面向实战的漏洞运营实践

漏洞是引发网络安全问题的重要根源之一，具有数量逐年递增、漏洞信息分散、漏洞公布迟缓、实战性漏洞占比小等特点，导致漏洞管理难以在实战中发挥应有的价值。

在漏洞层出不穷、有效信息不全面的情况下，要及时发现、分析并修复所有漏洞，必须在广泛采集漏洞信息的基础上，从实战化角度评估漏洞危害、富化漏洞信息，以帮助网络安全及 IT 运营者进行高效的漏洞优先级评估、并按照优先级进行漏洞处置，用最少的时间实现最好的效果。

作为我国国家漏洞库的技术支撑单位，知道创宇通过对通用型漏洞的长期收集和分析，围绕漏洞情报收集、漏洞等级评价、漏洞信息规范化等漏洞运营环节，形成一套面向实战的漏洞运营体系：基于漏洞社区 Seebug 等多种手段广泛采集漏洞情报；基于自研漏洞验证框架 Pocsuite 实现漏洞实战化验证、网络空间资产测绘引擎 ZoomEye实现漏洞全球影响评估；基于网络空间大数据监控能力，形成向前防御态势，把握漏洞生命周期的各个环节，在空间上将防御关卡前移，实现漏洞的快速响应。本文重点介绍知道创宇在漏洞运营上的实践和观点。

一、围绕社区运营开展漏洞情报收集

除广泛采集主流漏洞数据库、安全厂商、社交账号、安全网站等的漏洞情报 , 依托安全团队开展漏洞挖掘，通过社区运营开展漏洞情报收集也是进行漏洞情报收集的有效手段。

例如，早在 2006 年上线的由知道创宇 404 实验室运营的漏洞社区平台 Seebug，是为促进广大安全研究人员参与漏洞全生命周期研究而打造的良性发展的漏洞交流平台，也是国内最大的民间漏洞社区平台之一。平台上的每一份资料，包括漏洞详情、基本概要、防护方案、概念验证代码（PoC) 等，都是通过社区的力量进行汇编和整理的。目前已经有超过 10 万“白帽子”参与，积累漏洞超过 5 万个，其中高危漏洞 3 万多。

同时，漏洞社区平台还是学习、传播、交流漏洞知识和发布漏洞预警的平台。对重要的漏洞，通过运营团队与专家团队的合作，输出全球影响范围、统计数据分析等研究成果，如全球漏洞影响分布态势等，并通过有效渠道对受漏洞影响的厂商进行预警。

Seebug 漏洞社区平台的社区运营方式，有效地扩充了漏洞覆盖的范围，也通过众多白帽子的合力将漏洞发现时间大大提前，让受到漏洞影响的厂商可以及时发布修复版本，让受影响的组织机构及时进行漏洞响应。

二、以漏洞优先级排序技术（VPT）为指导开展漏洞风险评价

目前，在各漏洞运营商中被广泛采用的漏洞评级方法是通用安全漏洞评分系统（CVSS，CommonVulnerability Scoring System），其被设计用来评测漏洞的严重程度，以帮助确定所需反应的紧急度和重要度。主流公开漏洞库均采用了 CSVV 漏洞评价体系，众多安全厂商也根据各自对 CVSS 的理解制定出不同的评定标准。

但是，由于 CVSS体系偏向于对漏洞技术严重性的识别，缺乏对风险属性的考量，没有对实际 IT环境中漏洞的可利用性和业务关键性等进行评价，在实践中难以帮助安全运营中心准确判定漏洞处置优先级。根据美国漏洞风险管理公司 Tenable 的研究报告，有 56% 的漏洞 CVSS 评分为 7 或更高，属于高危或严重漏洞，如此多的高危漏洞使得安全运营团队难以应付。在这些被判定为高危的漏洞中，有很多漏洞的实际可利用性很低。例如，根据 CVSS3.0 标准，开源组件 GoAheadz 远程命令执行漏洞（CVE-2021-42342）评分高达 9.8，但知道创宇 404 实验室通过对全球 10000 多个存在漏洞的 IP 进行实际验证，发现无一例可实际利用。此外，有将近一半短期内可被利用的漏洞 CVSS 基本得分低于 7，这将导致安全运营团队忽略大量高风险漏洞。

2020 年，咨询公司 Gartner 从用户场景角度提出漏洞优先级排序技术（VPT，Vulnerabilityprioritization technology），通过资产重要性和环境背景、多个威胁情报源、可操作的风险评分等实现漏洞数据增强，借助数据驱动的优先级，帮助安全团队衡量整个环境的风险，实现更快、更有效的漏洞补救措施。在 2021 年 Gartner 发布的2021 安全运营技术成熟度曲线“Hype Cycle forSecurity Operations, 2021”中， VPT 技术处于“最具期待性”的巅峰技术阶段。

以 VPT 为指导构建实战化漏洞评价体系，综合考虑外部威胁及业务环境等多种因素，从真实的业务环境角度对漏洞的高、中、低危害进行评定，可以帮助运营团队尤其是关键信息基础设施单位始终聚焦真正的风险，高效完成漏洞处置工作。

在实际评定中，可以从风险与技术角度分别对漏洞进行评分分级，对每一个漏洞进行通用漏洞分级和专业漏洞分级两类等级标示，每类漏洞分级包括 1 至 10 个等级。通用漏洞分级从风险角度出发，对漏洞的影响程度进行评价。专业漏洞分级从技术角度出发，对漏洞的严重程度进行评价。

通用漏洞分级评价参考 DREAD 风险评估模型，考虑的主要维度包括潜在损失、攻击重现性、可利用性、受影响的范围、可发现性等。通过对各维度分别评价打分，计算总评分。例如，在潜在损失维度，对攻击可以暗中破坏安全系统、获取完全信任的授权、以管理员的身份运行程序、上传内容等情况，判定为最高分数，对于泄露低价值信息的情况，判定为最低分数。

专业漏洞分级评价参考 CVSS 体系，由三个指标组组成，分别是基础指标组、时间指标组、环境指标组，参考 CVSS 评分通常是指漏洞的基础评价得分。针对指标组中不同的指标，赋予不同的指标值，如基础指标组的可利用性指标内的攻击向量（Attack vector），根据漏洞情况分为网络、相邻（Adjacent，指通过相邻网络接入）、本地、物理几种情况，赋予的分值分别为 0.85、0.62、0.55、0.2，然后通过对应公式逐步进行多个公式组合计算，得出最后的分值。

可以将漏洞风险评价分为静态评价和动态评价两种模式。静态评价在收到漏洞时即启动，对漏洞自身影响等进行风险评价，以便进行提前预防处理和预警。动态评价是对不同时间窗口内漏洞影响范围（如关键资产情况）等的发展变化情况进行分析研判，不仅可以为漏洞处置提供持续支持，也能反映特定区域、单位的应急能力等。动态评估考虑的因素主要包括：实际影响哪些资产、修复时间、损失评估等。根据实际情况，还可以考虑的因素包括：漏洞在野利用、漏洞在不同披露状态下公布出来的细节、公布细节之后造成的影响、补丁效果等。

三、实现漏洞信息内容的规范化与富化

漏洞数据源提供的信息内容具有多样性，专业的漏洞运营商应充分利用内外数据源资源，结合漏洞分析专业能力形成规范的、富化的漏洞数据，以业务安全为目标服务于漏洞的全生命周期，为不同行业业务的漏洞评估与处置提供信息服务。

漏洞内容可以包括漏洞基本信息、漏洞分析、漏洞概念验证代码（PoC）、漏洞解决/防护方案、漏洞生命线、漏洞影响情况等，并根据自身运营情况进行裁剪。

漏洞基本信息可以为漏洞数据检索提供支持，主要包含漏洞唯一编号、披露/发现时间、收录时间、漏洞危害等级、漏洞类别、各主流漏洞库的编号、漏洞发现者、影响组件等。

漏洞分析信息，跟踪漏洞相关的验证、测试、处理、影响等几个不同分析环节，呈现漏洞分析过程及结果，为漏洞深度分析提供支持。主要包括：漏洞详细的技术细节，包含跟踪调试过程的说明等；如何进行漏洞测试验证，包括漏洞验证及效果截图；漏洞影响情况，对大范围的漏洞影响情况的描述。

漏洞 PoC，提供对漏洞进行测试、验证所需的自动化脚本。

漏洞解决/防护方案的目的是为运营团队提供解决和防护漏洞的方案，满足不同场景下的安全防护需求，主要包括：临时解决方案，在官方发布更新之前临时避免漏洞风险的处理方式；官方解决方案，由官方发布的漏洞补丁等措施；防护方案，通过安全产品进行漏洞防护的措施。

漏洞生命线，为深入研究漏洞发展周期提供信息支持，从漏洞发现/披露时间开始，跟踪漏洞发展中的关键性事件，如漏洞被披露、漏洞响应被公开、漏洞 PoC 被公开等。

漏洞影响情况，体现漏洞在全球、全国、地区的影响情况，可以通过诸如 ZoomEye 等网络空间探测工具进行绘制。包括：漏洞在全球/全国/地区的分布情况；受漏洞影响的主要国家/地区；漏洞影响组件的版本分布情况。

对漏洞信息内容，除了应当进行规范化和按场景的裁剪应用，还应对漏洞信息中的漏洞类型、组件描述等进行规范化，尽量采用或参考通用模型，建立可扩展的描述模型。

四、结合大数据监测实现快速应急响应

漏洞爆发后，尤其是高危漏洞，通过互联网可以在极短时间内广泛传播，导致攻击行为快速增加，必须快速应急响应。2019 年到 2022 年 5 月，知道创宇共提供了 514 次漏洞应急，其中远程命令执行漏洞应急 298 次。

知道创宇 404 实验室通过对漏洞利用发展过程的研究发现，高危漏洞在未发现期间就已开始小范围传播和利用，直到爆发后大面积攻击行为开始显现。例如，2018 年 6 月 13 日，404 实验室捕获到针对某区块链交易所网站的攻击，通过分析发现攻击者利用的是针对开源电商系统 ECShop2.x 的零日漏洞（0day）攻击，在 8 月对该 0day 的持续监控中又拦截到十余次攻击事件，8 月 31 日该漏洞及细节被公开后，攻击数量开始快速增加，到 9 月 5 日拦截数量已超过 2 万次，执行代码也开始多样化。

网络空间安全大数据是捕获漏洞信息的有效手段，可以在漏洞爆发后甚至 0day 阶段快速掌握漏洞信息、开展漏洞分析并提出防护措施。知道创宇已经构建可以持续产生数据价值的安全大数据体系，例如，防护百万互联网业务系统的云防御平台每天产生千亿级访问数据、独立运营的互联网云蜜罐以及暗网节点捕获的攻击信息及流量、ZoomEye 对全球资产的不间断扫描信息、持续开源信息与暗网情报采集分析、Web 组件代码更新比对等。大数据监测分析不仅可以发现大量在野0day 漏洞利用，还可以通过攻击流量数据、蜜罐日志等复现漏洞攻击细节，通过 Web 组件代码比对等分析漏洞技术原理，通过资产探测数据评估漏洞影响范围，在漏洞发现、分析等多个环节实现提速，对漏洞进行快速响应。

采用大数据普查与重点验证相结合的方式，可以对漏洞实际可利用性进行评价。例如，采用ZoomEye 网络空间测绘引擎对受漏洞影响的组件进行全球普查，然后结合漏洞利用条件分析对漏洞影响范围进行界定。漏洞影响范围确定后，还可以通过 Pocsuite 漏洞验证框架对漏洞影响 IP 进行随机抽查验证。

五、结 语

当前网络攻防已成为常态，贯穿漏洞生命周期的漏洞运营及其生态也在不断发展。成熟的漏洞运营体系可以有效管理潜在风险，甚至在攻击发起前即构筑有针对性的防护能力，进行真正的时间和空间维度的向前防御。

目前，知道创宇已构建并持续优化全生命周期漏洞运营体系，集漏洞收集、漏洞验证、漏洞风险分析、漏洞预警、漏洞应急等能力于一体。多次向国内外多家知名厂商如微软、苹果、Adobe 、腾讯、阿里、百度等提交漏洞研究成果，具备了在漏洞爆发的最小黄金周期内完成全球性响应的能力。

做好漏洞管理工作，首先，要正视漏洞对安全的威胁，不能忽视。同时，要认识到漏洞威胁依然是可控可应对的，需要组织机构及关键信息基础设施运营单位从完善自身的漏洞运维流程开始，提升自身应对漏洞的整体能力。