張軍

[太平洋保險集團（股份）有限公司，上海 200233]

1 引言

隨著金融科技蓬勃發(fā)展，新技術(shù)不斷地被引入到支撐金融業(yè)務(wù)的基礎(chǔ)設(shè)施中，為金融單位實現(xiàn)數(shù)字化戰(zhàn)略轉(zhuǎn)型提供了有利的幫助。與此同時，伴隨新技術(shù)的出現(xiàn)，網(wǎng)絡(luò)和信息安全形勢日益嚴(yán)峻，不斷有各種新型安全威脅爆發(fā)、新的威脅利用工具層出不窮[1]。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）權(quán)威數(shù)據(jù)統(tǒng)計，近幾年網(wǎng)絡(luò)安全漏洞整體態(tài)勢呈現(xiàn)出漏洞總數(shù)總體維持增長趨勢，且0day漏洞大幅度增長更是加劇了企業(yè)網(wǎng)絡(luò)安全運營壓力[2]，如圖1所示。

自網(wǎng)絡(luò)安全強國戰(zhàn)略實施以來，為了有效地應(yīng)對網(wǎng)絡(luò)安全威脅和風(fēng)險，保障網(wǎng)絡(luò)運行安全，國家層面相繼發(fā)布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《中華人民共和國網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護條例》（征求意見稿）等相關(guān)法律和規(guī)定，要求網(wǎng)絡(luò)安全運營者應(yīng)能采取各類安全措施發(fā)現(xiàn)、識別、處置漏洞。同時，隨著行業(yè)監(jiān)管范圍與深度的不斷擴大，金融科技監(jiān)管進入深水區(qū)，各類行政處罰層出不窮，懲罰力度超前。各類常態(tài)化的網(wǎng)絡(luò)安全檢查要求建立責(zé)任追究機制，對發(fā)生重大網(wǎng)絡(luò)安全漏洞的責(zé)任單位和責(zé)任人進行嚴(yán)肅問責(zé)。

圖1 2013-2018年CNCERT收錄安全漏洞數(shù)量變化趨勢圖

事實上，大多數(shù)金融機構(gòu)已將網(wǎng)絡(luò)安全納入公司全局戰(zhàn)略和總體規(guī)劃統(tǒng)籌考慮，通過完善網(wǎng)絡(luò)安全組織、技術(shù)和管理，來構(gòu)建動態(tài)、立體、高效、敏捷的安全保障體系。漏洞管理是企業(yè)必須做好的網(wǎng)絡(luò)安全基礎(chǔ)工作，它的目的是通過管理和技術(shù)手段盡可能在最短時間內(nèi)發(fā)現(xiàn)IT運行環(huán)境中的漏洞，并在第一時間組織修復(fù)，從而降低被黑客利用進行網(wǎng)絡(luò)攻擊的風(fēng)險[3]。但是，在企業(yè)實踐過程中由于各種原因，導(dǎo)致漏洞管理策略落地難、資產(chǎn)識別不全、漏洞發(fā)現(xiàn)能力差、漏洞修復(fù)時效低以及修復(fù)處置方案不適合業(yè)務(wù)場景等問題。在吸收最新的漏洞管理理念的基礎(chǔ)上，文章結(jié)合金融機構(gòu)的實際，在Gartner模型基礎(chǔ)上，提出了一種行之有效的金融機構(gòu)漏洞管理架構(gòu)和方法。

2 漏洞管理相關(guān)概念

在2015年Gartner所發(fā)布的《A Guidance Framework for Developing and Implementing Vulnerability Management》中定義的漏洞管理包括：定義計劃和目標(biāo)、漏洞評估、漏洞修補三個階段。隨著多年的發(fā)展和完善，又于2019年更新發(fā)布了漏洞管理指導(dǎo)框架的新版本[4]，其中對漏洞及漏洞管理做了通用定義，具體表述如下。

2.1 漏洞

漏洞一詞包含在“易受攻擊”或“可被攻擊”的概念之內(nèi)。Gartner定義的“漏洞”是指可能受到攻擊的缺陷，利用漏洞的威脅可引發(fā)一連串安全事件，從而對組織產(chǎn)生影響。漏洞可存在于系統(tǒng)或平臺、固件、應(yīng)用軟件和設(shè)備中，具體包括配置缺陷、未修補的操作系統(tǒng)組件和應(yīng)用程序、一些其他技術(shù)安全缺陷，或不符合組織IT策略的情況等風(fēng)險。

2.2 漏洞管理

Gartner將漏洞管理定義為收集、評估、修補和緩解信息系統(tǒng)安全漏洞的過程。該過程包括漏洞管理策略和范圍定義、漏洞收集、漏洞評估、漏洞修補、漏洞緩解和漏洞監(jiān)測。我們必須認(rèn)識到，傳統(tǒng)意義上的漏洞管理主要是發(fā)現(xiàn)和修復(fù)運行環(huán)境中存在的漏洞，如何防止應(yīng)用軟件漏洞是軟件開發(fā)生命周期（SDLC）安全管理需要考慮的，兩者屬于同一個風(fēng)險管理保護框架，但它們通常是分開的，由不同團隊運營。近些年，一些先進的企業(yè)將漏洞評估工具集成到持續(xù)集成/交付（CI/CD）中，作為軟件開發(fā)生命周期（SDLC）的一部分，使得安全能力以持續(xù)集成的方式融入到了軟件開發(fā)生命周期中。

3 企業(yè)漏洞管理總體框架

面對安全形勢的變化，早在2014年Gartner便提出了自適應(yīng)安全。而隨著時間推移，到2017年Gartner將自適應(yīng)安全升級為持續(xù)自適應(yīng)風(fēng)險與信任評估（Continuous Adaptive Risk and Trust Assessment，CARTA），CARTA是企業(yè)構(gòu)筑安全體系全新的戰(zhàn)略性方法。

C A R T A安全框架提出，風(fēng)險是必然存在的，企業(yè)應(yīng)該擁抱風(fēng)險，換言之不存在絕對地安全，投入過度的防御措施往往并不有效，難以應(yīng)對諸如APT攻擊。因而，CARTA強調(diào)應(yīng)該持續(xù)地和自適應(yīng)地對風(fēng)險和信任兩個要素進行評估。

金融機構(gòu)要遵從和實施Gartner CARTA的戰(zhàn)略方法，如圖2所示，建立零信任網(wǎng)絡(luò)已然是關(guān)鍵，而對風(fēng)險持續(xù)性管理則強調(diào)了安全動態(tài)性，這種動態(tài)性是取決于上下文的情景數(shù)據(jù)，以數(shù)據(jù)驅(qū)動的持續(xù)性風(fēng)險評估。舉例來說，在CARTA框架下，對一個網(wǎng)絡(luò)訪問活動的發(fā)起將會動態(tài)決定是否放行，甚至是發(fā)起挑戰(zhàn)性的驗證，而不是像傳統(tǒng)架構(gòu)下的靜態(tài)策略，這種動態(tài)性最大限度的減少了攻擊的可能性。

Gartner CARTA是網(wǎng)絡(luò)安全架構(gòu)整體模型，對風(fēng)險（包括了漏洞）的持續(xù)性識別和響應(yīng)是其中的部分關(guān)鍵。以CARTA模型為實踐指導(dǎo)，建立漏洞全過程閉環(huán)管理，就需要覆蓋漏洞發(fā)現(xiàn)、快速評估、修復(fù)、跟蹤的漏洞管理全流程，并且要充分利用漏洞情報數(shù)據(jù)，觸發(fā)流程運轉(zhuǎn)，幫助企業(yè)建立快速響應(yīng)機制，及時有效完成漏洞修補工作，并量化跟蹤漏洞管理的全過程和分析流程的執(zhí)行情況，促進管理流程持續(xù)優(yōu)化，漏洞管理流程總體框架如圖3所示。

漏洞管理流程總體框架分為六個階段。

圖2 Gartner CARTA模型

圖3 漏洞管理流程總體框架

（1）定義漏洞管理計劃和目標(biāo)：該階段是漏洞管理的準(zhǔn)備階段，主要包含定義范圍、角色和職責(zé)、創(chuàng)建和優(yōu)化策略及評估工具選擇等。

（2）漏洞收集：漏洞管理的第一步，通過主動、被動方式收集內(nèi)外部漏洞情報信息，為漏洞評估階段提供信息參考。

（3）漏洞評估：依據(jù)收集過來的漏洞信息評估其技術(shù)風(fēng)險，通常需要引入威脅情報、參考風(fēng)險評估規(guī)范要求開展綜合分析，分析完成后利用漏洞檢測平臺（工具）自動化檢測，以確認(rèn)受影響范圍。

（4）漏洞修復(fù)：對納入漏洞修復(fù)計劃的漏洞制定漏洞修復(fù)方案，各相關(guān)部門開展漏洞修復(fù)，并在漏洞修復(fù)完畢后，由專業(yè)技術(shù)人員開展跟蹤復(fù)測，確認(rèn)漏洞是否真正被修復(fù)。

（5）持續(xù)監(jiān)控：通過對范圍內(nèi)的資產(chǎn)和系統(tǒng)進行周期性的掃描、測試、檢查，及時發(fā)現(xiàn)和處置復(fù)發(fā)漏洞。

（6）持續(xù)改進：針對漏洞管理的各環(huán)節(jié)開展度量評價，發(fā)現(xiàn)影響流程的潛在問題，制定改進方案并監(jiān)督執(zhí)行。

4 企業(yè)漏洞管理實踐

漏洞管理是企業(yè)安全運營的基礎(chǔ)性工作，互聯(lián)網(wǎng)安全中心（Center for Internet Security，CIS)發(fā)布的Controls是一個有優(yōu)先級的縱深防御安全建設(shè)活動清單，在其CIS Controls 7.1版本[5]中將持續(xù)性漏洞管理列為基礎(chǔ)級，這無疑體現(xiàn)了漏洞管理的重要性。然而，正如前文所述，漏洞呈現(xiàn)的新形勢越來越嚴(yán)峻，這造成了漏洞管理工作的復(fù)雜性，使用一套成熟、適合金融架構(gòu)業(yè)務(wù)特點的漏洞管理流程，將顯著降低漏洞管理復(fù)雜性，并使得企業(yè)安全風(fēng)險控制在可接受水平上。

4.1 漏洞管理計劃和目標(biāo)

4.1.1 定義目標(biāo)和范圍

為確保網(wǎng)絡(luò)安全工作的有效落地及實施，結(jié)合日常漏洞管理實踐經(jīng)驗，將漏洞管理的總體目標(biāo)確立為：降低漏洞檢測和修復(fù)時間，提升漏洞管理效率和效果。

具體目標(biāo)為快速響應(yīng)、有序修補、優(yōu)化管理。快速響應(yīng)，是網(wǎng)絡(luò)安全工作最核心的要素，網(wǎng)絡(luò)安全本身就是不對等的，我們無法獲悉攻擊者從何時、何地采取何種方式進行攻擊，因此只有在發(fā)生事件時以最快的速度進行響應(yīng)，將影響度、危害度降至最低，才能有效確保企業(yè)的網(wǎng)絡(luò)安全；有序修補，強調(diào)漏洞修補需有張有弛，有緊有松，根據(jù)既定的策略有序開展；優(yōu)化管理，漏洞管理工作需符合PDCA可持續(xù)性發(fā)展思路，不斷地提升漏洞管理工作的效率，優(yōu)化流程，規(guī)范行為，以確保整體質(zhì)量可靠。

漏洞管理范圍，即根據(jù)資產(chǎn)管理范圍明確漏洞管理范圍，并將資產(chǎn)、漏洞關(guān)系進行入庫對應(yīng)。包括兩方面內(nèi)容。

（1）應(yīng)用安全漏洞：開發(fā)團隊在應(yīng)用系統(tǒng)開發(fā)過程中交付或使用的開發(fā)組件框架、通用及其他軟件、信息系統(tǒng)代碼中產(chǎn)生的漏洞。

（2）基礎(chǔ)設(shè)施安全漏洞：基礎(chǔ)設(shè)施團隊交付的操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通用及其他軟件中產(chǎn)生的漏洞。

4.1.2 定義角色和職責(zé)

按照“誰主管誰負責(zé)、誰運營誰負責(zé)、誰使用誰負責(zé)”的原則，企業(yè)應(yīng)根據(jù)自身的實際業(yè)務(wù)情況，正確定義漏洞評估、漏洞優(yōu)先級劃分、修補、緩解和例外相關(guān)的必要角色和責(zé)任，如表1所示。

表1 漏洞管理角色和職責(zé)

4.1.3 選擇漏洞評估方法與工具

選擇部署合適的漏洞自動化檢測工具是提高漏洞管理的必要條件之一，企業(yè)可根據(jù)自身漏洞管理實踐來選擇漏洞評估方法和工具。大多數(shù)企業(yè)依賴的傳統(tǒng)漏洞評估工具有綠盟RSAS遠程安全評估系統(tǒng)、Tenable Nessus和Rapid7。除傳統(tǒng)漏洞評估工具以外，企業(yè)還可選擇IT服務(wù)管理和補丁管理工具、滲透測試、網(wǎng)絡(luò)流量監(jiān)控、云掃描、攻擊模擬工具。

常見的漏洞評估方法有未授權(quán)的網(wǎng)絡(luò)遠程評估、授權(quán)的網(wǎng)絡(luò)遠程評估、基于代理的評估、網(wǎng)絡(luò)監(jiān)控或被動掃描、通過API或外部工具集成的間接評估。

4.1.4 創(chuàng)建和優(yōu)化漏洞管理策略和SLA

漏洞管理需要根據(jù)公司合規(guī)要求，對標(biāo)行業(yè)監(jiān)管、等級保護、ISO/IEC 27001標(biāo)準(zhǔn)等要求，定義漏洞管理策略和基線。明確不同級別漏洞的處理策略和漏洞修復(fù)基準(zhǔn)，并制定相應(yīng)的SLA。例如，當(dāng)遇到無法修復(fù)的漏洞時，如何選擇合適的方式規(guī)避風(fēng)險；當(dāng)?shù)陀诼┒葱迯?fù)基線時需要分析原因，調(diào)整策略。

4.2 漏洞收集

企業(yè)應(yīng)建立統(tǒng)一的漏洞管理平臺，對漏洞情報進行實時監(jiān)控，關(guān)注漏洞情報的披露情況、漏洞利用進展、漏洞熱度。漏洞情報包括外部通報漏洞和內(nèi)部發(fā)現(xiàn)漏洞。外部通報漏洞來源于監(jiān)管機構(gòu)、第三方漏洞平臺、用戶反饋等途徑，存在此類漏洞的IP地址等系統(tǒng)信息已經(jīng)被外部知悉、可被攻擊利用。內(nèi)部發(fā)現(xiàn)漏洞來源于安全團隊的漏洞監(jiān)測和自查以及各部門在漏洞預(yù)警排查中發(fā)現(xiàn)的漏洞。通常外部通報漏洞危害性更高，修復(fù)時效要求高于內(nèi)部發(fā)現(xiàn)漏洞。

4.2.1 外部通報漏洞

通過專門團隊借助統(tǒng)一的漏洞管理平臺持續(xù)收集來自于各渠道的威脅情報，包括通用漏洞披露(CVE)、國家信息安全漏洞共享平臺（CNVD）、國家信息安全漏洞庫(CNNVD)、廠商補丁、攻防實驗室、合作伙伴、漏洞平臺、微信公眾號、知名博客、行業(yè)通報、企業(yè)SRC等，并分析和過濾，獲取有用情報。例如，Microsoft、Oracle等廠商的每月安全公告和安全更新、CNVD、CNNVD的信息安全漏洞周報和月報以及不定期的熱點漏洞、重大預(yù)警、通用型漏洞等。

4.2.2 內(nèi)部發(fā)現(xiàn)漏洞

通過系統(tǒng)和應(yīng)用掃描、滲透測試、基線檢查、代碼審計等手段，對系統(tǒng)上線前開展安全評估、上線后定期的安全運維以及在事件處置、問題跟蹤等環(huán)節(jié)發(fā)現(xiàn)的安全漏洞和威脅，統(tǒng)一納入漏洞管理平臺進行管理。

為了提升企業(yè)漏洞發(fā)現(xiàn)的能力，建議采購不同廠商的掃描器，針對同一資產(chǎn)進行異構(gòu)掃描；由傳統(tǒng)單一廠商的滲透測試轉(zhuǎn)變?yōu)楸晨勘车亩鄰S商同時服務(wù)，也可嘗試眾測模式來開展服務(wù)。

4.3 漏洞評估

4.3.1 資產(chǎn)識別

資產(chǎn)識別是漏洞管理過程的關(guān)鍵活動，漏洞是附加在資產(chǎn)之上，掌握資產(chǎn)信息是做好漏洞管理的前提條件。在傳統(tǒng)漏洞評估模型中，漏洞評估主要使用漏洞本身為視角，評價其嚴(yán)重性，比如CVSS就將漏洞分成緊急、高危、中危和低危四個嚴(yán)重性等級。然后，以漏洞視角帶來大量實踐性問題，由于企業(yè)資產(chǎn)數(shù)量龐大、資產(chǎn)運行情況復(fù)雜、且漏洞數(shù)量日積月累導(dǎo)致的欠賬太多，如果不引入更加全面的評價體系，這就導(dǎo)致了實際漏洞閉環(huán)管理將變得十分困難。而在實踐中，通過引入以資產(chǎn)為視角的漏洞評估，如資產(chǎn)暴露面、資產(chǎn)價值、資產(chǎn)保護措施等可用來作為漏洞評估的依據(jù)，顯著改善這一情況。

通常，漏洞管理工具要具備不同的資產(chǎn)發(fā)現(xiàn)能力，從簡單的網(wǎng)絡(luò)掃描到云服務(wù)商的API集成。任何情況下，企業(yè)都應(yīng)考慮業(yè)務(wù)不斷發(fā)展帶來的IT環(huán)境的變化，必須為漏洞管理計劃范圍內(nèi)的所有技術(shù)環(huán)境實施資產(chǎn)發(fā)現(xiàn)，包括不限于云環(huán)境、移動和物聯(lián)網(wǎng)設(shè)備，同時也應(yīng)將資產(chǎn)發(fā)現(xiàn)與企業(yè)的變更管理連接起來。

實際工作中，資產(chǎn)識別一般通過各類技術(shù)手段對全部資產(chǎn)進行識別和監(jiān)控，重點發(fā)現(xiàn)影子資產(chǎn)、未登記的資產(chǎn)等，通常需要手工加自動識別相結(jié)合的方式進行管理，包括不限于主動的掃描探測、云端的情報識別、主機Agent采集、第三方CMDB平臺對接、被動的流量、日志識別和手工梳理。資產(chǎn)識別后應(yīng)統(tǒng)一盤點入庫，發(fā)生變更時能夠自動識別更新，對稽核后的錯誤資產(chǎn)信息進行修正。對識別到的全量資產(chǎn)，明確網(wǎng)絡(luò)安全責(zé)任人，并做到資產(chǎn)安全狀態(tài)可控。

另一方面，以資產(chǎn)IP或URL作為一個基本標(biāo)識，不斷完善資產(chǎn)屬性標(biāo)簽，對資產(chǎn)屬性信息做到全面收集和管理，這一工作企業(yè)可以自主開發(fā)，也可以借助第三方商用資產(chǎn)管理平臺，對從業(yè)務(wù)系統(tǒng)獲取的各種數(shù)據(jù)進行采集和關(guān)聯(lián)分析，以最大限度的獲得資產(chǎn)信息。

4.3.2 驗證評估

驗證評估主要是對已發(fā)現(xiàn)的漏洞進行風(fēng)險等級評估、預(yù)警評估和漏洞驗證，為后續(xù)的漏洞修復(fù)提供決策。

首先，漏洞評估工作主要包括漏洞風(fēng)險級別評估和漏洞修復(fù)級別評估，以確定漏洞的實際影響程度及修復(fù)級別。

漏洞風(fēng)險級別評估是指參考通用的或企業(yè)自有漏洞風(fēng)險評估標(biāo)準(zhǔn)，結(jié)合漏洞的暴露程度和已知的漏洞利用工具等因素對已發(fā)現(xiàn)的系統(tǒng)漏洞風(fēng)險進行分析的過程。常見的參考有CVSS評分法[6]和GB/T 30279-2013《信息安全技術(shù) 安全漏洞等級劃分指南》[7]，參考如表2所示。

漏洞修復(fù)優(yōu)先級比較成熟的做法是借助外部平臺從云端威脅情報獲取外部漏洞利用活躍度的情報，結(jié)合本地業(yè)務(wù)系統(tǒng)重要程度，資產(chǎn)防護度等多種因素，綜合評估，給出漏洞修復(fù)的優(yōu)先級建議，使修補工作效果達到最大程度降低安全風(fēng)險的目的。同時企業(yè)修復(fù)團隊?wèi)?yīng)根據(jù)一定處置原則進行漏洞修復(fù)風(fēng)險處置，例如：

表2 漏洞危害等級劃分表

“極高危”等級的漏洞，必須進行風(fēng)險處置；

“高?！钡燃壍穆┒?，必須進行風(fēng)險處置；

“中?！钡燃壍穆┒?，必須進行風(fēng)險處置；

“低?！钡燃壍穆┒?，選擇“風(fēng)險接受”的處置策略，不做進一步處置。

另外針對收集到的通用型漏洞，應(yīng)進行評估定級后，預(yù)警相關(guān)部門進行排查修復(fù)。預(yù)警原則可參考下列等級。

“極高”等級的漏洞，應(yīng)包含上級監(jiān)管部門、CNCERT發(fā)布的通用型漏洞公告，并在全網(wǎng)范圍內(nèi)進行預(yù)警。

“高”等級的漏洞， CNVD漏洞中進行評估確認(rèn)，針對操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、開發(fā)組件框架、通用及其他軟件中涉及的高危通用型漏洞進行定期預(yù)警。

“中”等級的漏洞， CNVD漏洞中進行評估確認(rèn)，針對操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、開發(fā)組件框架、通用及其他軟件中涉及的中危通用型漏洞進行定期預(yù)警。

“低”等級的漏洞，選擇“風(fēng)險接受”的處置策略，不做進一步處置。

最后，漏洞評估及資產(chǎn)范圍明確之后，應(yīng)通過部署的自動化漏洞檢測工具或平臺，對明確范圍內(nèi)的IT資產(chǎn)開展漏洞檢測、驗證，以確認(rèn)漏洞真實性及歸屬信息系統(tǒng)，為下一步漏洞修復(fù)階段提供明確的目標(biāo)。

4.4 漏洞修復(fù)

4.4.1 漏洞修復(fù)

漏洞修復(fù)工作應(yīng)講究一定的原則。漏洞修復(fù)團隊?wèi)?yīng)根據(jù)安全團隊的修復(fù)建議，從整個應(yīng)用系統(tǒng)層面對漏洞修補方案的影響和可行性進行評估，在確定漏洞修復(fù)優(yōu)先級的基礎(chǔ)上，按照優(yōu)先解決業(yè)務(wù)系統(tǒng)的高、中風(fēng)險漏洞，其次解決低風(fēng)險漏洞的原則，制定漏洞修補的整體實施方案。在制定漏洞修補方案過程中，應(yīng)確保方案能夠有效降低漏洞的風(fēng)險，確保充分測試，不會對業(yè)務(wù)產(chǎn)生負面影響。漏洞修復(fù)的目標(biāo)是領(lǐng)先漏洞被利用，將漏洞影響降到最低，這也就要求我們的漏洞修復(fù)工作時間要降低、效率要提升、質(zhì)量要提高。

在日常漏洞修復(fù)中，應(yīng)遵循如下流程對漏洞開展修復(fù)工作，流程如圖4所示。

如圖4所示，在進行修復(fù)方式選擇時，理想情況下，修補是對漏洞最直接最徹底的響應(yīng)，如果無法應(yīng)用修復(fù)程序，則應(yīng)考慮其他選項，包括緩解控制、甚至接受來自漏洞的風(fēng)險。

（1）修補

修補不是漏洞修復(fù)的唯一方法，但是最常見的方法。修補工作往往會帶來修復(fù)團隊和安全團隊的摩擦，在修補過程中引入自動化的補救措施正在緩解這一矛盾。另外，定期開展修復(fù)工作會議、關(guān)注補丁管理、確定修補SLAs、制定可操作可執(zhí)行的修補政策、適合的修補基線等也是贏得修復(fù)所必須考慮的。

（2）緩解

緩解措施有時候也可能成為企業(yè)漏洞修復(fù)的唯一方案，例如廠商不再維護的Windows版本、已經(jīng)倒閉的軟件外包商等。緩解措施又稱為“虛擬補丁”，一定程度上也是比較優(yōu)化的方案。例如，一個WAF虛擬補丁可減輕成百上千臺服務(wù)器打補丁的困境。最重要的是，與修補措施不同，緩解控制可能完全由安全團隊使用安全工具完成，而不再對修復(fù)和業(yè)務(wù)團隊產(chǎn)生依賴。常見的緩解措施包括隔離緩解（FW、NAC、無線屏蔽等）、網(wǎng)絡(luò)防護緩解（IDPS、WAF、DAP等）、主機防護緩解（HIPS、應(yīng)用白名單、EDR、EPP、IptableFW等）。

（3）接受

圖4 漏洞修復(fù)工作流程

有時，針對特定漏洞或系統(tǒng)的修補或緩解措施不可用或在操作上不可行，亦或副作用風(fēng)險太大，企業(yè)無法接受，亦可批準(zhǔn)例外。批準(zhǔn)例外接受風(fēng)險，也意味著你可以承受被黑客攻擊的損失，所以例外一定要謹(jǐn)慎，必須有嚴(yán)格的審批流程。例外的批準(zhǔn)應(yīng)該是業(yè)務(wù)部門提出，需要高級管理者簽字確認(rèn)，不允許任何人批準(zhǔn)超出其控制和責(zé)任范圍的例外。最后，所有例外都必須有一個到期日，不允許無限期例外。

接下來談漏洞修復(fù)時效。外部通告漏洞及內(nèi)部發(fā)現(xiàn)漏洞原則上需要第一時間進行修復(fù),經(jīng)評估無法按時效要求修復(fù)的極高危和高危等級漏洞，應(yīng)臨時關(guān)?；蛳戮€相關(guān)業(yè)務(wù)功能或采取其他有效措施進行控制風(fēng)險，原則上漏洞修復(fù)時效不能超過參考時間。

針對外部通報漏洞，依據(jù)評估的漏洞等級，漏洞修復(fù)時效要求如表3所示。

表3 內(nèi)網(wǎng)漏洞修復(fù)時效要求

針對內(nèi)部發(fā)現(xiàn)漏洞，依據(jù)評估的漏洞等級，原則上修復(fù)時效不能超過如表4所示參考時間。

表4 外網(wǎng)漏洞修復(fù)時效要求

4.4.2 復(fù)測跟蹤

復(fù)測跟蹤的主要工作是安全技術(shù)人員利用自動化工具、自研工具或其他方式進行自動化或手工復(fù)測，并與業(yè)務(wù)確認(rèn)，驗證修復(fù)是否成功，業(yè)務(wù)風(fēng)險是否已確實降低，即需要進行修復(fù)有效性的驗證。通常的復(fù)測方法包括漏洞掃描、配置核查、滲透測試等傳統(tǒng)風(fēng)險評估手段。對復(fù)測未通過的，需先完成回退操作，后續(xù)轉(zhuǎn)移到測試環(huán)境進行進一步分析、測試，獲得解決辦法后再到生產(chǎn)環(huán)境修復(fù)。

4.5 持續(xù)監(jiān)控

基于漏洞管理平臺或工具支撐，對范圍內(nèi)的資產(chǎn)開展周期性的掃描、監(jiān)測、檢查，以及時發(fā)現(xiàn)和處置復(fù)發(fā)漏洞或新漏洞，同時通過持續(xù)性監(jiān)控措施，促使漏洞管理工作不斷得到提升、優(yōu)化。

監(jiān)控指標(biāo)包括資產(chǎn)態(tài)勢、有效漏洞情報數(shù)、資產(chǎn)漏洞數(shù)量、漏洞等級分布、已修復(fù)漏洞數(shù)、未修復(fù)漏洞數(shù)、超期未修復(fù)漏洞、平均漏洞修復(fù)耗時及其他監(jiān)控指標(biāo)。

4.6 持續(xù)改進

漏洞修復(fù)完畢后應(yīng)總結(jié)評價每一次漏洞修復(fù)的成果及處理過程，過程中產(chǎn)生的文檔需要存檔，建立知識庫，過程中存在的問題需要制定改進計劃，暫緩處置的漏洞需要做好持續(xù)跟進，在發(fā)生重大安全事件或組織內(nèi)外部環(huán)境發(fā)生重大變化時，需增加評審。

4.6.1 度量評價

漏洞修復(fù)后，在評估是否實現(xiàn)了適當(dāng)?shù)娘L(fēng)險降低時，我們必須不斷衡量漏洞管理實踐的有效性，包括衡量所有的評估、緩解和修補活動。

如表5所示，提供了用于跟蹤漏洞管理工作有效性的度量主要抽樣指標(biāo)，這些指標(biāo)大多數(shù)可以按企業(yè)部門、團隊或系統(tǒng)類型進行分配。

4.6.2 分析預(yù)測

持續(xù)的漏洞管理工作往往會由于各種原因，而陷入瓶頸期。已知重復(fù)漏洞如何防止再次發(fā)生，供應(yīng)商不再支持的產(chǎn)品漏洞如何決策，能否預(yù)測出有助于漏洞管理工作的資源投入。

漏洞數(shù)據(jù)可視化、漏洞修復(fù)可量化、漏洞管理流程化是漏洞管理工作的最佳實踐。借助漏洞管理平臺或工具，通過漏洞和資產(chǎn)兩個維度展示企業(yè)中TOP10高危漏洞和TOP10高危資產(chǎn)，給漏洞管理工作提供可控的目標(biāo)及參考意義。以企業(yè)中以部門為單位，對漏洞的修復(fù)情況進行量化。例如，修復(fù)漏洞數(shù)（已修復(fù)/未修復(fù)）、修復(fù)漏洞耗時、修復(fù)漏洞成功率等，使企業(yè)管理者能清楚的了解當(dāng)前漏洞管理狀況，為漏洞管理的決策工作提供更好的依據(jù)。另外，漏洞管理過程中，應(yīng)逐步建立漏洞修復(fù)知識庫，一方面可為處置人員提供一個全面、權(quán)威和有效的漏洞修復(fù)知道方案庫，另一方面也是保證漏洞修復(fù)工作能更有效地進行，減少漏洞修復(fù)的失敗率。

表5 漏洞管理指標(biāo)

此外，日常的漏洞管理工作下積累的經(jīng)驗和方法，同樣可以為企業(yè)的IT項目提供決策參考。實際工作中我們往往關(guān)注那些有著高收益的漏洞修復(fù)方法，例如發(fā)現(xiàn)數(shù)量最多類型的漏洞，多數(shù)原因是組件版本過低而導(dǎo)致的，因此項目在規(guī)劃和實現(xiàn)階段，就應(yīng)該主動要求使用最新版本的組件，而對于那些經(jīng)常爆發(fā)高危漏洞的組件，應(yīng)建議逐步替換；而對于那些漏洞數(shù)量明顯較多的資產(chǎn)，我們更應(yīng)該投入精力和資源去主動分析，因為這些漏洞的修復(fù)，往往會給我們帶來更高的收益。每次掃描工作按系統(tǒng)和應(yīng)用維度給出修復(fù)建議，每年提供相關(guān)操作系統(tǒng)、Web框架和中間件的漏洞統(tǒng)計修復(fù)情況的總結(jié)，從而反向推動在需求以及設(shè)計階段規(guī)避相關(guān)風(fēng)險，從源頭減少漏洞的產(chǎn)生。

漏洞管理是一個持續(xù)的過程，日常的漏洞管理需要不斷重復(fù)各個環(huán)節(jié)，這樣漏洞管理工作才能切實有效。依托平臺（工具）對漏洞管理的整個生命周期開展持續(xù)性監(jiān)控，包括漏洞管理計劃和目標(biāo)、漏洞收集和評估、漏洞修復(fù)，監(jiān)控整個生命周期數(shù)據(jù)的輸入輸出，實現(xiàn)企業(yè)漏洞管理體系的可持續(xù)運行。

4.7 實踐評價

以C A R T A框架為代表的未來企業(yè)安全架構(gòu)，正在如火如荼開展實踐，結(jié)合實際工作，在漏洞管理工作中積極落地上述管理框架，將漏洞管理的目標(biāo)、策略、職責(zé)分工、方法和要求作為公司安全策略在全轄發(fā)布，實施上述管理流程和工作方法，極大地提升了漏洞管理效果和效率，顯著降低企業(yè)安全風(fēng)險。

4.7.1 資產(chǎn)管理更加全面

過去單位的資產(chǎn)信息分散于多個部門之中，管理權(quán)限和責(zé)任不清晰，且存在資產(chǎn)數(shù)據(jù)不完善、資產(chǎn)變動更新不及時，并且與安全漏洞相關(guān)信息統(tǒng)計不全面等問題，往往在重大漏洞被披露后，無法定位漏洞可能影響范圍，協(xié)同排查資產(chǎn)責(zé)任人條件限制導(dǎo)致漏洞處置的不及時等，管理不善必然造成風(fēng)險存在。

在新的管理框架下，首先，對資產(chǎn)進行梳理，進一步明確了所有資產(chǎn)的歸屬責(zé)任人，并將資產(chǎn)信息納入平臺管理；其次，通過技術(shù)手段和情報信息主動檢測發(fā)現(xiàn)未登記的互聯(lián)網(wǎng)資產(chǎn)，2019年全轄發(fā)現(xiàn)并及時加固了139個未登記資產(chǎn)；同時，采用主機Agent采集的方式識別數(shù)據(jù)中心基礎(chǔ)設(shè)施資產(chǎn)類型，實施以來已主動發(fā)現(xiàn)新增了11個通用資產(chǎn)類型，并第一時間將新增資產(chǎn)的漏洞情報納入日常漏洞通報，如圖5所示。

4.7.2 漏洞收集更加全面

圖5 通用組件漏洞情報

在實踐中，改變了過去漏洞收集全部借助掃描工具和黑盒測試來的單一性，加入了漏洞情報結(jié)合資產(chǎn)信息的漏洞靜態(tài)掃描、軟件安全開發(fā)管控（SDL，包括代碼審計、安全測試、開源軟件安全性評估等漏洞檢測方式）、外部漏洞應(yīng)急收集平臺等漏洞收集手段，消除了可能因為資產(chǎn)范圍不全、掃描器漏報和誤報的突出問題，同時在漏洞預(yù)警方面通過主動的收集漏洞威脅情報數(shù)據(jù)，關(guān)聯(lián)資產(chǎn)信息，做到對突發(fā)和新型漏洞及時預(yù)警，以及SDL實施成果對整體系統(tǒng)安全性的提升，圖6展示了轄內(nèi)等保應(yīng)用系統(tǒng)在全面實施應(yīng)用發(fā)布前安全檢測策略前后的生產(chǎn)環(huán)境漏洞的變化趨勢。

4.7.3 漏洞管理效率提升

過去，漏洞修復(fù)時間往往需要十幾天到幾個月，在新的管理框架下，通過優(yōu)化漏洞修復(fù)流程，明確修復(fù)時效SLA要求，以及完善漏洞緩解措施和自動化修補技術(shù)等措施，漏洞修復(fù)實現(xiàn)了最快小時級閉環(huán)，修復(fù)最長時間不斷收斂。這里以漏洞修復(fù)時效、漏洞修復(fù)超時率作為漏洞管理效率提升的主要衡量指標(biāo)舉例說明，圖7展示了管理框架優(yōu)化前后應(yīng)用系統(tǒng)漏洞修復(fù)時效的變化，體現(xiàn)出漏洞修復(fù)時效在不斷收斂并達標(biāo)的效果；圖8展示了超時修復(fù)漏洞數(shù)以及漏洞修復(fù)超時率的變化趨勢，體現(xiàn)了超時修復(fù)漏洞數(shù)逐步減少，以及漏洞修復(fù)超時率持續(xù)降低的效果。

5 結(jié)束語

漏洞管理工作是個體系化、復(fù)雜性的工作，存在諸多的挑戰(zhàn)。未來，我們可在六個方向持續(xù)改進和優(yōu)化。

（1）利用先進的漏洞優(yōu)先級劃分技術(shù)和自動化的工作流程工具來簡化漏洞修復(fù)工作。

（2）采用DevOps實踐的企業(yè)應(yīng)考慮采用集成到持續(xù)集成/連續(xù)交付（CI / CD）工具鏈中的漏洞處理方法。

圖6 SDL實施對比變化

圖7 最長漏洞處置時間趨勢

圖8 漏洞修復(fù)超時率變化

（3）資產(chǎn)管理的覆蓋度應(yīng)更廣、更深，如影子資產(chǎn)、云、OT資產(chǎn)等。

（4）適度的高層支持，建立漏洞管理溝通機制，定期或不定期組織跨部門漏洞修復(fù)專項會議。

（5）增加針對新技術(shù)、開源系統(tǒng)的漏洞關(guān)注，以及重點跟進個人信息或敏感數(shù)據(jù)相關(guān)的漏洞。

（6）優(yōu)化改進修復(fù)策略，如所有例外都必須具有到期日期，不允許無限期例外；漏洞緩解最終仍需要修復(fù)。