专题·漏洞治理 | 基于漏洞情报的漏洞运营实践

漏洞从来都是网络攻防的焦点。在洛克希德·马丁公司提出的“网络杀伤链模型”中，无论是武器构建、载荷投递抑或是其他环节，都离不开漏洞的影子。

作为攻击者突破渗透 IT 系统的关键环节，漏洞能够直接或间接影响安全性的核心方面：权限。攻击者在利用漏洞获取非授权的权限之后，就可以完成恶意代码植入、窃取核心数据等操作，因此，漏洞一直以来都是攻防双方的必争之地。

对于防守方而言，及时获取与自身相关的漏洞情报信息，定位并消除漏洞，监测和阻断漏洞的利用，能够在很大程度上达成防范网络攻击的目的。

漏洞信息本质上是一类情报，可以被用来结合组织自身的资产，进行持续的检测与响应，避免因漏洞而导致实际的风险。然而，面对每天新增的大量漏洞，防守方想做到面面俱到几乎是一件不可能完成的任务，因此需要引入一些技术手段，来帮助企业洞察什么样的漏洞会给自身带来安全风险，哪些漏洞应该被优先修复。

因此，近些年来，漏洞情报的概念一再被提及，希望能够基于国家漏洞库等信息来源，以及漏洞优先级排序技术（VPT，Vulnerability PriorityTechnology）提供更有价值的漏洞信息服务。

一、对当前漏洞的数据分析

奇安信计算机安全应急响应部门（CERT）对收集的 2020 年全年和 2021 年上半年的漏洞信息进行了统计分析。在共计 37478 个漏洞中，零日漏洞（0day）数量为 106 个，占比 0.28%；零日计划（ZDI）漏洞数量为 450 个，占比 1.2%，其中 200+ 目前无通用漏洞披露（CVE）；无 CVE 漏洞数量为 10887个，占比 29%；国家信息安全漏洞共享平台漏洞数量为 17593 个，占比 47%；有漏洞利用程序/概念验证代码（Exploit/PoC）的漏洞数量为 1973 个，占比 5%；有在野利用的漏洞数量为 667 个，占比 1.8%，其中 319 个漏洞有公开 Exploit，348 个漏洞无公开Exploit；高级持续性威胁（APT）相关的漏洞数量为 30 个，占比 0.08%。

从这些数据可以得出以下三个结论。

真正造成实际风险的漏洞只占少数。尽管存在 Exploit/PoC 的漏洞占比超过 5%，但只有1.8% 比例的漏洞有公开来源信息显示存在有在野利用。所以，实际导致安全风险的漏洞在已知漏洞集中只占很小一部分。IBM X-Force 对近十年来的漏洞被利用情况做过一个统计，也到了类似的结论：尽管每年的漏洞数量都在创新高，但被利用的漏洞数量却保持得相当稳定，不到 10%。

关注漏洞的实际在野利用（即已遭利用的 0day 漏洞）状态非常重要。有在野利用的漏洞数 667 个，只有其中 319 个有公开 Exploit，大量的在野利用漏洞并没有公开的 Exploit，处于私有状态。考虑到在野利用漏洞的危害性，仅通过标记漏洞是否存在公开 Exploit 来判定漏洞的现实威胁还是不够的。但是当前国内的漏洞情报，基本上没有对漏洞是否存在野外攻击这个属性做标记并进行持续跟踪。

CVE 远没有覆盖绝大多数已知漏洞。无 CVE 的漏洞占比接近三分之一，因此，有大量的漏洞在 CVE 的视野之外。这类非 CVE 漏洞，国产软件来源占了很大比例，已知的 0day 漏洞中与国产软件相关的也占了近一半，因此非常有必要维护一个 CVE 超集类型的漏洞库。

二、用户漏洞处理的痛点

通过以上的数据分析，结合实际的用户反馈，奇安信 CERT 认为漏洞处置过程中有以下五个痛点。

每天数以百计的新漏洞披露，如何才能识别出哪些漏洞真正存有威胁。，一般情况下，攻击者会比防御方能更早地知道漏洞的存在，如何能尽早地得到完整准确的信息，避免落后攻击者太多。

有的漏洞可能暂时没有补丁，就算漏洞已经有了相应的补丁发布，很多场景下，用户也无法随心所欲地安装补丁，需要有快速可靠的临时解决方案来规避漏洞导致的风险。

在处置资源有限的情况下，该优先处理哪些漏洞，以最大程度减小漏洞风险的敞口。

如何把漏洞情报无缝地集成到组织自身的日常漏洞处理流程和机制里。

好的漏洞情报需要能回应上面这些痛点，解决或缓解用户的焦虑。基于漏洞情报运营实践，奇安信 CERT 认为漏洞情报的运营需要起到收集器、过滤器和富化器的作用。

具体而言，通过对一手数据源的挖掘和信息实时采集，结合威胁情报对漏洞进行多维度的属性标定，保证漏洞信息的全面性和及时性。分析团队依据完善的流程和专业经验对漏洞的影响面和技术细节进行研判，把真正重要的漏洞过滤出来，保证信息的准确性和处理优先级的可靠性。对于确认的重要漏洞，需要富化漏洞信息的上下文，跟踪漏洞的现时威胁状态，关联相应的安全事件，给出切实可行的处理方法，提供除补丁链接以外的其他威胁缓解措施建议。

三、通过全面的多维漏洞信息整合及属性标定支持漏洞情报运营

漏洞情报和传统漏洞库区别最大的地方，在于对漏洞本身技术层面以外维度的持续动态跟踪。一般情况下，漏洞库的核心信息只会涉及软硬件影响面（厂商、应用及版本）和漏洞本身技术层面的评估（威胁类型、利用场景、危害大小等），这些信息还远远不够，为了有效管控漏洞导致的风险，还需要知道更多信息。

漏洞是否在默认配置下存在，配置情况对漏洞可利用性影响极大，非默认配置下的漏洞，其实际威胁往往远不如技术层面的定性看起来那么严重。

漏洞相关的应用系统部署规模有多大，这直接影响漏洞整体的威胁评估。

漏洞是否已经有了公开的技术细节、Exploit 工具、PoC，这会直接影响漏洞是否可以转变为现实的攻击。

漏洞是否已经有了在野利用，显示漏洞是否已经从潜在威胁转化为现实威胁。

漏洞是否已经被已知的漏洞利用攻击包或大型的僵尸网络集成作为获取对系统控制的途径，这标志着漏洞现实威胁的提升。

漏洞是否与 0day 或 APT 活 动相关，这意味着漏洞可能被用于攻击高价值的目标。

所有这些属性都应该通过运营被标记出来，以方便用户实现有效的处理优先级排序。奇安信CERT 的漏洞情报支持基于标签的搜索，让用户方便地获取匹配特定属性的漏洞集合。这些标签将来还会有对应的分类和描述，让用户能更深入地了解漏洞所导致的威胁。

当然，上面的工作都是建立在全面收集漏洞信息的基础上。奇安信监测了多个主流漏洞数据库以及数百个安全厂商，跟踪了超过 2000 个推特账号和 80 多个安全相关新闻源，通过开源信息采集，结合商业数据采购，使用各种手段挖掘新的漏洞数据源。

四、漏洞运营应对漏洞实际安全风险做准确判定

当前，漏洞以每年几万个的速度在增加，平均到每天有上百个漏洞被公开，如果全部对其分析验证需要巨量的资源投入，这对任何厂商和组织都是不可能完成的任务，在操作层面上既无可能也无必要。事实上，每年新公开的漏洞只有极少数会被认真研究。在漏洞处理流程上，奇安信CERT 会根据漏洞的影响面和验证条件，筛选出值得深入分析的漏洞，再利用多种渠道收集或自研 PoC 进行技术验证，这是漏洞情报运营过程中专业度要求最高的环节。

2021 年，MicrosoftWindows Active Directory域服务特权提升漏洞（CVE-2021-42287)、Apache APISIXDashboard 未授权访问漏洞（CVE-2021-45232）、Grafana 未授权任意文件读取漏洞（CVE-2021-43798）等漏洞，经过奇安信 CERT 的复现并被打上“奇安信 CERT 验证”的标签，标记了奇安信 CERT 对此类严重漏洞的存在性和可利用性的专业验证。

漏洞运营的目标不仅告诉用户哪些漏洞重要，同样重要的，需要告诉用户哪些看起来高危的漏洞风险名不副实。一个典型的例子是 2021 年 12月 Log4j 漏洞爆发，一些衍生漏洞随之出现，奇安信 CERT 对这些漏洞研究分析之后确认其中绝大部分并没有实际场景下的威胁，随即发布了相关的风险通告做了技术上的澄清。

五、漏洞情报为漏洞处理提供可靠的优先级排序

目前，普遍基于通用安全漏洞评分系统（CVSS）评分的高低来评估漏洞的危险程度。但在筛选出的重要漏洞中，大量的漏洞具有相同的安全漏洞评分系统（CVSS）的评分，仅基于这些评分很难对漏洞的实际风险作出有效的评估，其他诸如漏洞是否默认配置受影响、利用的易用性和稳定性、攻击者所能接触到的存在漏洞的资产量级和漏洞利用的其他前置条件，都对漏洞的实际风险有极大影响，而这些维度的评价在 CVSS 评分体系中难以准确量化。

以两个 CVSS 评分接近的漏洞对比为例：Log4j远程代码执行漏洞（CVE-2021-44228）（CVSS10） 和 Samba 远程代码执行漏洞（CVE-2021-44142）（CVSS 9.8）。

通过以上对比，可以看到，虽然两个漏洞的 CVSS 评分看起来相差无几，但由于一系列非CVSS 考察维度属性的差别，导致漏洞的实际威胁天差地别，Log4j 是真正的“核弹级”，而 Samba基本可以归到“鸡肋级”。

2021 年，CVSS 评分高于 9.0 的漏洞数量有 13000 多个，其中有 3300 个漏洞存在对应的Exploit，但只有 580 多个漏洞被标记存在有在野利用，在高于 9.0 评分的漏洞中占比不到 5%。所以，即便是技术层面风险度非常高的漏洞，真正被用于网络攻击的概率也不高。这个难题需要通过结合威胁情报来缓解，漏洞情报的多维度标签，为用户提供了基于漏洞现时状态进行优先级排序的可能。

截至 2022 年 5 月，奇安信 NOX 安全监测平台已收录关键漏洞 27042 个，并将漏洞按照更新时间先后进行排序。例如，Apache Log4j 任意代码执行漏洞（CVE-2021-44228)、Google Chrome 远程代码执行漏洞（CVE-2021-37973)、致远 OA 代码执行漏洞（CNVD-2021-51370）等漏洞已经被标注为“发现在野利用”，并且漏洞威胁等级为“高危”或“极危”，此类漏洞建议用户参考漏洞修补方法尽快进行修补。美国网络安全和基础设施安全局（CISA）已经发布了一个包含 500 多个已知存在有在野利用的漏洞列表，奇安信 CERT目前已经标记了超过 4000 个在野利用漏洞，也已经对外发布了漏洞列表，这些是每个组织都必须要修复的漏洞列表。

六、及时的漏洞风险通知

目前，从漏洞信息公开到野外实际利用的间隔期越来越短，大多数时候防御方是在跟攻击者抢时间，哪方先知道漏洞的存在及相应的细节，决定了谁在对抗中占据优势。为了及时输出漏洞风险通知，漏洞情报的运营理想条件下需要采用7*24 的监测处理机制，通过直接的厂商源头信息采集，及时研判并实时推送漏洞状态更新。以下五类漏洞相关的状态更新需要尽快通报，因为这些更新会渐次影响到漏洞的现实危害程度。

第一，新的关键漏洞公开；第二，发现关键漏洞的技术细节；第三，发现关键漏洞的 Exploit或 PoC 公开；第四，发现关键漏洞的在野利用案例；第五，发现关键漏洞的新修补和缓解方案。

2021 年，奇安信 CERT 发布了涉及 40 多个重点厂商、300 余条漏洞的 147 篇实时安全风险通告。包括 WebLogic T3 反序列化 0day 漏洞、MicrosoftSharePoint 远程代码执行漏洞（CVE-2021-28474）等高危漏洞，其中 Google Chrome 远程代码执行漏洞（CVE-2021-21224）发现时漏洞为 0day 状态，均为奇安信CERT使用自研PoC首次验证并第一时间发布。

为了能让用户全面地获取自身网络环境相关的漏洞信息，奇安信 CERT 引入了全面的通用平台枚举（CPE）信息集成，扩展支持非 CVE 漏洞（主要为国产软件漏洞）。使用归一化的厂商及产品列表，包含 1000+ 软件厂商、10000+ 产品，结合主动的资产测绘精准评估漏洞影响面，可第一时间提供高危漏洞定向风险通告。

漏洞风险对外的输出形式，不仅提供基于多维属性筛选的互联网访问界面，还提供在线数据获取的应用程序编程接口（API）及离线数据包，用户可以根据需要集成到自有漏洞的处理流程。

七、可行的分步处置措施

漏洞情报的运营除了全面性、及时性、有效性，提供有效的缓解措施和可落地的解决方案也是漏洞情报实现其价值的重要一环。很多时候，安装补丁并不是漏洞威胁处置的第一选择，因为打补丁受到各种现实条件的限制。例如，在重大活动中，一旦安装补丁导致核心服务器宕机，其后果不堪设想，出于性能和稳定性的考虑，有些补丁打完以后需要重启机器的操作是不允许的，更不用提0day 漏洞暂时无补丁可打的情况。

因此，针对很多重要漏洞，奇安信 CERT 团队还会组织相关部门开发主机或网络虚拟补丁，寻找通过调整机器配置暂时规避漏洞利用的临时解决方案，输出经过验证的分步操作步骤，帮助用户先行规避风险，以后在合适的时机再进行彻底修复。

例如，对 2021 年 3 月发现的微软公司 ExchangeServer 安全漏洞 ProxyLogon，NOX 安全监测平台持续更新 6 次安全风险通告，不断对缓解措施进行完善，提供了两千余字的详细可行操作步骤。对 2021 年 12 月肆虐全球的 Apache Log4j 日志库漏洞，NOX 安全监测平台给出的完整处置建议涵盖了漏洞排查、攻击排查、修复版本、产品解决方案，以及多种场景下经过验证的有效缓解措施，该完整的处置建议在奇安信多家客户的一线应急响应中起到了重要作用。

八、不同类型用户对漏洞情报的选择要点

当前的网络安全正处在一个转型升级的上升期，网络安全体系架构已经由基础架构安全、被动防御向主动防御、反制进攻阶段进化。传统的安全思维模式和安全技术已经无法有效满足政企客户对安全防护的需要，要实现有效的积极防御，关键的一点是要具备安全情报的收集与使用能力。

对于个人用户、企业用户以及安全监管单位而言，如何选择满足自身业务需求的优质漏洞情报，可以简单概括为一句话：“个人用户挑产品、企业用户挑服务、监管机构挑供应商。”

个人用户只需要确保自身的隐私安全和资产安全，不需要关注漏洞本身的技术细节，因此在漏洞情报的使用上更加依赖于其部署的终端安全产品对漏洞情报的敏感程度。企业用户基于其信息系统的复杂程度，单一的安全产品无法满足企业漏洞检测与响应的需求，需要更加精准和定制化的漏洞情报服务，来帮助管理者迅速判别漏洞对企业业务的影响，并在第一时间进行有效的漏洞处置。安全监管单位关注全网的网络安全态势，需要庞大的漏洞情报数据库支撑，更加考验漏洞情报供应商在模式化的安全产品和情报服务之上所拥有的灵活、可变通的业务适应能力。