FreeBuf甲方群话题讨论 | 你有经历过威胁误报吗?
FreeBuf甲方群话题讨论 | 你有经历过威胁误报吗?
洞一直是网络安全攻防的焦点,漏洞情报对于企业防范威胁的重要性不言而喻。但面对大量的新增漏洞,应该如何从中筛选出真正有威胁的漏洞,做到快速、有效的判断识别,减少误报率,本期话题就减少漏洞情报误报的相关问题展开讨论。
(本文所有ID已做匿名处理)
1.漏洞情报应该如何从大量的告警中筛选出真正有威胁的漏洞,保证信息的准确性和处理优先级的可靠性?
@铁面无私
漏洞情报数据源的话,一般是参考不同安全服务商的信息跟建议,观察行业内大家的处理动向,多参考,不冒进。
@草长莺飞
通用漏洞评分CVSS,强调漏洞本身的技术严重性,不会给出明确的优先级顺序,所以,新的VPT概念就出现了。VPT里,可以在真实的漏洞处置过程中把企业实际IT环境中漏洞的可利用性和业务关键性等因素考虑进去,给出明确的优先级顺序。VPT在不同环境里有不同的计算维度,基础的包括漏洞情报、资产信息、优先级算法。
@清风
要确认新增漏洞的威胁矢量,必须从资产盘点开始,详细的版本控制才能有效甄别风险是否匹配,而处理的优先级则要跟内部事件定级、风险程度、整改成本等综合考虑,漏洞威胁一个点,防御整改一盘棋。
@空瓶
1. 在这个场景中信息的准确性有两个含义: a)漏洞情报的准确性,即漏洞情报是否准确有效; b)在满足a)的情况下,漏洞情报与企业需求符合性,即漏洞情报涉及的范围在企业中是否有部署。 在满足a)b)两条的情况下,才能够判定相关信息的准确性。 2. 处理优先级的可靠性,个人暂时认为是漏洞为企业带来的风险等级,即漏洞在企业中的影响范围和修复难易程度; 3. 综上两条,要满足准确性和可靠性的需求,自然需要保证自身资产识别是否准确有效,只有在资产识别准确有效的前提下才能做到风险识别的准确有效,才能判定应急处置的优先级。
2.对于可能受影响的实体数据和资产等关联信息,漏洞情报应该如何有效、快速的判断识别?
@空瓶
1. 可以参考上个问题,需要准确有效的资产信息是有效、快速判断识别的基础; 2. 在满足资产信息准确有效的基础上,需要结合实体数据于资产信息的关联关系,可以参考STRIDE建立风险模型。
@盛夏时光
个人感觉首先要做好资产梳理,特别是供应链的梳理。通过工具匹配几个权威的漏洞披露源。如果有POC尽快核实是否受影响。如果影响根据资产重要性进行处理。最后通过全流量溯源核实在打补丁之前是否已经被利用。
@铁面无私
对于暴露的外部攻击面要能动态监测,资产拎得清,组件能识别,然后需要内部做定期的安全扫描,并且结合hids等不同来源的数据去做确认。
@雨夜渔翁
资产拎得清,其实很难,你们资产是怎么定义的?
@铁面无私
我们本身跟运维条线一起做了一个资产持续监测跟踪管控的平台,对从机柜、物理服务器到交换机等网络设备到虚拟机、到端口、IP、服务、系统都做了发现控制跟踪维护,然后我们安全就借力做攻击面管理。
3.一套完整的企业漏洞情报流程应该是怎样的?是否也会根据企业性质、规模或自身资产情况不同而有所差异?
@铁面无私
一般收到一个漏洞情报,首先在外部攻击面数据里去查哪些用了受影响的组件或者关联的组件,然后结合HIDS的结果进行确认,基本外部攻击面的可以梳理清楚,然后再在内网侧结合漏扫结果,排查一遍,推进漏洞闭环。
@百事可乐
企业漏洞情报应该是从接收到漏洞情报,分析情报来源的准确性、评估风险、给出加固方案、定位排查资产、根据漏洞进行加固或者整改升级操作。
@盛夏时光
还要追溯一下加固之前是否已经进来了。
@六月时光
流程应该是: 1、安全人员发现问题; 2、出具建议方案(两三句话)或专业方案(详细); 3、具体落实。 一般第1点是安全人员做的,但第2、3会有争议,也是让各个部门特别是运维反感安全的原因,运维觉得这些事有风险。这里风险不是安全风险,是指可用性方面的风险,例如升级后系统用不了。
@大胡子
这种应该通过专门技术委员会去评估风险,我们安全只管漏洞的风险,需要结合目前已有的安全防护措施进行评估。
@七月流火
所以安全一定要从风险出发,而不是落到漏洞的圈里,资产、威胁、脆弱性得出风险,不然只会自己给自己惹麻烦。
@百事可乐
同样的漏洞例如log4j2,在纯内网要评估改动的风险,如果风险过大,肯定不会去动了,在外网那肯定是要改或者降低风险。
@七月流火
给出去的漏洞整改要对结果负责,要具有可操作性,要有自己的见解,当时的log4j2漏洞,流传的3个整改方法,有两个是没用的,真的给安全的权威性大打折扣。
@古道西风
甲方视角,资源有限的情况下,要收敛漏洞情报源,避免信息洪流,精准获取精准修复,关注利用难度低、范围广、影响大的top级漏洞,以风险降级为最终目标。不担心预算、建立自己情报库的除外。
@空瓶
1. 完整的企业漏洞情报流程:漏洞发现-->漏洞分析-->漏洞处置-->事后复盘和优化。 2. 主要的漏洞情报流程阶段大体上是一致的,每个流程阶段对应的处置细节和方式会根据企业性质、规模或自身资产情况的不同而有所差异。例如实体工厂、2C互联网企业、2B互联网企业、医药企业等在漏洞流程的细节处理上会依照自己的业务形态、技术要求会存在特定的阶段强化和侧重。 最后,很多时候我们关注的是安全领域的上层威胁和风险模型,很容易忽略基础性质的工作,任何安全类型的工作和处置流程,都无法脱离资产识别和风险识别,这些才是更应当关注且花费资源和精力做好的。
本期精彩观点到此结束啦~