安全圈 | 专注于最新网络信息安全讯息新闻

 首页

關鍵資訊基礎設施重要資訊資產漏洞治理的實踐和思考

作者 gigliotti 时间 2020-02-29
all

■ 廣東省資訊安全測評中心陳志華 曾祥斌

在網路安全領域,漏洞常被攻擊方視為“殺手鐧”武器,又被防守方當作“萬惡之源”。漏洞本身雖然不產生危害,但一旦被利用,則極有可能帶來嚴重的威脅。關鍵資訊基礎設施在數位化、網路化、智能化轉型的過程中配寘了大量資訊資產,其網絡體系越來越複雜,漏洞作為“伴生體”所帶來的威脅問題日益凸顯。習近平總書記曾指出:要全面加强網路安全檢查,摸清家底,認清風險,找出漏洞,通報結果,督促整改。如何快速應對漏洞產生的威脅,降低關鍵資訊基礎設施網路安全風險,無疑是擺在新時代的一個迫切命題。我們針對某些關鍵資訊基礎設施在接報漏洞後面臨的處置週期長、資產定位難等問題,進行針對性的調研,探索對其重要資訊資產開展漏洞治理的工作,並總結了一些實踐經驗與同行同業分享和探討,以期抛磚引玉。

一、網路安全漏洞的定義和治理的概念

國際標準組織(ISO/IEC 27002)定義漏洞(vulnerability)為一個或多個威脅可以利用的一個或一組資產的弱點。通用漏洞評分系統(CVSS)則將漏洞定義為軟件或硬體組件中的弱點或缺陷。我國《信息安全技術 術語》(GB/T 25069-2010)將我們傳統意義上認為的漏洞定義為“脆弱性”,指資產中能被威脅所利用的弱點。《信息安全技術 安全漏洞等級劃分指南》(GB/T 30279-2013)將安全性漏洞(vulnerability)定義為電腦資訊系統在需求、設計、實現、配寘、運行等過程中,有意或無意產生的缺陷。這些缺陷以不同形式存在於電腦資訊系統的各個層次和環節之中,一旦被惡意主體所利用,就會對電腦資訊系統的安全造成損害,從而影響電腦資訊系統的正常運行。綜上可見,漏洞存在於資訊資產之上,風險主要來源於該漏洞的環境構成,造成漏洞存在被威脅利用之機。本文所討論的漏洞與國際標準組織定義的範圍一致。

治理的概念最早出現在政治學領域,通常指政府運用公權力管理社會和人民;而後這一概念又被引入商業和公共領域,延伸到組織機構中的管理管道和制度等方面。聯合國全球治理委員會(CGG)對治理做過權威定義,指“各種公共的或私人的個人和機构管理其共同事務的諸多方法的總和”,並總結治理的一個重要特徵是以協同而非控制為基礎。21世紀初,隨著信息化的發展,IT治理的理念逐步被引入公司治理層面,Gartner認為,IT治理是確保資訊技術有效、高效的應用以幫助組織機構達到其目標的過程。本文定義的漏洞治理是指漏洞資訊披露後,關鍵資訊基礎設施運營者建立機制、協同內外部資源及條件、開展與之相關資訊資產的分析和威脅風險評估,快速消除漏洞或隔離其被利用條件的一系列方法之總和。漏洞治理的主體是關鍵資訊基礎設施運營者,通過協同工作機制調動其內部資產相關部門、業務運營部門、資訊安全部門,科學評估漏洞所產生的風險,在平衡風險控制與業務發展的基礎之上,選擇最優的治理路徑,達到有效管控網路安全風險的目標。

二、關鍵資訊基礎設施漏洞治理面臨的三重困惑

當前黨和國家對關鍵資訊基礎設施的重視程度前所未有。我國《網絡安全法》單列一節,將公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務等列為關鍵資訊基礎設施,要求必須實行重點保護。《關鍵信息基礎設施保護條例(征求意見稿)》規定,“運營者發現使用的網路產品、服務存在安全缺陷、漏洞等風險的,應及時採取措施消除風險隱患”。在多重法律法規的要求下,關鍵資訊基礎設施運營者面臨著較大的安全合規壓力,但在工作中我們發現,關鍵資訊基礎設施帶“洞”運營仍是常態。資料顯示,某關鍵資訊基礎設施,一年中前10個月發現了10027個漏洞,到年底漏洞消除率只有62%,漏洞消除的平均週期為59天,最長週期達150天。大量漏洞長期暴露未能得到及時有效的處置,漏洞整體消除週期過長,導致新發現的漏洞與未消除的漏洞不斷累加,網路安全風險進一步疊加,這也是當前關鍵資訊基礎設施運營者面臨的難題。

(一)網路安全考核指標與漏洞所帶來的風險之間存在一定程度的割裂。

在現有的評估機制下,關鍵資訊基礎設施運營者對漏洞“重發現,輕治理”,且缺乏激勵修復漏洞的相關機制。漏洞檢出數量的多寡、危害等級與關鍵資訊基礎設施網路安全考核評估掛鉤。在實際工作中,有些漏洞在特定的環境中無法完全消除,强行消除漏洞可能引入更大的安全風險,導致系統停擺、數據洩露等更嚴重的事故,而關鍵資訊基礎設施運營者缺乏有效的判斷依據,往往不懂處置,不敢處置。關鍵資訊基礎設施運營者的困境在於,漏洞檢出的數量越來越多,但漏洞所造成的實際危害卻千差萬別,針對漏洞對應的資產、環境等因素進行危害評估的體系缺位,直接導致漏洞處置工作缺乏抓手,不分輕重緩急“眉毛鬍子一把抓”,最終可能無法最大化地消除漏洞所帶來的網路安全風險。

(二)傳統漏洞掃描工作模式難以有效提高漏洞處置的工作效率。

當前多數關鍵資訊基礎設施運營者開展的漏洞掃描是一種“串聯式”的工作模式,漏洞掃描是週期性、階段性的任務而非常態化的機制。在這種工作模式下,若按照每3個月對關鍵資訊基礎設施7000-8000個IP地址開展漏洞風險排查,第一步需要使用掃描器更新漏洞資料庫,並分時分段進行漏洞掃描,過程耗時近1個月;第二步將掃描器獲得的漏洞資訊分門別類整理並尋找對應資訊資產和責任人,分配漏洞處置任務,期間又耗時1個月;第三步,工作人員必須在1個月內完成漏洞處置、複測和總結等工作。檢查人員經常要面對上一輪漏洞處置工作還未結束,下一輪檢查又要開始的窘迫局面。每一輪漏洞掃描均重複性地收集相關資產資訊,將之與公開漏洞資訊進行匹配從而發現問題所在,這種低效的工作模式必然導致在資產上檢測漏洞的過程嚴重滯後。

(三)資訊資產的複雜度與漏洞的爆炸式增長造成漏洞檢測和驗證環節滯後。

隨著大數據、物聯網和云計算等新技術新應用的發展,關鍵資訊基礎設施的資訊資產體量越來越龐大,物理資產和虛擬資產多重交叉,又分屬不同的部門使用和管理。資訊資產的服務埠、IP地址等隨業務和使用環境變化而呈現動態變化的特徵,這就給資訊資產的界定問題、一致性問題、動態管理問題帶來了極大的挑戰。與此同時,專業網路安全機构披露漏洞數量越來越多,2017年國家資訊安全漏洞共亯平臺(CNVD)披露的漏洞超過1.59萬個,較 2016年增長47.4%,國家資訊安全漏洞庫(CNNVD)公佈的漏洞數量超過1.47萬個,較2016年增長超過70%,增長率達到歷史新高 。海量的資訊資產和漏洞均呈現多樣化、動態化和複雜化的特點,使得關鍵資訊基礎設施運營者在傳統的工作模式下難以將兩者高效、快速地映射,漏洞處置和整改更無從談起。

三、以漏洞治理為切入點開展關鍵資訊基礎設施重要資訊資產安全保障的實踐和思考

(一)建立對資訊資產統一動態管理的體系。

保障資訊資產的完整性、一致性是漏洞治理工作的基礎。夯實這個基礎,一是要建立機制保障資訊資產的完整性,建立一套針對資訊資產“責任人+管理制度”的體系,保證資訊資產責任主體可追溯,對資訊資產的全生命週期進行管理,不能只管資訊資產“入口”(採購)、“出口”(退出)環節,更要在中間使用環節,特別是對資產變更的跟踪進行責任確認和監管監督。二是要通過管理解决資訊資產一致性問題,明確關鍵資訊基礎設施資訊資產跨部門協同管理,細化採購部門、運維部門、安全部門在資訊資產管理中的角色和定位,使用統一的資產管理標準進行登記管理,細化資產内容維度,避免出現一個資產多種表述,多個資產一種表述的現象。三是要通過科技手段,實現對資訊資產完整性和一致性的動態管理。充分完善資訊資產掃描探測科技,對主機系統、網路設備、安全設備、資料庫、中介軟體等重要資訊資產進行自動識別。通過輪詢資訊資產指紋等感知科技識別資產内容變更,並運用分佈式資訊資產探測雷達,提高資訊資產識別效率和覆蓋面,揪出“無主資產、僵屍資產”。只有全面掌握動態變化的資訊資產完整性、一致性,才能完成對資訊資產的實时追跡和査詢等管理工作。

(二)探索將漏洞危害與應用環境相結合的評估方法。

當前主流的漏洞危害評級方法是定性定量評估,該方法因其標準化、規範化的優勢,被大多數國內外網路安全廠商和漏洞管理機構採用,主要參攷指南有《通用漏洞評分系統指南》(CVSS)、《資訊安全技術安全性漏洞等級劃分指南》(GBT 30279-2013)。網路安全機构或關鍵資訊基礎設施運營者可依據指南從多個維度計算並評定漏洞的危害等級。定性定量評估方法的難點在於如何對漏洞所處應用環境進行分析,如CVSS指南依照基本名額、時間名額、環境名額對漏洞危害進行評級,其中基本名額是指漏洞利用複雜度等固定的名額,而時間名額和環境名額描述的是漏洞隨時間和應用環境變化的特徵,這一部分的評定需要用戶的直接參與。網路安全廠商和漏洞管理機構,如公共漏洞披露平臺(CVE)、國家資訊安全漏洞共亯平臺(CNVD)等一般僅根據基本名額評定漏洞危害等級,另外兩項名額及修正後的數值則由用戶自行評定。在實際操作中,關鍵資訊基礎設施因應用環境相對複雜,安全需求千差萬別,造成環境度量計算非常複雜,囙此往往忽略環境名額的計算,導致危害評級無法真實反映漏洞對特定系統造成的危害。

漏洞危害評級的主要目的是推動工作人員在有限的時間和精力的情况下優先處置高危漏洞,從而以最快的速度降低網路安全風險。為使漏洞危害評級體系中環境名額度量進一步落地,我們根據CVSS3.0的指南,引入“系統安全防護能力”作為環境名額度量的一個維度,根據不同系統安全防護能力對保密性、完整性、可用性的影響賦值,計算出關鍵資訊基礎設施每個系統的安全防護能力,結合漏洞管理機構提供的基本名額度量數據,採用CVSS3.0的計算方法,對漏洞危害評級評定的數據進行修正,使漏洞危害更加貼近實際應用場景。這種方法既能保證相容CVSS3.0指南的度量體系,又使得漏洞危害評級可以快速落地應用,兼具可行性和易用性。 

(三)製定漏洞快速處置的工作機制和協同流程。

漏洞快速處置主要依賴於三方面的設計。一是在考核機制上進行“鼓勵式”設計。網路安全考核評估不能只有懲罰機制,也應該包含激勵式制度。如某電信運營商組織內部人員開展漏洞挖掘比賽,獎勵優先發現和協助處置漏洞的工作人員,此舉充分調動了各部門員工參與網路安全工作的熱情。關鍵資訊基礎設施運營者應探索漏洞快速治理的創新做法,表彰優先處置漏洞的部門和個人。在漏洞快速處置方面,修復補丁只是漏洞治理的其中一個途徑,通過提高系統防護等級,消除漏洞利用條件,提高漏洞利用難度,也能降低漏洞帶來的風險,這類新的做法應值得嘗試。二是要有協同處置安全風險的責任設計。關鍵資訊基礎設施運營者要劃分漏洞處置責任,調動內部各利益相關方進行漏洞的協同處置。如針對硬體和軟件的漏洞,界定資產管理部門、業務運營部門、資訊安全部門的責任,資產管理部門應協調供應商、開發商統一修復漏洞,定期打上補丁。對一些因系統無法維護而造成高危漏洞無法消除的情况,業務運營部門應製定產品替代方案,逐步退出應用。針對强行陞級系統或打補丁消除漏洞可能造成業務系統停擺等風險時,資訊安全部門應協同業務運營部門,諮詢協力廠商安全機构,製定科學可行的漏洞處置方案,避免因漏洞處置而影響正常業務開展。三是要建設科技平臺提升漏洞治理的整體效率。關鍵資訊基礎設施運營者通過建設漏洞治理科技平臺進一步提高漏洞處置效率,一方面可將實时漏洞庫、動態資產庫、開源POC庫進行集成,實时進行資產與漏洞的規則匹配,並運用自動化手段進行精准驗證,科學計算和評估漏洞的影響。另一方面充分利用漏洞治理科技平臺分發處置任務、迴響治理成果,輔助開展績效評估等工作。

四、結語

習近平總書記提出要樹立正確的網路安全觀,並指出網路安全是整體的、動態的、開放的、相對的和共同的。我們在開展關鍵資訊基礎設施網路安全保障工作中認識到,只有牢牢抓住網路安全的上述基本特點,才能實現對漏洞的有效治理,降低網路安全風險。我們在開展漏洞治理的一年時間裏,推動上述關鍵資訊基礎設施運營者漏洞處置週期由平均59天縮短到如今的7天,在重要敏感時期,高危漏洞有效處置的週期縮短至24小時之內。關鍵資訊基礎設施運營者在探索漏洞治理過程中,進一步摸清了資產的底數、認清了風險的由來,為下一步開展網路安全態勢感知工作奠定了基礎。

(本文刊登於《中國信息安全》雜誌2018年第9期)

更多資訊安全專家文章

請關注公眾號!

© 2023