建立持续、稳定、系统化的漏洞管理工作流程和规范,利用自动化和智能化技术不断提高漏洞管理的效率和准确性,借鉴行业标准和业界优秀实践,从全局角度评估安全风险,制定相应的应对策略和措施,实现以持续漏洞发现、评估、跟踪和监控为核心的漏洞管理方法,是企业不断改进、提升安全态势的重要手段。
---------------------------------------------------------------------------------
以下为正文
本文为中国移动漏洞治理实践经验分享
当前,网络空间面临的威胁日益严峻,有组织、有目的的网络攻击事件频发,对国家安全以及数字经济稳定构成了重大挑战。漏洞作为网络攻击者入侵系统的主要突破口,已成为影响国家安全和数字经济安全的重要因素。数量不断攀升的各类漏洞不仅威胁着网络系统的正常运行和数据安全,更有可能对国家安全、社会稳定和经济发展产生深远影响。
一、漏洞危害日趋严重
近年来,安全漏洞态势整体呈现出高危漏洞数量攀升,影响范围扩大、利用难度降低等趋势。随着云计算、大数据、物联网等技术的广泛应用,系统的复杂性不断增加,导致漏洞的数量和种类也相应增多。关键信息基础设施是国家安全、经济发展和社会稳定的重要支撑,一旦这些设施遭受攻击,将直接影响国家的安全和社会稳定。而漏洞是攻击者主要利用的手段之一,对关键信息基础设施的危害性尤为严重。
(一)漏洞危害程度趋向高危化,利用难度低、危害大成为热点
当前,漏洞仍是网络空间安全威胁的主要来源。根据 2023 年国家信息安全漏洞库(CNNVD)的漏洞数据分析总结,超危、高危漏洞的占比超过 50%,漏洞的危害程度趋向高危化,极易被病毒、木马、黑客等利用。同时,漏洞数量持续增长,一些易于发现且利用难度不高但危害较大的漏洞类型成为热点。
(二)零日漏洞利用数量明显提升,网络安全形势日趋严峻
随着黑客攻击技术的提升和市场化,零日漏洞的数量和利用呈明显增长趋势。2024 年,谷歌威胁分析小组(TAG)和 Mandiant 联合发布的报告显示,2023 年被利用的零日漏洞数量达到 97 个,相比 2022 年的 62 个增长了超过 50%。大量攻击团伙利用未公开或厂商未及时修复的漏洞对目标系统进行未授权访问、数据窃取、数据勒索或其他恶意活动。这类漏洞的利用往往具有高度隐秘性和攻击性,使得安全防护和应对的难度进一步增加。同时,云计算、物联网、车联网、人工智能等新兴技术领域也成为重点攻击对象。
(三)开源软件漏洞影响逐步扩大,供应链安全风险凸显由于开源软件和组件的应用越来越广泛,供应链安全的热度不断提升,供应链漏洞正成为网络空间的新风险。2024 年开源安全和风险分析(OSSRA)报告显示,通过对 17 个行业的 1000 多个代码库进行分析,发现 96% 的审计代码库中包含开源组件,84% 的代码库中包含至少一个开源漏洞,高风险漏洞的代码库较上一年增加了54%。开源软件应用领域广泛,开源生态系统的相互关联性意味着单一的漏洞可能引发连锁反应,对大量系统和用户造成影响,开源软件的安全性已成为重要关注点。
(四)漏洞利用实战化态势明显,APT 组织漏洞武器化蓄势待发
漏洞利用仍然是 APT 组织进行网络攻击的主要手段。操作系统漏洞、终端应用软件漏洞、网络设备漏洞、WEB 应用漏洞等的利用情况有增无减。大量漏洞攻击工具被 APT 组织私下掌握,漏洞武器化问题非常严重。概念验证(PoC)漏洞为漏洞验证和复现提供了样本数据,公开的漏洞 PoC/Exploit 信息增加了漏洞被广泛利用的风险,尤其是有效的 Exploit 信息,将漏洞利用进一步推向实战化,为 APT 组织利用此类漏洞发起攻击提供了极大便利。
从漏洞引发威胁的角度来看,网络攻击正趋向于破坏性攻击。据 2023 年 CNNVD 收录漏洞的情况来看,由漏洞引发的主要威胁包括未授权的信息泄露和管理员权限的获取。这类网络攻击趋向于造成破坏性影响,可能导致系统崩溃、数据丢失和服务中断等严重后果。
二、传统漏洞治理面临挑战
漏洞风险治理是维护国家安全和保障网络安全的必然要求。提升漏洞风险治理的整体效能、实施漏洞全生命周期闭环管理、推动漏洞产业的创新发展以及激发漏洞人才的综合价值,是实现高水平漏洞风险治理的必要措施。然而,当前的安全漏洞管理工作仍面临诸多挑战。一方面,传统的漏洞扫描和修复方法已难以满足现实需求,需要更加智能、高效的漏洞发现和修复技术。新兴技术领域的漏洞种类繁多,难以全面覆盖和防范。另一方面,新型攻击手段和技术的不断涌现也给漏洞治理带来了新的挑战,这要求安全团队不断更新知识储备和技术手段。
(一)漏洞安全威胁的洞察力不足,无法高效发现和消除潜在风险
传统的漏洞管理方式需要和已知的漏洞数据库进行比对,无法及时发现数据库之外的活跃威胁,或者超出其能力识别范围的复杂威胁。这种方式也会产生大量的误报,从而使企业对关键威胁的敏感度降低。在这种不全面的威胁管理模式下,企业对漏洞处置的优先级分配不合理,运维人员无法有效分辨漏洞的实际风险。
(二)管理方式被动、无序,难以主动发现新的漏洞
当前,漏洞管理方式大多依赖于外部的漏洞发现、报告和补丁发布的事件,未形成标准化、流程化的主动管理方式。被动漏洞管理方式无法预知尚未被公开披露的漏洞,而漏洞的发现和披露过程可能需要较长的时间,加之漏洞评估和修复的流程也需要时间,因此传统方法往往导致漏洞修复的延迟,可能被黑客恶意利用,企业无法提前采取相应的防御措施。
(三)漏洞挖掘能力未及时更新,单纯依靠“专家发力”难以匹敌“机器发力”的技术发展形势
根据 Gartner 的预测,到 2025 年约有 30% 的关键信息基础设施组织将面临安全漏洞的威胁。关键信息基础设施的安全问题日益严峻,传统的漏洞管理模式已无法满足当前工作需要。在传统的漏洞管理模式下,由于自动化能力不足,安全运营团队难以控制安全风险的流动,在漏洞识别、评估、报告和修复等环节上,不能保持一贯和持续的管理机制,可能导致安全隐患得不到及时有效的控制和消除,积累大量的“风险债务”。建立持续、稳定、系统化的漏洞管理工作流程和规范,利用自动化和智能化技术不断提高漏洞管理的效率和准确性,借鉴行业标准和业界优秀实践,从全局角度评估安全风险,制定相应的应对策略和措施,实现以持续漏洞发现、评估、跟踪和监控为核心的漏洞管理方法,是企业不断改进、提升安全态势的重要手段。
三、中国移动漏洞管理的实践
中国移动制定发布《中国移动网络产品安全漏洞管理办法》,建立健全中国移动网络产品安全漏洞发现、研判、修复、报送等组织体系和工作机制,以漏洞管理为抓手,以实战能力为辅助,建立完善的漏洞管理体系,强化漏洞基础研究、监测发现、评估处置及人才管理等漏洞管理能力,实现漏洞全生命周期闭环管理。通过开展常态化网络安全漏洞威胁监测活动,有效降低网络产品安全隐患,全面提升网络安全主动防护能力和水平。
(一)规范漏洞管理机制
漏洞作为网络安全的主要威胁之一,可能导致数据泄露、系统瘫痪等严重后果,因此,建立一套科学、有效的漏洞管理机制与流程,对于防范和应对网络安全威胁具有重要意义。中国移动从“组织领导、人才保障、省专协同、机制建设”四个方面系统发力,大力规范网络安全产品漏洞全周期闭环管理工作流程;发布《中国移动网络产品安全漏洞管理办法》,规范中国移动网络安全产品漏洞全周期闭环管理工作流程;建立健全漏洞发现、研判、修复、报送等组织体系和工作机制,持续提升漏洞应对能力和管理水平,预防和减少漏洞事件造成的损失和危害。
(二)建立漏洞管理流程
科学完善的漏洞管理流程是漏洞管控的重要举措。为此,中国移动依托自建的网络安全漏洞管理平台,严格遵循漏洞管理机制的要求,建立了一套完善的漏洞管理流程,全面覆盖漏洞管理的各个环节,确保漏洞得到及时发现和有效处理。
1.漏洞的发现与识别
漏洞管理流程中的漏洞发现与识别是确保网络安全的首要环节,其目的在于及时发现并定位系统中的安全缺陷,以预防潜在的安全风险。首先,通过多种技术手段对网络系统进行全面检测,识别可能存在的安全漏洞,同时结合安全专家的经验,对系统进行深入的人工分析,以全面准确地了解网络系统的安全状况,为构建安全稳定的网络环境提供有力保障。其次,通过不断丰富漏洞发现与识别的手段,并组织各类安全专项活动,有效提升发现和应对网络安全威胁的能力,及时发现网络安全存在的问题和隐患,全面提升公司基础网络与业务安全防护水平。
2. 漏洞评估与分析
漏洞评估与分析是漏洞管理流程中的关键环节。漏洞评估与分析是对系统或应用程序中可能存在的安全弱点进行识别和评估,这些安全弱点可能由编程错误、配置不当或设计缺陷等造成,一旦被攻击者利用,将对信息系统构成严重威胁。漏洞评估与分析可以及时发现并修复潜在的安全漏洞,提高信息系统的安全防护能力,保障数据安全和业务连续性。中国移动通过汇集上级单位下发、网络产品提供者报送、合作单位报送、各单位自行监测的漏洞,统筹组织网络安全专家对漏洞进行深入评估分析,对漏洞的严重程度、影响范围等进行详细分析,为后续的漏洞修复和防范工作提供有力支持。
3. 漏洞修复与验证
漏洞修复与验证是漏洞管理流程的重要环节,目的是对系统中存在的安全漏洞进行识别、修复和验证,以确保系统的安全性和稳定性。中国移动以众测平台为基座,面向公司网络安全专家发起漏洞众测项目,覆盖众测项目的完整生命周期管理,将漏洞监测发现、修复处置、复测等多个环节紧密衔接起来,有效提高安全专家发现公司自有系统漏洞的风险监测能力,提升漏洞处置能力,及时发现、处置潜在的漏洞安全风险。持续强化漏洞管理体系与能力建设,提高防范化解重大安全风险与应对极端情况的能力,以高水平网络安全保障公司高质量发展。
四、中国移动漏洞管理的工作成效
基于中国移动漏洞管理平台,已实现对网络安全威胁情报和供应链合作伙伴安全漏洞信息的汇聚。通过集中化管理流程,使网络安全漏洞管理规范化、统一化、标准化。中国移动同步开展内部网络安全众测活动,通过薪酬资源的牵引和驱动,强化价值贡献的激励导向,各单位安全专家攻防实战能力得到有效提升。
(一)构建部-集团-省/专三级联动漏洞管理体系
基于中国移动网络安全漏洞管理平台的建设,实现了对接上下级平台,构建了部-集团-省/专三级联动的漏洞管理体系,完成网络产品漏洞验证、系统漏洞修复、数据同步需求等工作。同时,根据漏洞数据相似性评估分析,基于漏洞描述、漏洞等级、存在位置和 CVE 编号等进行动态评估模型构建,确认漏洞数据唯一性,建设网络产品安全漏洞知识库,形成中国移动漏洞资产的漏洞编码,为公司网络安全漏洞摸底、监测和修复工作夯实知识根基。
(二)实现漏洞全周期闭环管控
中国移动依托网络安全漏洞管理平台,将供应链、公开漏洞库、开源社区以及内部漏洞检测等全方位的漏洞信息进行采集,通过与存量资产关联,多维度感知漏洞威胁,实现从漏洞信息感知、披露、处置决策、处置执行到执行后评估的全周期漏洞管理。同时,创新人员管理模式,实现灵活高效的“云专家”统一调度,组织公司全网自有安全队伍开展漏洞挖掘、验证与处置工作,采用“攻防对抗、全网互测”的实战化排查模式,集全网的专家力量对现网系统的网络安全情况进行针对性检测,降低漏洞被利用的风险,有力地保护了公司网络与业务系统的正常运行。
(三)助力人才发现和培养
网络空间竞争本质是人才竞争,提升网络安全人才的专业素质和实战能力是关键,应以国家安全和漏洞治理为导向,构建具有前瞻性和针对性的漏洞人才培养体系,为国家网络安全保障提供有力的人才支撑。
中国移动高度重视网络安全人才队伍建设,制定《中国移动“十四五”人才规划》网信安全领域人才子规划,发布《网络信息安全领域能力发展白皮书》,建立横向分类、纵向分级的多层次、立体化的网络信息安全人才体系。制定专项人才培养方案,并与公司的“十百千”技术专家体系、“百舸争流”激励计划和“新动能能力提升”等一揽子计划对接与联动。
2023 年,中国移动首次提出网络安全漏洞威胁激励机制,充分调动安全人才工作积极性,有效激发了网络安全人才活力,为网络安全漏洞威胁监测工作提供有力的人才支持。同时以赛代练、训战结合,积极参与各类安全竞赛,持续提升安全人才实战能力和综合素养。2023 年,中国移动参加各类级别网络安全赛事,累计获得特等奖 2 个、一等奖 27 个,其他奖项 70 余个。连续 4 年在国家网络安全攻防演习中取得“攻防双领先”,24人入选国家“网络安全高端人才”。
漏洞作为网络空间安全的重要资源,与国家网络安全息息相关。在当前复杂的国际形势下,我们应在总体国家安全观的指引下,加快建设完善国家漏洞库等管理平台,加强网络安全漏洞治理体系建设,建立一个互信互利的漏洞管理合作机制,防范和消控网络安全重大风险,保障国家网络安全。
(本文刊登于《中国信息安全》杂志2024年第5期)