如何建设可行的WEB漏洞管理体系
来源:赛尔网络有限公司河南分公司 作者:仝志浩 发表于:2021.09.17 678浏览
文/仝志浩 赛尔网络有限公司河南分公司网络安全工程师
随着信息化的快速发展,高校各种业务系统的信息化在给师生带来便利的同时,也带来了更多的网络安全隐患。对此,大部分学校已成立专门的网络安全工作小组,以及时处理各种渠道汇总过来的问题,并在工作中形成了一整套方案流程,能够做到及时响应。相较于原始混乱的漏洞处置,甚至是已经出现问题后迟迟不能响应,我们确实取得了极大的进步。但在信息化安全工作中,仅仅做到应急响应就足以支撑起快速发展的信息化建设了么?出了问题的业务系统,关停后是否还要重新启用?不启用的话前期投入打了水漂,如果启用是否还有其他潜在风险?其他业务系统会不会仍有类似问题?业务系统关停期间带来的影响能否接受?学校相应工作又会停滞多久?……
面对这些问题仅仅做到“应急”是完全不够的。赛尔网络在对高校网络安全服务中发现,信息化安全工作需要的不仅仅是及时的应急,更需要一个完整的体系,它可以覆盖到每一个信息资产的全生命周期。从一个信息资产上架到使用到废弃,期间所出现的一切问题,这套体系都能提供具体的处置方式,尽可能降低甚至避免漏洞导致“事件”,使其仅停留在“风险”层面。习近平总书记指出,“网络和信息安全牵涉到国家安全和社会稳定,是我们面临的新的综合性挑战”,并点明“网络安全的本质在对抗”。而对抗的本质在漏洞利用,解决漏洞的落地措施是漏洞管理。这便是我们这套体系的核心。
安全事件因漏洞而造成,如果我们可以在黑客利用漏洞发起攻击之前修复了漏洞,那么便能极大提升我们系统的安全等级,发挥出我们安全部门真正的作用。相反,如果对出现的漏洞没有及时做好应对措施,其一定会以飞快的速度在互联网上爆发并导致大规模利用,因为这个网络空间中无时无刻不充斥着混乱的攻击。例如2017年的WannaCry病毒事件,从原始漏洞披露出来,到互联网上出现大规模的后门安装只用了不到一周,到最终WannaCry这个兼勒索、蠕虫于一体的完备病毒在国际互联网上流行起来,也只用了不到一个月。类似漏洞的爆发,不仅可能会给高校师生带来学习生活上的麻烦和潜在的金钱损失,还会损害高校的名誉,甚至引起违反相关法律法规的事件。
目前实行的等保2.0中,安全运维管理部分新增了(相对等保1.0)配置管理、漏洞和风险管理控制点,要求企事业单位重视漏洞和补丁管理安全,做好配置管理工作,及时更新基本配置信息库,定期开展安全测评工作,提升积极主动防护的能力。2019年6月发布的《网络安全漏洞管理规定(征求意见稿)》要求相关组织或个人在获知网络产品或系统漏洞后,要立即验证漏洞。“对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施”。
社会上很多企业也有要求对关键等级高的资产在上线前和重要变更时进行渗透测试,并定期进行漏洞扫描,以发现新暴露的漏洞。除却主动检测之外,也成立了安全应急响应中心 Security Response Center (SRC) ,通过物质激励促使白帽子主动挖掘披露漏洞从而模拟外部世界的真实攻击情况来提升产品服务的安全等级。
上海交通大学的教育行业漏洞通报平台https://src.sjtu.edu.cn/是一个在教育系统内的类似平台。该平台通过汇总教育行业白帽的力量,及时在教育系统内部提前发现问题,从而避免严重的安全事件发生。对于缺少专业安全服务的院校以及缺少主动漏洞发掘能力的高校,利用好这个平台可以极大提升漏洞自查能力。
由于高校业务系统大部分以WEB的形式提供服务,无论是正常的用户还是恶意的黑客大部分的交互方式都是网站访问,高校严重的网络安全事件也以WEB漏洞引发的问题居多。故本篇以赛尔网络建设可行的WEB漏洞管理体系为例,其他安全漏洞管理体系可以参考。
一、Gartner漏洞闭环管理周期
我们以Gartner提出的闭环漏洞管理周期作为整个漏洞管理体系的基石。Gartner是一家信息技术研究和分析的企业,研究范围覆盖全部IT产业。由于网络安全风险已经成为世界安全的重要组成部分,Gartner着力于网络安全漏洞的管理研究,充分重视“在安全漏洞被利用之前发现和修复安全漏洞的关键过程”。作为业界知名的安全公司,Gartner提出了一套漏洞管理框架,2019年10月25日发布的最新版本将漏洞管理所涉及的人员管理、处置流程和技术操作看作一个连续的闭环周期。
图1 Gartner漏洞闭环管理周期
受这套闭环框架的启发,结合高校信息化部门工作碰到的实际情况,我们构建了一套符合高校特色的WEB漏洞管理体系。理解这套闭环的漏洞管理周期是后续建设的重要前提。
二、准备工作
“闭环”强调漏洞管理是一项持续的过程。从左下角箭头标识处开始,其中Prework阶段我们可以看作安全部门创立之初的准备工作,亦可以认为是这套闭环框架的必要前提,下面结合高校场景具体分析。
1.确立资产范围
以WEB资产为例,高校所涉及资产即学校主站点+二级域名站点,及各种IP形式的常规(80,443)或非常规端口的业务资产。
2.明确角色和责任
高校中,管理人员很明确,即信息办的安全小组或安全负责人。
资产负责人员是谁呢?安全主管领导大多为党政一把手,但在这个框架中强调的是具体负责的技术人员。我们可以标识为该WEB系统的对应开发或运维人员,比如提供系统的厂商,建设系统的院系部门等。一定要明确技术负责人,后续的工作才能开展。
3.选择合适的漏洞评估工具,制定合适的安全策略
这一步需要专业的安全知识。由于大部分高校都购买了专业的安全服务,这部分工作可以交由服务提供商来负责,也可以结合上文中提到的教育行业漏洞报告平台或者积极参加各公益SRC,来获得第一手的漏洞情报。
4.明确资产上下文
即确立一个WEB资产在现实世界中的位置——位于哪个机房、哪个机柜、哪个单元,所涉及到的存储资源、计算资源又位于何处。这是一个网络世界到物理世界的映射。表1为笔者对资产所做的一个指标统计表格。结合学校的具体情况,也可以关联备案信息以及等保等细节信息。
表1 资产统计指标
技术指标
|
管理指标
|
URL地址
|
使用单位
|
IP地址
|
安全负责人
|
端口
|
技术负责人
|
依赖框架、中间件
|
资产重要程度
|
历史漏洞(日期,漏洞信息)
|
状态(安全、废弃、修复漏洞中)
|
安全策略
|
物理位置
|
三、实施意见
后续整个体系便以准备工作为基础展开。所有安全工作开展的前提建立在三个元素上,即资产、人员、漏洞。后续工作围绕这三个元素制定五个动作形成闭环。结合现实场景,稍微调整Gartner漏洞闭环管理周期图(图1)上下文的中文语意。我将其解释为:扫描检测->漏洞评级->漏洞响应->重新扫描->改进提升。结合其中的小项,我们可以填充整个动作框架,规划具体的工作内容。
1.扫描检测
定期对已知资产做安全扫描,定期扫描所管理的网络空间能够及时发现新资产,以及废弃旧资产。
明确策略:可通过白名单模式,即只允许明确资产(有具体负责人,包括责任以及技术两方面)上线,可被校外访问。
制定条例:严格执行资产上下线条例,上线资产要在信息管理部门登记,明确责任人。这样可以有效确立资产范围,使废弃资产及时下线,减小风险暴露面。
2.漏洞评级
结合实际情况评定漏洞等级。
结合资产的价值:确定漏洞真实存在,并定级明确危害。以CNNVD漏洞分级为例,漏洞分为低危、中危、高危、超危。例如一个网站明文存储了全部的师生信息,发现一处弱口令爆破风险,暂未获得有效凭据,该漏洞只是一处中低危漏洞。但是结合业务系统中存放的数据信息,该事件也应该划为高危事件,需要及时的响应。
结合漏洞情况:漏洞按披露时间可分为0-day,1-day,N-day,其中0-day漏洞可能存在于安全研究人员与部分顶级黑客手中,高校主要面对的是1-day及N-day的风险,但同时也要结合漏洞的曝光程度。知道此漏洞的人越多我们可能被攻击的次数就越多。所以需要特别注意网上已经存在利用工具的漏洞。漏洞的评级可由具体的安全服务人员确定。
3.漏洞响应
针对爆发的漏洞做出一系列动作,使因该漏洞造成的事件风险在一定时间内降至最低。
缓解漏洞危害:根据2中评定级别,暂时关闭外网访问,或只允许指定IP或网络范围访问服务,该事项大部分由网络运行部人员负责。以邮件形式将安全事件情况告知具体的安全责任人,并告知已中断校外服务,附件中添加《网站信息系统安全整改通知书》扫描件以及漏洞报告,并辅以电话通知。整改通知书需有相关的《网络安全法》条款和信息化管理部门公章,以督促负责人增强网络安全意识。
修复漏洞:将具体的漏洞细节告知技术负责人,按照安全服务人员建议或产品官方指南,指导其进行修复。整个修复过程要形成文档以便于后续步骤的改进提升。
实际生产环境中存在种种制约,比如服务已经过保、安全补丁可能带来业务上的影响、或者压根没有释放安全补丁。面对这些情况,在漏洞不可完全修复的情况下,我们能做的就是增加漏洞利用的难度,以此来降低潜在的事件风险。整个漏洞修复的过程要以灵活为核心,可以结合现有的安全设备,与安服人员、技术人员、业务人员一同在不影响业务功能的前提下制定出可以消除漏洞风险的安全策略。
这里介绍下在缺乏代码级别修复的前提下,几种生产环境的漏洞修复。
任意文件上传:(1)调整WAF策略,结合业务通过白名单的方式检查文件后缀。例如头像上传处仅允许上传jpg、png为结尾的文件。同时禁止返回上传文件具体位置信息。(2)修改网站托管服务器设置,使用静态存储服务器来存储用户上传的文件,或关闭上传文件目录的可执行权限。
业务系统依赖过低的PHP环境版本:(1)启用PHP安全模式。(2)禁用危险函数,例如passthru、exec、system、popen等。
缺少漏洞补丁:(1)评估业务系统中漏洞组件的作用,以及去掉后整个系统核心功能是否受影响。例如CMS站点中的富文本编辑器,在其做为资讯站点时,该功能基本没有用处,我们可以直接删除掉整个模块。或者在WAF上禁用该URL。(2)分析在野漏洞利用脚本特征、或对应漏扫工具的扫描特征。例如UA、数据包中magic字段。在WAF上做具体的反制措施,阻断此种攻击。
4.重新扫描
验证漏洞修复效果。由对应的安全服务人员,或者漏洞发现者做漏洞的二次验证,验证漏洞修复的效果以及是否存在其他风险。如果仍然存在问题则要返回到第3步,直至漏洞的危害确认降为最低。
5.改进提升
包括评估总结,分析原因,填充安全短板,提升安全等级。
事件分析:分析漏洞原因,包括从开发到管理多个方面。例如,开发人员使用的验证模块的默认密钥,如Apache Shiro 一系列反序列化漏洞;或者运维人员使用了存在漏洞的WebLogic中间件,以及为了方便备份文件的下载开启了WEB服务器的默认目录浏览,从而导致信息泄漏。
策略完善:针对所分析出的漏洞原因,来完善安全管理制度或者机制。例如当检测到可能依赖的软件库有安全更新时,及时自查资产,对涉及到的重要业务系统及时修复、严格运维人员操作流程。生产环境的任何流程都要进行提前审核报备。
以上便是我们整个WEB漏洞管理体系的介绍。混乱的网络空间中,冰面下各种形式的漏洞攻击与利用对我们冰面上的系统存在数不清的威胁。面对形式复杂的网络攻击,愿我们都能从战战兢兢到游刃有余。在这套体系下制定出一套符合自己的工作流程,在充满挑战的安全工作中占据越来越多的主动权。