漏洞管理(Vulnerability Management)作为信息安全领域中最为人熟知的概念之一,一直是安全运营的核心活动。然而,随着网络威胁的不断演变和IT环境的日益复杂,传统的漏洞管理方法已经难以应对当前的安全挑战。近年来,业界出现了一些新的方法和工具,试图改变漏洞管理的范式。本文将深入探讨漏洞管理的最新趋势,从美国网络安全与基础设施安全局(CISA)的已知被利用漏洞(KEV)目录,到Gartner最近提出的持续威胁暴露管理(CTEM)框架,分析这些新方法如何改变漏洞管理的实践,并为安全团队提供更有效的风险管理策略。
值得注意的是,漏洞管理不等同于漏洞扫描,后者充其量只是整个过程中的一个步骤。真正有效的漏洞管理是一个涵盖识别、评估、优先级排序、修复和验证的完整闭环过程。随着攻击面的不断扩大和攻击者手法的日益复杂,我们需要重新思考漏洞管理的方法,将其从被动的合规驱动转变为主动的风险驱动。
本文将探讨KEV目录、EPSS等新兴的漏洞评估方法,以及CTEM等前瞻性框架如何帮助组织更好地应对当前的威胁环境。我们还将讨论漏洞管理工具的最新发展趋势,以及这些工具如何支持更加主动和持续的漏洞管理实践。
KEV目录:聚焦真实威胁
CISA的已知被利用漏洞(Known Exploited Vulnerabilities, KEV)目录于2021年11月3日首次发布,伴随着CISA发布的一项具有约束力的运营指令(BOD 22-01)。这一举措的背景是美国政府认识到,已知被利用的漏洞是恶意网络活动最常见的攻击途径之一,对公共部门和私营部门都构成了重大威胁。
KEV目录的主要目的是为联邦机构提供一个优先修复的漏洞清单,要求这些机构在规定的时间内(通常是两周内)修复列表中的漏洞。虽然这一指令主要针对联邦机构,但CISA也鼓励私营部门组织采用这一清单来指导其漏洞管理实践。
KEV目录的三个主要纳入标准是:
1. 该漏洞有一个分配的通用漏洞披露(CVE) ID。
2. 有可靠的证据表明该漏洞正在被积极利用。
3. 存在明确的修复行动,如供应商提供的更新。
这些标准确保了KEV目录中的漏洞都是真实存在的威胁,而不仅仅是理论上的风险。
KEV目录的一个显著特点是它聚焦于"已知被利用"的漏洞,而不是仅仅依赖漏洞的严重性评分。这种方法有其独特的优势:
1. 直接关注真实威胁:KEV目录中的漏洞都有被攻击者积极利用的证据,因此代表了组织面临的真实和紧迫的威胁。
2. 简化优先级排序:通过关注一个相对较小的漏洞子集(截至2023年7月,KEV目录包含约965个漏洞,仅占所有已发布CVE的0.47%),KEV目录帮助组织将有限的资源集中在最紧急的问题上。
3. 清晰的修复时间表:KEV目录为每个漏洞提供了建议的修复期限,这有助于组织制定明确的修复计划。
然而,KEV目录也存在一些局限性:
1. 覆盖范围有限:虽然KEV目录聚焦于最紧急的威胁,但它并不包括所有被利用的漏洞。根据Cisco的研究,约94%的已知被利用漏洞并未出现在KEV目录中。
2. 更新频率不一:KEV目录的更新并不总是及时的。有时,一个漏洞被公开利用后可能需要数月才会被添加到KEV目录中。
3. 缺乏环境上下文:KEV目录提供的是一个通用的优先级列表,没有考虑到特定组织的环境和风险状况。
4. 潜在的偏差:KEV目录可能会偏重于某些类型的产品或供应商,这可能不完全代表整个漏洞利用格局。
5. 存在新近度偏差。对于KEV,可能会忽略一些黑客仍然认为是好东西的老东西。
图1 KEV目录漏洞和CVE的关系图
图2 KEV 目录收录漏洞的时间
尽管存在上述局限性,KEV目录仍然是一个有价值的工具,可以帮助组织改进其漏洞管理实践。根据Cisco的研究,98.3%的组织在其网络中至少检测到过一个KEV漏洞,这突显了KEV目录的相关性。
在实际应用中,组织可以考虑以下方法来有效利用KEV目录:
1. 将KEV作为优先修复的基线:将KEV目录中的漏洞作为修复的第一优先级,可以快速减少组织面临的已知威胁。
2. 与其他数据源结合使用:KEV目录应该与组织的资产清单、威胁情报和其他漏洞数据结合使用,以获得更全面的风险视图。
3. 自动化集成:将KEV目录集成到漏洞扫描和管理工具中,可以实现自动优先级排序和报告生成。
4. 性能指标跟踪:使用KEV漏洞的修复率作为衡量漏洞管理效果的一个关键指标。
5. 持续监控:定期检查KEV目录的更新,并将新添加的漏洞纳入优先修复计划。
然而,重要的是要认识到,KEV目录不应该是组织唯一的漏洞管理依据。它应该作为更广泛的风险基础漏洞管理(RBVM)策略的一部分,与其他评估方法和工具结合使用。
CVSS 3的问题和局限性
通用漏洞评分系统(Common Vulnerability Scoring System, CVSS)长期以来一直是评估漏洞严重性的事实标准。CVSS 3提供了一个0到10的分数,反映了漏洞的固有特征。然而,随着时间的推移,CVSS 3的局限性变得越来越明显:
1. 过于关注技术影响:CVSS 3主要考虑漏洞的技术特征,如攻击复杂度和潜在影响,但没有考虑实际的利用可能性或组织环境。
2. 缺乏环境上下文:CVSS 3基础分数不考虑特定组织的环境因素,如资产重要性或现有的安全控制。
3. 分数膨胀:随着时间的推移,CVSS 3分数出现了"膨胀"趋势,越来越多的漏洞被评为"高"或"严重",这降低了其作为优先级工具的有效性。
4. 更新滞后:CVSS 3分数通常在漏洞公开时分配,并且很少更新以反映新的信息或实际的利用情况。
5. 误导性的精确度:CVSS 3提供的精确到小数点后一位的分数可能给人一种虚假的精确性印象,而实际上这种精确度并不总是有意义的。
这些问题导致许多组织仅依赖CVSS 3分数来进行漏洞优先级排序时面临挑战。高CVSS 3分数的漏洞可能永远不会被实际利用,而一些较低分数的漏洞可能构成更紧迫的威胁。
图3 CVSS v3在KEV和可利用漏洞的分布情况
为了解决CVSS 3的一些局限性,安全社区开发了漏洞利用预测评分系统(Exploit Prediction Scoring System, EPSS)。EPSS是一个数据驱动的模型,旨在预测漏洞在未来30天内被利用的可能性。
EPSS的主要特点和优势包括:
1. 基于实际数据:EPSS使用历史漏洞利用数据、漏洞特征和外部因素来训练其预测模型。
2. 动态更新:EPSS分数每天更新,反映最新的威胁情报和漏洞利用趋势。
3. 概率输出:EPSS提供一个0到1之间的概率分数,表示漏洞被利用的可能性,而不是严重性。
4. 关注实际风险:通过预测实际利用的可能性,EPSS帮助组织将资源集中在最可能构成实际威胁的漏洞上。
5. 补充而非替代:EPSS旨在补充CVSS等其他评分系统,提供额外的风险维度。
EPSS的一个关键优势是它可以帮助组织更有效地优先处理大量漏洞。例如,研究表明,通过关注EPSS分数最高的10%的漏洞,组织可以覆盖约60%的实际被利用的漏洞。
然而,EPSS也有其局限性。它主要关注短期利用可能性,可能不适合评估长期风险。此外,EPSS模型的准确性取决于其训练数据的质量和代表性,这可能因不同的技术领域而异。
CVSS v4.0是由FIRST (Forum of Incident Response and Security Teams)于2023年11月1日正式发布的最新版本通用漏洞评分系统。这是自2015年6月CVSS v3.0发布以来,时隔8年多的一次重大更新。CVSS v4.0的目标是为行业和公众提供更精确的漏洞评估方法。
CVSS v4.0的主要变化和改进包括:
1. 新的命名规则
CVSS v4.0引入了新的命名规则,以强调CVSS评分不仅仅是基础分数:
- CVSS-B:仅使用基础指标
- CVSS-BE:使用基础和环境指标
- CVSS-BT:使用基础和威胁指标
- CVSS-BTE:使用基础、威胁和环境指标
这种命名方式有助于明确使用了哪些指标组,避免过度依赖基础分数。
2. 基础指标组的改进
- 新增"攻击要求"(Attack Requirements, AT)指标,用于捕捉漏洞利用所需的先决条件,提供比"攻击复杂度"更细粒度的信息。
- "用户交互"(User Interaction, UI)指标细分为"被动"(Passive)和"主动"(Active)两种,更精确地描述所需的用户交互程度。
- 移除了"范围"(Scope)指标,代之以两组影响指标:
- 脆弱系统影响:机密性(VC)、完整性(VI)、可用性(VA)
- 后续系统影响:机密性(SC)、完整性(SI)、可用性(SA)
3. 威胁指标组的简化
- "时间指标组"更名为"威胁指标组",更好地反映其动态特性。
- 移除了"修复级别"(RL)和"报告可信度"(RC)指标。
- "漏洞利用代码成熟度"(E)更名为"漏洞利用成熟度"(E),并简化了其取值。
4. 新增补充指标组
引入了可选的"补充指标组",提供额外的上下文信息,包括:
- 安全影响(Safety)
- 自动化可能性(Automatable)
- 恢复能力(Recovery)
- 供应商紧急程度(Provider Urgency)
- 价值密度(Value Density)
这些指标不影响CVSS分数计算,但有助于更全面地理解漏洞风险。
5. 改进的评分指南
CVSS v4.0提供了更详细的评分指南,旨在提高不同评估者之间的一致性。同时,它还为评估软件库漏洞提供了专门的指导。
6. 支持多重评分
CVSS v4.0设计为支持对同一漏洞在不同产品、平台或操作系统上进行多重评分,以更好地反映漏洞在不同环境中的风险差异。
7. 扩展性增强
CVSS v4.0提供了扩展框架的指南,使其可以适应其他行业领域,如隐私、汽车等。
总的来说,CVSS v4.0在保留了v3.x版本核心结构的同时,通过增加更多细粒度的指标和上下文信息,显著提高了评分的灵活性和准确性。真正重要的关键指标是可利用性(CVSS 4.0 解决了这一问题)、利用的证据(KEV解决了部分)以及利用的可能性(EPSS 中提到的)。
图4 CVSS v4.0的更新内容
持续威胁暴露管理(Continuous Threat Exposure Management, CTEM)是Gartner最近提出的一个框架,旨在帮助组织更系统地管理其威胁暴露。CTEM不仅仅关注漏洞,还包括更广泛的威胁暴露,如错误配置、过时的系统和不安全的实践。CTEM框架包括五个关键步骤:
1. 范围界定(Scoping):
- 定义评估的范围,包括关键业务资产、流程和潜在的威胁向量。
- 确定评估的频率和深度。
- 与业务利益相关者合作,确保范围与组织的风险承受能力和优先级一致。
2. 发现(Discovery):
- 使用各种工具和技术来识别范围内的所有资产和潜在的威胁暴露。
- 包括传统的漏洞扫描,以及新兴的技术如攻击面管理(ASM)和云安全态势管理(CSPM)。
- 考虑可修补和不可修补的威胁,包括配置错误和过时的系统。
3. 优先级排序(Prioritization):
- 评估每个发现的暴露的潜在影响和利用可能性。
- 考虑资产的重要性、威胁情报和现有的安全控制。
- 使用先进的分析技术,如机器学习,来预测哪些暴露最可能被攻击者利用。
4. 验证(Validation):
- 使用渗透测试、红队评估或漏洞利用模拟等技术来验证已识别的威胁是否真实可利用。
- 评估现有安全控制的有效性,识别潜在的绕过或失效点。
- 验证优先级排序的准确性,确保资源集中在最关键的威胁上。
5. 动员(Mobilization):
- 制定并执行缓解或修复计划,针对已验证的高优先级威胁。
- 协调跨团队的工作,包括IT运营、安全团队和业务部门。
- 实施短期修复(如虚拟补丁)和长期解决方案(如系统升级或架构改进)。
- 持续监控和报告进展,确保关键威胁得到及时处理。
CTEM框架的核心理念是将威胁暴露管理视为一个持续的、循环的过程,而不是一次性的活动。每个周期都应该产生可操作的见解和具体的改进计划。
图5 CTEM 流程图
CTEM框架通过以下几个方面解决了传统漏洞管理方法的不足:
1. 全面的威胁暴露视图:
- 传统方法主要关注软件漏洞,而CTEM考虑了更广泛的威胁暴露,包括配置错误、过时系统和不安全实践。
- 这种全面的方法能更好地反映组织的实际风险状况。
2. 业务对齐:
- CTEM的范围界定步骤确保了评估与业务优先级和风险承受能力一致。
- 这有助于安全团队更好地与业务利益相关者沟通,获得必要的支持和资源。
3. 动态优先级排序:
- CTEM不仅考虑漏洞的技术严重性,还考虑了资产重要性、威胁情报和环境因素。
- 这种动态方法能更准确地反映实际风险,帮助组织更有效地分配资源。
4. 实际验证:
- 通过验证步骤,CTEM确保组织关注真正可利用的暴露,而不是理论上的风险。
- 这减少了误报,提高了修复工作的效率。
5. 跨团队协作:
- CTEM的动员步骤强调了跨团队协作的重要性,打破了传统的安全和IT运营之间的隔阂。
- 这种协作方法有助于更快速、更全面地解决问题。
6. 持续改进:
- CTEM是一个循环过程,强调持续评估和改进。
- 这种方法能够适应不断变化的威胁环境,确保组织的安全态势始终与时俱进。
尽管CTEM提供了一个强大的框架,但其实施仍面临一些挑战:
1. 技术复杂性:
- 挑战:CTEM需要整合多种工具和数据源,这可能导致技术复杂性增加。
- 建议:逐步实施CTEM,从关键业务领域开始。优先考虑能够集成和自动化的工具,以减少复杂性。
2. 数据质量和一致性:
- 挑战:CTEM依赖于准确和及时的数据,但组织可能面临数据质量和一致性问题。
- 建议:投资于资产管理和数据治理。实施数据质量检查和验证流程。
3. 持续性和一致性:
- 挑战:保持CTEM过程的持续性和一致性可能具有挑战性,特别是在面对其他业务优先事项时。
- 建议:将CTEM嵌入到组织的日常运营中。建立明确的KPI和定期审查机制。
4. 技能短缺:
- 挑战:CTEM需要广泛的技能,包括漏洞评估、威胁情报分析和风险管理,这些技能可能短缺。
- 建议:投资于员工培训和技能发展。考虑与外部专家合作或利用管理安全服务。
5. 变化管理:
- 挑战:转向CTEM方法可能需要重大的流程和文化变革。
- 建议:制定清晰的变革管理计划。通过早期的小规模成功来构建动力和支持。
实施建议:
1. 从小规模试点开始,逐步扩大范围。
2. 确保高层管理的支持和承诺。
3. 投资于自动化和集成工具,以提高效率。
4. 建立明确的指标来衡量CTEM的有效性和ROI。
5. 定期审查和调整CTEM流程,以适应不断变化的威胁环境。
通过解决这些挑战并遵循这些建议,组织可以更有效地实施CTEM,从而显著提高其整体安全态势。
随着威胁环境的不断演变和组织IT基础设施的日益复杂,漏洞管理工具也在不断发展以满足新的需求。
图6 漏洞评估概览
以下是一些主要的发展趋势:
1. 扩展的资产覆盖:
- 现代VA工具正在扩大其覆盖范围,不仅包括传统的IT资产,还包括云资产、容器、物联网设备和运营技术(OT)系统。
- 例如,许多工具现在提供云安全态势管理(CSPM)功能,以评估云配置和合规性。
2. 持续评估:
- 从周期性扫描转向持续评估,提供实时或近实时的漏洞洞察。
- 这通常通过代理技术或与其他安全工具的集成来实现。
3. 上下文感知评估:
- VA工具需要考虑资产的业务重要性和环境因素,而不仅仅是技术漏洞。
- 这包括集成资产管理数据和业务影响分析。
4. 自动化修复:
- 一些VA工具正在集成修复自动化功能,能够自动部署补丁或配置更改。
- 这通常与IT服务管理(ITSM)工具集成,以简化工作流程。
5. 高级分析和机器学习:
- 使用AI和机器学习来改进漏洞检测、误报减少和风险预测。
- 例如,使用历史数据和模式识别来预测潜在的高风险漏洞。
VPT工具专注于帮助组织确定哪些漏洞应该首先修复。这些工具的主要特点包括:
1. 多维度风险评估:
- 结合CVSS分数、资产价值、威胁情报和环境因素来评估风险。
- 一些工具使用专有的风险评分模型,如Kenna Security的风险分数。
2. 威胁情报集成:
- 实时集成威胁情报,以识别正在被积极利用的漏洞。
- 这可能包括与CISA KEV目录等数据源的集成。
3. 预测分析:
- 使用机器学习模型来预测漏洞被利用的可能性,类似于EPSS。
- 一些工具还尝试预测漏洞的未来影响。
4. 可视化和报告:
- 提供高级可视化和报告功能,帮助安全团队和管理层更好地理解风险。
- 包括趋势分析、比较报告和自定义仪表板。
5. 工作流集成:
- 与漏洞管理、补丁管理和ITSM工具的深度集成,以简化修复过程。
- 一些工具提供自动化的修复建议和工单创建。
漏洞管理领域正在整合一些新兴技术,以提供更全面的安全评估:
1. 漏洞和攻击模拟(BAS):
- BAS工具模拟真实世界的攻击场景,测试组织的防御能力。
- 这些工具可以验证已知漏洞的可利用性,并测试安全控制的有效性。
- 例如,可以模拟特定的漏洞利用链,评估组织的检测和响应能力。
2. 攻击路径分析:
- 这些工具分析网络拓扑和配置,识别潜在的攻击路径。
- 帮助组织理解漏洞如何被链接起来形成更大的风险。
- 一些工具提供图形化表示,显示从最低权限到关键资产的潜在路径。
3. 外部攻击面管理(EASM):
- EASM工具帮助组织发现和管理其外部暴露的资产和服务。
- 这对于识别影子IT和未经授权的云资产特别有用。
- 许多传统的VA供应商正在通过收购或内部开发来增加EASM功能。
4. 网络安全资产攻击面管理(CAASM):
- CAASM工具聚合来自各种安全和IT工具的数据,提供资产的统一视图。
- 这有助于识别资产清单中的差距和重叠,以及关联资产与漏洞信息。
5. 自动化渗透测试:
- 一些工具正在自动化传统的渗透测试过程,允许更频繁和一致的测试。
- 这可以帮助组织快速识别新出现的漏洞和配置问题。
这些新兴技术的应用正在改变传统的漏洞管理方法,使其更加主动、持续和全面。组织越来越多地采用多工具方法,结合这些不同的技术来获得更完整的风险视图。
然而,这也带来了新的挑战,如工具集成、数据相关性和技能要求。安全团队需要适应这些新技术,并学会如何有效地利用它们来改善整体安全态势。
随着我们探讨了从KEV到CTEM的最新发展,以及漏洞管理工具的新趋势,可以清楚地看到漏洞管理正在经历一个重大的范式转变。这种转变可以概括为以下几个方面:
1. 从静态到动态:
- 传统的漏洞管理通常依赖于定期的扫描和评估。
- 新的方法强调持续监控和实时评估,以跟上快速变化的威胁环境。
2. 从孤立到整合:
- 漏洞管理不再是一个独立的安全功能,而是与威胁情报、资产管理、风险管理等领域紧密集成。
- 这种整合方法提供了更全面的安全视图。
3. 从技术导向到风险导向:
- 不再仅仅关注漏洞的技术严重性,而是更多地考虑业务风险和实际威胁。
- 这种方法帮助组织更有效地分配资源,关注最重要的问题。
4. 从被动响应到主动防御:
- 传统方法主要聚焦修复已知漏洞。
- 新方法强调预测和预防,使用高级分析和模拟技术来防范未来的威胁。
5. 从合规驱动到安全驱动:
- 虽然合规仍然重要,但更多组织认识到真正的安全需要超越最低合规要求。
- 重点转向建立真正有效的安全控制,而不仅仅是满足审计清单。
这种范式转变对安全团队提出了新的要求:
1. 跨领域知识:
- 安全专业人员需要扩展其技能集,超出传统的网络和系统安全。
- 需要了解云技术、DevOps实践、业务流程和风险管理。
2. 数据分析能力:
- 能够处理和解释大量数据变得越来越重要。
- 需要基本的数据科学和统计学知识,以有效利用高级分析工具。
3. 业务理解:
- 安全团队需要更深入地了解组织的业务目标和运营。
- 能够用业务术语而不是技术术语来沟通风险和安全问题变得至关重要。
4. 自动化和编程技能:
- 随着越来越多的安全流程被自动化,基本的编程和脚本编写技能变得越来越重要。
- 能够配置和维护复杂的安全工具和平台也很重要。
5. 风险管理思维:
- 需要培养对风险的深入理解,能够权衡不同的风险因素并做出明智的决策。
- 这包括理解组织的风险承受能力和如何将安全风险与业务风险对齐。
漏洞管理正在从一个主要关注技术漏洞的孤立活动,转变为一个更全面、持续和以风险为导向的过程。从CISA的KEV目录到Gartner的CTEM框架,我们看到了一种更加成熟和战略性的方法正在形成。这种方法不仅考虑技术漏洞,还考虑更广泛的威胁暴露和业务风险。
新的工具和技术,如高级VPT系统、BAS和EASM,正在为组织提供更丰富的洞察力和更有效的风险管理能力。然而,这些进步也带来了新的复杂性和挑战,需要安全团队不断学习和适应。
未来的漏洞管理将更加智能、自动化和情境化。它将与更广泛的安全和业务流程紧密集成,使组织更有效地应对不断演变的威胁环境。但是,技术进步并不足以确保成功。组织还需要培养正确的文化、技能和流程,以充分利用这些新方法和工具。
最终,有效的漏洞管理不仅仅是关于修复技术缺陷,而是关于持续改善组织的整体安全态势和韧性。通过采用这种整体和动态的方法,组织可以更好地保护自己免受当前和未来的网络威胁。