 漏洞简介 ...................................................................3 什么是漏洞？ ....................................................3 漏洞、威胁与风险 .............................................3 漏洞的类型 ........................................................4 漏洞管理 ...................................................................4 漏洞管理的必要性 .............................................5 漏洞的标准化建模 .............................................5 漏洞管理的流程 .................................................7 全生命周期的漏洞管理 ................................... 10 改善漏洞管理的步骤 ............................................... 11 定期进行渗透测试 ........................................... 11 制定漏洞补丁时间计划表 ................................ 11 进行细粒度的 IT 资产盘点 ............................... 12 随时更新网络威胁情报 ................................... 12 加强网络安全基础设施的管理 ........................ 12 比快更快，比准更准的漏洞管理方案 .................... 13 总结 ......................................................................... 15 附录：2021 年最常被利用的 TOP15 漏洞 ............... 16 2021 年最常被利用的 Top15 漏洞.................... 16 漏洞缓解措施 .................................................. 18 1/QINGTENG 2022 漏洞管理指南 400-189-9287 执行摘要 如果要说 2021 年的网络安全形势对今年有什么启示，那就是不要用过去的武器对抗今天的 战役。在漏洞管理领域尤为如此。对于很多企业来说，漏洞管理始终是一个让人头痛的难题。 在过去的一年里，由于漏洞的原因，发生了两件骇人听闻的安全事件：2021 年伊始，安全 行业遇到了前所未有的 Solar Winds 供应链攻击；2021 年结束时，又发现了更令人震惊的 Log4Shell 漏洞，影响到数以亿计的设备。 除此之外，漏洞的发展还呈现出以下态势： ⚫ 新增漏洞达到有史以来最高数量。2021 年公布的新漏洞有 20175 个，比 2020 年的 18341 个有所增长，数量再创新高。这是有史以来报告漏洞最多的一年，也是 2018 年以来漏 洞数量同比增长最大的一年。这些新增漏洞和历史漏洞累计形成了庞大的漏洞库，让安 全和运维团队更难对漏洞进行优先级排序和补救。 ⚫ 加密劫持和勒索软件导致产生新的恶意软件。过去一年里，恶意软件行业继续涌现出 各种各样的恶意软件，特别是加密劫持和勒索软件程序，这让威胁行为者更容易发动攻 击并且很容易获得快钱。 ⚫ 威胁者利用漏洞的速度加快。有数据显示，在野漏洞利用的数量增加了 24%，这表明网 络犯罪分子现在利用新漏洞的速度加快，留给安全团队在真正发生攻击前检测并处理漏 洞的时间更短了。 在漏洞数量快速增长，攻击者攻击手段不断更新的情况下，没有一个行业是安全的，甚至我 们依赖的能源、水和食物等关键基础设施也受到攻击。根据 Ponemon 研究所与 IBM 发布的 《2021 数据泄露成本报告》显示，2021 年数据泄露的平均成本是 424 万美元。 为提高漏洞管理效率，本指南详细阐释了漏洞的概念，介绍了漏洞的标准化建模与全生命周 期的漏洞管理，并列出了 2021 年最常被利用的 TOP15 漏洞，以期帮助更多用户更好地处理 漏洞问题，减少因漏洞而引发的攻击。 2/QINGTENG 2022 漏洞管理指南 400-189-9287 漏洞简介 网络犯罪分子可以利用漏洞来实现任何特定目的，因此，组织机构需要识别漏洞，并定期了 解漏洞的最新更新情况和预防流程，以提高系统操作的安全性。解决和管理在逐年攀升的漏 洞，需要按照严格的要求进行漏洞检测和补救。一些重大漏洞是硬件、程序、网络和软件的 漏洞。 什么是漏洞？ 原则上，漏洞是指系统或网络中的一个脆弱点，其可能会被网络犯罪分子利用，以获得未经 授权的访问，从而造成破坏。漏洞利用之后会发生什么呢，谁也说不准——安装恶意软件、 窃取敏感数据、利用恶意代码造成损害等等。以下是有关漏洞的几个官方定义： ⚫ NIST：系统、系统安全程序、内部控制或实施中存在的脆弱点，其可能会被威胁行为者利 用或触发。 ⚫ ISO 27005：资产中存在的、可被威胁行为者利用的脆弱点，其中资产是指对组织机构、 其业务运营及其连续性有价值的任何东西，包括支持组织使命的信息资源。 ⚫ IETF RFC 4949：系统设计、实施或操作和管理中存在的缺陷或脆弱点，其可能会被利用， 违反系统的安全策略。 漏洞、威胁与风险 在了解了漏洞的定义之后，我们来看一下漏洞与威胁、风险的异同。 漏洞 vs 威胁 漏洞是会破坏组织机构 IT 安全体系的差距或脆弱点，而威胁则是组织机构所面临的风险， 包括植入危险的可执行文件、恶意软件攻击、勒索软件攻击等等。威胁潜伏在当今的网络威 胁环境中，寻找环境中可以利用的漏洞。没有相同的两种威胁，总会有一些威胁比其他威胁 更有可能实现漏洞利用。 漏洞 vs 风险 风险是指对组织机构的网络安全和漏洞的潜在威胁的彻底评估。它不只是考虑漏洞被利用的 概率，也考虑事件对组织机构的潜在商业影响。 3/QINGTENG 2022 漏洞管理指南 400-189-9287 漏洞的类型 漏洞有多种类型和形式。常见的漏洞类型包括以下几种。 软硬件漏洞 硬件漏洞是指设备或系统中的缺陷或脆弱点，能够让攻击者远程或现场利用系统。常见的硬 件漏洞包括设备未加密、未对存储设备加以保护、以及系统或设备版本老旧。 软件漏洞是指软件中的缺陷或瑕疵，攻击者可以基于此远程控制系统。这些缺陷有时与软件 编码或设计有关。例如，某些软件漏洞是缺乏输入验证、跨网站脚本、数据未加密造成的等。 网络漏洞 网络漏洞会导致软硬件问题暴露给恶意软件或配置欠妥当的防火墙。常见的网络漏洞包括错 误配置的防火墙、社工攻击和无保护的网络通信。此外，一个简单的网络系统中存在着许多 应用程序和操作系统，从而让攻击者通过利用其中的缺陷或漏洞进入整个网络。 程序性/操作性漏洞 如果组织机构的安全程序存在漏洞，也会让组织机构受到攻击。为了提高安全性，组织机构 需要遵守标准的密码策略。组织机构需要适当地维护各种操作程序，以避免被利用。组织机 构的网络安全系统需要按照最佳实践来以防止攻击者不定期的网络攻击。组织机构进行良好 的培训和知识共享有助于避免恶意软件攻击，并减少漏洞利用。 操作系统漏洞 操作系统漏洞是指应用软件或操作系统内的缺陷。这些漏洞是操作系统内的操作逻辑或代码 中的错误，攻击者会利用这些漏洞来获得访问权限并造成破坏。恶意软件、网络入侵、缓冲 区溢出和虚拟化是攻击者利用操作系统漏洞时的常用攻击向量。但尽管如此，也很难开发一 个完全没有漏洞的软件。 漏洞管理 漏洞管理是用于识别、评估、管理整个组织机构的系统和软件漏洞并针对漏洞采取补救措施 4/QINGTENG 2022 漏洞管理指南 400-189-9287 的系统性和战略性流程。漏洞管理会监测风险并保持组织机构的当前安全状态。因此，组织 机构必须通过漏洞管理来维护系统安全并减少威胁。 漏洞管理的必要性 漏洞是网络犯罪分子可以使用或利用的薄弱环节或关键领域。随着漏洞数量的不断增加，确 保网络安全迫在眉睫。漏洞管理是识别和评估 IT 系统风险的过程，旨在清除漏洞或采取措 施进行补救。 ⚫ 漏洞管理的主要目标是扫描、调查、分析和报告风险或安全漏洞的细节，并提供缓解方法 和策略。漏洞管理是解决和补救安全漏洞以避免网络攻击或漏洞利用的持续过程。 ⚫ 漏洞管理有助于识别和消除薄弱环节，确保网络免受潜在攻击、编码错误或缺陷的影响。 漏洞管理是确保网络安全的基本方法，有助于提高系统的安全性。 ⚫ 漏洞扫描在漏洞管理过程中起着重要作用。漏洞扫描是检测、评估和评价系统和软件漏洞 的过程。检测漏洞或脆弱点有助于避免攻击者造成进一步的损害。NIST 建议每季度进行 一次漏洞扫描。对于依赖网络满足日常运营需求或拥有大规模敏感数据的组织，也建议每 月或更多地进行漏洞扫描。 ⚫ 网络安全和计算机安全是漏洞管理的基本组成部分。它控制着与信息有关的安全风险，并 专注于复杂的网络犯罪情况。通过对 IT 环境中所涉及的风险进行漏洞处理，可以确保持 续了解漏洞情况。 ⚫ 为实现有效的网络安全效果，可以采用各种扫描和检测工具。采用工具进行漏扫比人工安 全系统效果更好。虽然工具采购需要投资，但这在组织机构可负担的起的范围内。而且， 与泄露敏感数据损失数十亿元相比，采用工具更划算。 漏洞的标准化建模 当下，漏洞分类标准和漏洞模型都有一定成熟度，有不少标准化模型，包括 CWE、CVE、CVSS、 CPE、CAN、CAPEC、CKC 等。在漏洞管理中，它们在不同阶段发挥着不同作用，这是安全人 员需要提前了解的。 5/QINGTENG 2022 漏洞管理指南 400-189-9287 图 1：标准化漏洞模型 ⚫ CWE（CommonWeaknessEnumeration）：是开发的常见软件和硬件安全弱点列表。基本 上可以认为 CWE 是所有漏洞的原理基础性总结分析