时间:2021-11-15 作者:奇安信集团
漏洞信息源杂乱,无法及时获取重要情报?漏洞信息单一,无法“对症下药”?重要业务不能中断,无法确定漏洞验证是否无阻/无损?官方补丁未出,“空窗期”不知如何处置?……漏洞作为高悬在网络安全之上的达摩克利斯之剑,如何正确处置一直是困扰政企机构的难题。
根据上述痛点,11月16日,奇安信正式发布漏洞情报服务,从漏洞监测、漏洞挖掘、漏洞分析、漏洞评价、漏洞通知以及漏洞处置进行全生命周期的闭环管理,旨在为各企事业单位提供高精准、高可用漏洞情报,有效提升对漏洞预警、分析、处置和响应的能力。
图1漏洞情报的全生命周期闭环管理
漏洞防护的突破口是掌握真实风险
公开数据显示,近年来国家信息安全漏洞共享平台CNVD收录的漏洞不断突破新的记录,2020年收录的漏洞总数较2019年同比增长24.23%。面对如此庞大的漏洞数量,每当互联网上暴露出新的漏洞,各家单位都如临大敌,严阵以待。
因此在攻防交替的博弈中,只有率先掌握漏洞情报,才更加容易占据优势地位。然而,铺天盖地的“漏洞情报”却没有质量保证,有未经查验的、低危的、信息单一的,甚至是虚假的,给漏洞防护造成了很大的困扰。
Gartner指出:漏洞所能导致的实际危害不仅仅取决于漏洞本身的技术特性,只有与威胁行为体和资产这两个必要因素结合,才会形成事实上的风险。
对此,奇安信威胁情报中心负责人汪列军表示,对用户来说,单独的漏洞信息实际上很难被应用,只有围绕漏洞所能导致的真实风险来提供漏洞情报,才是现阶段抵御漏洞威胁的突破口。
图2奇安信威胁情报中心负责人汪列军
奇安信漏洞情报服务采用自研漏洞感知处置引擎,聚合全面的多维漏洞信息,通过漏洞复现、标签标定、补丁验证、PoC|Exp测试等一系列的流程,对漏洞实际可产生的危害重新定级(更加符合国内安全环境的定级标准),形成准确可靠的漏洞情报,实时推送给用户。
五大优势助力客户秒速完成漏洞处置
据汪列军介绍,奇安信漏洞情报服务具备以下五大优势:
首先,全面的多维漏洞信息整合及属性标定。奇安信威胁情报中心每天监测的漏洞相关情报数量高达3万条,全面覆盖NVD、CNVD、CNNVD、Exploit-DB、Github、ZDI等国内外主流漏洞发布渠道,同时国内首创了“机器+人工”漏洞情报运营流程,通过机器学习技术快速对海量漏洞信息进行分析、筛选。
图3开源漏洞信息渠道来源占比
其次,准确的漏洞所导致实际安全风险判定。针对漏洞实际风险判定,奇安信制定了严格的流程。第一步需人工验证漏洞的成因;第二步需对漏洞补丁的有效性及部署的安全性进行测试,提示可能存在的问题;第三步需对公开PoC的可用性进行测试确认,以及私有PoC的开发和输出;最后一步是评估可能导致的真实风险,输出准确的漏洞情报。
值得关注的是,奇安信威胁情报中心的漏洞评判标准在CVSS的基础上,新增漏洞实际利用层面的评价,分别从漏洞触发前置条件(用户交互、用户认证、其他条件)、漏洞成功利用条件(攻击者控制能力之外的要求)、漏洞触发方式、漏洞直接后果等维度进行判别。
再次,可信的综合性漏洞处理的优先级排序。奇安信威胁情报中心能够识别出关键漏洞(已经或有可能导致实际危害的漏洞),并且为每个漏洞收集、整理相关安全事件,包括:漏洞披露、漏洞POC发布、漏洞EXP发布、漏洞补丁发布、利用漏洞的攻击事件、用户对漏洞的技术讨论等,输出关键漏洞列表与可信的综合性漏洞处理的优先级排序,为用户下一步的漏洞处置顺序提供优先级参考。
第四,可行的包含详细操作步骤的处置措施。需要注意的是,漏洞的处置并非简单的补丁安装,比如有的漏洞补丁只在个别场景下可用,甚至可能造成重要服务中断等。面对漏洞修复的难题,有效地临时解决方案和威胁规避方法非常必要。因此,奇安信漏洞情报服务能够提供验证过的“傻瓜式”的操作步骤和漏洞利用的检测方案,真实有效的帮助系统管理员处理安全威胁事件。
最后,及时的与组织自身相关漏洞风险通知。奇安信漏洞情报服务提供支持模糊匹配的搜索列表,实时更新漏洞状态,主动推送通知与组织自身相关的漏洞与风险,帮助用户及时修复漏洞/防御威胁,完成“强身健体”最为重要的环节。
汪列军说,奇安信漏洞情报服务能够始终站在用户的视角去评估风险,为用户第一时间提供精准的漏洞情报,了解自身网络安全状态,使用户具有充分的时间进行风险处置,帮助企业真正地做到防患于未然。
95015服务热线
微信公众号