文 / 太平资产管理有限公司 何吟

行业现状：根据CIS安全控制报告，仅采用包括持续漏洞管理在内最基本的5条控制即能阻止85%的攻击，而采用全部20条控制可阻止97%的攻击。由此可见，漏洞管理并不是信息安全管理中的可选项，而是信息安全风险管理体系必不可少的基石，是企业信息安全管理中投入产出比最高的基础性流程。

漏洞管理的内容和难点

持续的漏洞管理需要持续搜集软件更新、补丁更新、安全建议、威胁情报等信息，需要大量的时间、精力和资源支撑。

1.漏洞的闭环管理。Gartner于2015年绘制了漏洞闭环管理的流程，提出三大流程。

计划并定义漏洞管理的范围，即对进行漏洞扫描、修复的范围、流程、方法进行详细规定。这一阶段涉及三方面工作：一是资产发现；二是确定漏洞管理的策略；三是确定范围。IT资产的发现本身就是个难题，云计算、大数据、区块链等新技术在金融行业快速发展的同时引入的最直接的安全运维难题，就是资产发现问题。运维团队的CMDB可能存在滞后性，几乎所有企业都存在IT资产的灰色地带：无人知晓的IP，未告知的上线，宕掉的终端管理客户端，未安装Agent的主机，突然失效的规则，未回收的策略，开放了不必要的服务、端口、协议，远程登录的弱口令等。事实证明，这些通常被忽略的地带是信息安全事件高发的区域。

漏洞的脆弱性评估，即根据脆弱性评估模型对漏洞的严重程度进行评估。这一步通常被忽略，人们往往可能凭借经验、感觉来确定漏洞修复加固的步骤。然而脆弱性评估在整个信息安全管理框架中占据核心地位，漏洞的严重程度直接决定了第三阶段所需要采取响应的紧急度。以CVSS（通用漏洞评分系统）为例，从基本评价、生命周期评价、环境评价3部分11个维度帮助企业根据自身的网络、系统、资产特点，结合社区威胁情报，更为全面、直观地评估漏洞的严重程度（具体评估项目和指标略）。

执行漏洞修复并验证。这是Gartner漏洞闭环管理最为重要的环节，包括确定加固方法（确认外情形即接受风险的情况，例如补丁会导致系统不可用，因此接受风险、漏洞修复、漏洞规避）、补丁安装后的有效性验证，以及优化漏扫策略、度量漏洞管理流程有效性并尝试解决问题的根源。这一步完成了PDCA闭环，实现持续优化，以及漏洞管理知识库的积累。

2.漏洞管理的难点。安全人员的诉求无外乎三点：发现得快、修复得快、最不济就闪得快。在依托于漏扫设备、人为流转的企业漏洞管理流程实施中通常面临以下难点：难以控制的IT资产灰色地带；不充分的漏洞严重性评估；漏洞修复推进缺少抓手；难以定位的脆弱点；缺少积累的漏洞管理知识库。

基于漏洞管理平台的闭环实践

有效实施CIS和Gartner所定义的持续漏洞管理，必须借助于自动化的漏洞管理平台，从安全的视角重新审视资产，根据业务特性和系统架构等要素建立安全资产信息；借助威胁情报中精确的漏洞预警信息，结合资产的安全特性，为漏洞修复提供决策依据。同时通过脆弱性管理平台，依靠内外部专家，对各类漏洞、缺陷进行综合判断，实现漏洞综合、闭环管理。最后通过脆弱性管理知识库的建立，为企业安全基线管理、安全开发管理等运维过程提供参考依据，实现由脆弱性管理带动安全运维能力全面提升的效果，真正解决企业安全运维的实际难题。

1.资产自动发现。借助漏扫设备的“资产发现”功能，安全人员维护“资产”“属主”等信息，平台自动实现“资产—属主—分组—CIA及重要性权重—漏洞”的交叉关联。平台与ITILCMDB定时同步并进行差异比对、平台资产信息基于时间线的纵向比对，实现资产自动发现、差异发现，帮助安全人员准确定位资产灰色地带，并透过数据寻找灰色地带的根源。

2.资产重要性赋值。即对资产的安全属性进行用户自定义的重要性赋值，如CIA的权重、等级保护的定级，作为权重参与资产价值的计算，在漏洞评估阶段进入风险评估模型。

3.脆弱性的快速定位。安全工程师三大诉求之“发现得快”，在漏洞管理范畴，有赖于持续的风险评估、详细的“作战地图”和强大的搜索。符合指定特征的资产情况：在Wannacry处置中，需要高频、持续地扫描、检查特定端口的开放情况。依托漏洞管理平台，可选择某次漏扫结果，直接查询端口对应的所有资产信息，包括主机信息、服务信息、承载的应用信息、对应的防火墙信息、账号信息等，省却大量人工报表比对工作。针对指定对象的全部漏洞信息：如查询影响特定端口的所有漏洞，关联全量资产受此漏洞的影响情况，产生资产脆弱性趋势图。资产—属主—漏洞的横向关联，以及基于各要素的纵向比对，为安全人员提供全局的、局部的资产脆弱性概况图和随时间变化的趋势图。

4.漏洞的自动闭环。在漏洞发现之初，根据漏洞管理策略制定定时任务，安全人员下发漏洞修复任务、属主在规定时间窗口完成修复/规避操作，平台在时间点达到后自动发起验证性扫描，验证失败的项目自动再次下发修复任务。通过一组状态机实现各类情况下，漏洞闭环管理流程的自动流转，减轻安全人员人为操作的负担，提高流转效率。不仅如此，时间戳的加入使漏洞修复耗时变成可追踪、易衡量的关键指标，以单个资产的脆弱性演变趋势图、全量资产的脆弱性评估图进行可视化呈现，并可与ITIL进行对接，使漏洞修复成为工单和整改项，提高漏洞修复推动力，提升修复比例、效率和质量。此处为安全人员提供了漏洞管理中的KPI，可从修复比例、耗时、验证成功率、n-day等维度进行指标的设定。

5.知识库积累。漏洞管理经验的积累为安全运维能力提供了有力的支撑，一方面减少重复确认的无谓消耗，另一方面可以减轻企业对特定人员的人为依赖，形成企业自有的处置体系。这包括特定场景、特定类型漏洞处置经验的积累（如规避/缓解/消减/转移/接受），自有的资产赋值模型，自有的风险评估模型等。

图 漏洞管理平台在安全防御体系中的位置

漏洞管理的延伸和展望

漏洞管理平台从资产出发管理漏洞，而企业的资产不仅包括终端、主机等硬资产，还包括中间件、组件等软资产，而脆弱性也不仅限于CVE漏洞、WEB漏洞、代码缺陷、逻辑缺陷等等。企业需要从信息安全风险治理的角度，建立信息安全指挥中心，以漏洞管理平台为触手，实现数据入、指令出。

实现对软资产的管理：中间件、组件（如Nginx OpenSSL）的发现，及其与硬资产—属主—漏洞的关联；软硬资产变更的发现和管理，与ITIL互补。

实现缺陷的全局接入：渗透测试结果；配置检查结果；应用安全扫描结果。

支持与自动化运维的联动：在定位受影响资产后，反馈自动化运维工具，实现端口、服务关闭、隔离等应急处置联动，极大缩短攻击窗口；信息安全风险管理的目的不是消灭风险,而是通过日常工作有准备、理性、持续地发现、评估、加固风险，减少损失。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 [email protected]。