漏洞真实影响分析,终结网络安全的“狼来了”困境

136 阅读5分钟

关注网络安全的企业大都很熟悉这样的场景:几乎每天都会通过安全媒体和网络安全厂商接收到非常多的漏洞信息,并且会被建议尽快修复。尽管越来越多的企业对网络安全的投入逐年增加,但第一时间修复所有漏洞,仍然是一件非常有挑战的事。

对于企业而言,修复漏洞不仅需要专业人才的资源配给,还会涉及对业务的影响,但放任漏洞不在第一时间修复,又总担心会造成重大安全事故。在信息爆炸时代,企业面临的安全问题已经不仅仅是如何发现安全问题,还包括,如何对每天接收的海量漏洞提醒进行漏洞修复的优先级排序。

为了帮助企业在第一时间修复最重要的漏洞,更好地保护企业网络安全,阿里云·云盾安骑士增加了基于漏洞所在资产实际情况的漏洞真实影响分析功能,帮助用户从海量漏洞中找到真实有风险的漏洞,为用户的漏洞修复优先级决策提供支持,协助漏洞修复。

37ce6831f264b800a75acaba72b3456d407f2865

从漏洞真实影响分析开始到网络安全的“私人订制”

漏洞真实影响分析即一个漏洞对企业当前网络环境的真实影响,安骑士对漏洞真实影响分析是通过漏洞的最终风险得分来进行衡量。

漏洞的最终风险得分会进行四个维度的考量:漏洞的CVSS得分 x 时间因子 x 用户实际环境因子 x 资产重要性因子

软件漏洞的CVSS基础分:这个因子来源于该漏洞的CVSS2/3基础分。也就是漏洞的本身的严重性评分。

时间因子:即影响漏洞带来风险的时间因素。时间因子是为了弥补CVSS分的不足,综合了漏洞缓解措施被部署的时间延迟,和漏洞利用方法的普及因素的一条动态变化曲线。

距离漏洞爆发的时间不同,漏洞的影响也会有比较大的差异,比如在漏洞公开的前三天漏洞的曝光量较大,但漏洞利用难度可能会比较大;随着时间的推移,对漏洞成熟的利用手段将越来越多,漏洞实际利用难度在下降。在这两个时间段内漏洞的真实影响是有一定的差距的。

用户的实际环境因子:用户的实际环境对判断漏洞真实影响至关重要,安骑士会对该漏洞利用所需的条件和用户机器的情况进行综合考虑,得出一个风险乘数。例如:当前机器是否有公网流量,漏洞是否是远程利用的漏洞还是邻网利用的漏洞,不同的条件结合得出得风险系数会有差异。

用户的资产重要性:当用户的机器很多时,可以为不同的机器/资产赋予当前使用场景下的重要性分值,我们将把用户自定义的分值纳入漏洞修复建议分的计算当中,为用户有序修复漏洞提供有价值的参考

最终,在一系列的算法后完全融合了这四个维度的影响因子,得出漏洞的最终风险得分的结论,也就意味着安骑士给出企业的每一个漏洞修复建议,都是充分考虑根据企业的自身情况的高度定制化安全建议。

看似不可能完成的网络安全治理也不再是难题

试想一个场景:作为企业的安全的负责人,在某重要大会前夕接到要求对公司信息安全进行治理,从实际上解决以前欠下的安全“债务”,需要在一周内对已有的高危漏洞进行修复。

在控制台上可以看到已经扫描出了上万个软件漏洞,其中一个典型的高危漏洞是 DNSMASQ 栈溢出漏洞(CVE-2017-14491)。这个漏洞可以直接从外部发起攻击,直接导致服务器被攻击者控制,也有公开且成熟的利用方式,利用难度较低,这样的漏洞威胁非常大,是需要及时进行修复的漏洞。但该漏洞存在于许多服务器上,修复过程涉及到重启DNS这种关键基础设施,漏洞修复工作需要谨慎进行。

一方面是上万个的漏洞上千台的机器,另一个方面是公司的IT部门负责信息安全的人力是有限,如何在一周内尽可能的修复掉最能带来危害的漏洞呢?

如果依靠传统的方式,仅DNSMASQ这一个漏洞的修复,需要的时间可能都会超过一周。这场信息安全治理任务将会是一场异常艰难的“战役”,甚至有可能无法完成。

42dde2757782ba043856625b7a731365d130ed4f

如果这个企业使用了安骑士,情况就会大不一样了。以案例中的漏洞为例,安骑士的修复建议功能通过漏洞真实影响分析,能快速计算出漏洞真实受到影响较大的机器,在非常短的时间内给出企业修复排序的有效建议。不仅如此,其他的上万个漏洞都会进行真实影响计算,过滤掉不需要在第一时间修复的漏洞,最终将能帮助企业聚焦精力,让看似无法完成的信息安全治理任务也能在规定时间内完成。

漏洞真实影响分析能为企业带来的不仅是网络安全治理的高效,“私人订制”的漏洞管理也只是一个开始。安骑士致力通过智能学习和理解业务,让安全不再是企业的负担,让业务无后顾之忧更快发展。