关于企业漏洞管理实践的探讨
2020年,突如其来的新冠疫情给全世界带来了巨大的挑战,同时也促使很多产业快速发展,例如远程办公、视频会议、在线教育、远程购物等。这些产业既有基于传统行业进行数字化转型,也有伴随着 5G、云、AI 等技术的快速发展产生的新业态。不过,新信息技术的大范围应用,尤其是在关键基础设施领域的部署,在推进信息化发展的同时,也给网络安全带来巨大挑战。隐私和敏感数据保护、IT 系统韧性、身份识别和访问控制成为备受关注的安全领域,也给漏洞挖掘和利用提供了土壤。2021 年 9 月,随着《网络产品安全漏洞管理规定》的发布,越来越多国内企业开始重视安全漏洞的管理,但如何做好,是各个企业面临的难题。
一、漏洞的定义及管理原则
(一)漏洞的定义
根据国际互联网工程任务组(IETF)的定义,漏洞是指系统设计、部署、运营和管理中,可被利用于违反系统安全策略的缺陷或弱点。
漏洞可以被理解为产品中可被利用的安全问题,一旦被攻击者利用后可造成产品的完整性、可用性或机密性的破坏。漏洞不等同于质量缺陷,质量缺陷是满足触发条件时无需攻击者利用就会触发,而漏洞则必须被攻击者利用后触发。缺陷往往影响可用性问题,发生时可被显性化观察,漏洞更多影响机密性/完整性,漏洞是不可避免的,但可管理。
(二)漏洞管理的基本原则
企业应从政策、组织、流程、管理、技术和规范等方面建立可持续、可信赖的漏洞管理体系,以开放的方式,与外部利益相关方一起,共同应对漏洞的挑战。在漏洞管理领域应遵循以下 5 项最基本的原则。
减少伤害和降低风险。减少或消除产品、服务漏洞给客户带来的伤害,降低漏洞给客户/用户带来的潜在安全风险。
减少和消减漏洞。努力提升产品与服务的安全防御能力,降低漏洞被利用的风险。
主动管理。主动识别自身在漏洞管理的责任和厘清管辖边界要求,包括业务运营适用的法规要求、合同要求、适用的公开标准要求等,构建管理系统,主动管理。
持续改进。持续优化漏洞管理相关的工作流程和规范,不断借鉴行业标准和业界优秀实践,提升自身对漏洞管理的成熟度。
开放协同。秉持开放合作的态度,加强供应链和外部安全生态的连接,包括供应链上下游、安全研究者、安全公司、安全监管机构等;并在漏洞相关的工作中加强与利益相关方的协同,构筑可信赖的合作关系。
二、企业漏洞管理的三个主要环节
企业建立漏洞管理政策、流程以及配套 IT 系统,最核心的目标是减少漏洞带来的危害,更好地消减风险。在漏洞管理过程中,企业要重点做好以下三个环节。
(一)管好上游
供应商管理。针对引进的上游供应商,企业需要明确将对于供应商的安全要求传递给供应商,通过合同/需求规格进行落地,并且做好安全能力认证。同时,对于供应商提供的产品需要做好生命周期管理,防止企业产品中使用已经服务结束的供应商产品从而导致漏洞无法修补,带来安全风险。
第三方软件使用管理。企业开发的产品在使用第三方软件时,需要做好第三方软件的使用管理,建立资产库。清晰的第三方软件管理,一方面,有助于企业产品使用可信、经过认证的第三方软件,防止源头带来安全风险;另一方面,在第三方软件出现安全漏洞时,可以快速排查受影响范围和实际风险,从而为及时处置提供有力支撑。
第三方软件使用管理主要包括以下 3 个关键步骤。
入库。供应商软件、补丁经扫描验证后进入统一软件仓库;同时,建立管理机制,确定每款软件的管理责任人。
使用。企业产品需要从软件仓库中选择第三方软件和补丁,并申请登记;禁止直接从外部渠道获取第三方软件。
扫描。对于三方软件漏洞管理纳入稽查范围,定期识别第三方软件的安全风险。
(二)做好自己
开发足够安全的产品。通过正向安全设计和逆向安全测试相结合,确保产品发布前不含已知漏洞(或风险可控)。业界有不少安全开发流程,企业可以结合自己的产品特点、企业规模、人员构成引进合适的安全开发流程,规范产品研发过程,从而提供足够安全的产品。
生命周期持续安全。企业应在产品发布后(生命周期阶段)持续感知已知漏洞、及时修补并向客户发布修补方案。企业可以参考 ISO/IEC 30111 和ISO/IEC 29147 建立漏洞处理和披露流程,提升漏洞管理水平,及时通知客户漏洞风险并帮助消减风险。
(三)服务好下游
如果企业的产品组合复杂,为了最大化客户利益,有时需要采取更为谨慎的方式,并根据不同的客户类型采取不同的沟通方式。对于企业级运营者,企业需要向客户交付足够安全的产品,并在生命周期持续消减和公布漏洞消减方案,做好技术支持工作。对于涉及基础网络等产品的安全漏洞,可以考虑通过点对点的方式通知运营者,即点对点的披露方式。对于消费者产品的安全漏洞,原则上在规避方案或补丁可用时,公开披露漏洞信息,即公开披露方式。
三、企业漏洞管理流程
企业要做好漏洞管理,需要建立相应的管理流程,主要有五个关键动作。
(一)漏洞感知
第一时间感知到安全漏洞,是及时响应的重要前提。因此,企业需要从漏洞接收和主动收集两个方面来不断努力。
一方面,鼓励所有企业的上游供应商、下游客户或者集成商、其他漏洞发现者主动向企业报送漏洞, 对接收到来自上下游、安全研究人员、业界组织、政府上报的任何疑似漏洞,都需要进行第一时间的响应。另一方面,企业应建立主动漏洞感知渠道,对知名漏洞库、供应商官方网站、安全论坛或网站都进行合法合规的公开安全漏洞信息主动收集。企业应建立内部安全漏洞库,所有上报的疑似安全漏洞都会被统一存储到安全漏洞库中,并被分配唯一的追踪编号。
(二)漏洞验证在
对漏洞进行修补前,需要对漏洞进行验证和评估。在分析和验证过程中,可以积极引进和尝试业界先进的商用和开源工具或标准,来提升漏洞分析的准确性和及时性。
(三)漏洞修补
漏洞修补的场景相对比较复杂,不是所有漏洞都可以快速修补。例如WEB 类的漏洞,修补速度往往会比较快。但是涉及底层架构、操作系统、芯片和协议漏洞,修补时长往往不是厂商自身可控制的。
以公有云为例,业界绝大多数厂家发现的云服务上的高危漏洞,厂商往往可以在 3 至 5 天内完成修补。但是涉及底层架构、操作系统、芯片和协议漏洞,例如信息与通信技术(ICT)设备,修补时长往往长达数月,甚至无法修补。很多时候ICT 设备厂商并不掌握底层架构(例如 ARM、X86架构)、操作系统(例如 Windows、Linux)、芯片(例如高通、博通)、协议(3GPP、IEEE、ITU)的控制能力,很多时候当发现这些漏洞时,设备厂商对修补时长是无法控制的。
例如,Intel CPU 漏洞“熔断”(Meltdown)和“幽灵”(Spectre)本身影响 CPU 的架构,该漏洞的修复不仅需要 CPU 厂商发布微码,而且还需要下游 OS 厂商配套 OS 的补丁。合入第三方厂商提供的补丁,还必须做必要的性能调优,来弥补第三方补丁导致的性能下降。该漏洞的协同修补时长超过 9 个月。
协议漏洞的修复更需要获得标准组织的认可。例如,全球移动通信系统协会(GSMA)会议上关于高速无线通信标准 VoLTE 的密钥流重用的协议类漏洞,就依赖于 GSMA 输出漏洞修补的标准,然后各个厂商分别实施再验证,还要做互通性测试,其时长可能以年计。
从企业的角度来看,更短的修补时长意味着更高的成本。由于新漏洞不断出现,因此更短的修补时长意味着更频繁的补丁/软件更新的发布,除了少量漏洞修补的代码改动外,还涉及大量的带外工作,例如构建、发布、测试、扫描、上网、推送给客户,哪怕是修改一行代码,这些工作可能一个都不会少。
(四)漏洞披露
漏洞披露应遵循合法合规及“减少伤害和降低风险”的基本原则。不同企业应结合自己行业特点,选择合适的漏洞披露方式。例如,对于涉及基础网络等产品的安全漏洞,需要通过私密披露方式披露给受影响客户;对于消费者的产品的安全漏洞,原则上在规避方案或补丁可用时,可以通过在线升级(OTA)推送的方式或者网站公开的方式公开披露。但如果该漏洞也对网络基础设施或整网有影响,则也会被点对点通知相关的运营商客户。
(五)现网消减
从企业客户的角度来看,频繁的现网补丁部署意味着频繁的生产环境操作。每次补丁都需要经过严格的入网测试和审核工作,更频繁的补丁也意味着更多的补丁测试和入网工作,带来更高的操作成本。因此,需要基于漏洞风险,合理规划现网实施操作,减少对生产环境的扰动。
四、企业漏洞管理生态建设
在漏洞处理的过程中,企业需要本着负责任披露的原则与供应商、互联网应急响应(CERT)组织和安全研究人员协调漏洞处理,保证漏洞信息的有效性和真实性以体现其可信。在整个处理过程中及时并通过合适的方式交流信息及处理进展以体现透明。企业对漏洞提供规避方案或缓解措施,以保证风险被有效缓解;同时将经验和教训,通过培训或案例的方式传递到产品,提高开发人员安全意识,促进产品安全性改进。
企业应建立产品安全应急响应团队(PSIRT),并在官方网站及业界主流漏洞披露网站公开联系方式和漏洞报送渠道,便于外部组织和个人报告其发现的产品漏洞。企业应鼓励漏洞研究人员、行业组织、政府机构和供应商主动将与其产品相关的安全漏洞报告给 PSIRT。PSIRT 对接收到的漏洞信息应及时确认并回复致谢。由于漏洞验证、修补是一个复杂的过程,此过程可能会持续一段时间。因此,需要在漏洞处理期间,定期和漏洞报送者沟通进展。漏洞报送者应在漏洞完成修补前,严格控制传播范围,从而降低漏洞因没有修复方案前就被直接曝光漏洞而带来的风险。
此外,PSIRT 也应及时响应漏洞发现方通过漏洞协调组织反馈给 PSIRT 的产品的安全漏洞;而当PSIRT 发现可能对其他供应商造成影响的安全漏洞,也应通过“漏洞协调组织”或直接反馈给供应商。
PSIRT 可以通过积极融入业界安全组织、论坛或者与其建立互动或合作,来保证与供应商、漏洞协调组织和安全研究人员建立紧密联系,共同应对网络安全挑战。另外,企业也可以考虑与第三方安全公司和组织进行合作,利用他们的安全能力,迅速补齐企业在相应领域的不足。
PSIRT 应主动追踪业界安全研究热点和话题,积极参加相关安全会议,宣传漏洞管理策略,同时引导安全研究人员通过正常渠道上报相关的漏洞信息,协同披露企业产品安全漏洞,在最大程度上减少客户的安全风险,共同营造负责任的漏洞披露环境。
随着企业漏洞管理成熟度程度的提升,也可以逐步启动漏洞奖励计划,对主动将产品漏洞通过正常渠道上报的安全研究人员进行致谢和奖励。
五、结 语
企业在漏洞管理中,应始终秉承负责任的态度,致力于以最大程度保护客户,降低漏洞被利用而造成的风险。对外建立安全漏洞报送和漏洞披露渠道;对内建立漏洞处理流程,并及时总结经验和教训,促进内部改进,帮助产品持续提升产品安全性。
