安全运营之甲方的漏洞管理闭环实践
一、前言
漏洞是企业网络安全保障体系的薄弱点,也是网络攻击的根源。一方面,随着互联网资产的逐渐增多,漏洞披露的数量和影响程度也在持续增加;另一方面,漏洞被视为网络攻防战的重要资源,国家对漏洞风险的监管和执法要求也在不断提高。本文旨在从实践层谈谈漏洞管理的认识。
在正文开始之前,让我们首先定义什么是漏洞管理。漏洞管理是一种管理框架,旨在主动识别、分类、修复和缓解应用程序或IT基础设施中的漏洞,以降低组织面临的整体安全风险。漏洞管理是一个持续发现、调查和缓解企业网络漏洞的过程。它利用IT、威胁情报、法务、财务团队和其他团队来支持其持续管理漏洞的目标。2019年,Gartner发布了漏洞闭环管理框架2.0,将漏洞管理所涉及的人员管理、处置流程和技术操作看做一个连续的闭环周期。
框架包括五个阶段,分别是:评估、确定优先级、采取行动、重新评估和改进提高,前期工作为整个流程奠定了基础保障。该框架强调漏洞管理和安全防护是一项持续的过程。
漏洞闭环管理框架五个阶段主要内容如下:
1、评估:发现漏洞并识别企业资产,发现漏洞并确认漏洞真实性。
2、确定优先级:结合资产重要性、暴露面和漏洞严重程度等指标确定漏洞处置的优先级。
3、采取行动:根据漏洞的优先级对漏洞进行修复,及时采取降低风险等级的手段。
4、重新评估:验证漏洞是否修复以及防措施的有效性。
5、优化改进:对处置流程的总结和回溯,整理在本次流程中出现的问题并给出解决方法,形成更完善的漏洞处置流程。
在此框架基础上,接下来我们逐一展开每个阶段的实践思路。
二、发现漏洞
漏洞的发现是漏洞管理的根基,发现漏洞的途径可分为外部发现和内部发现。
外部识别漏洞
外部发现漏洞主要依靠漏洞情报和安全事件收集。
在漏洞情报的收集过程中,我们需深入多个数据源进行细致挖掘与实时信息采集,对漏洞实施全面而多维度的属性标定,以确保所获取的漏洞信息既全面又具备高度的时效性,数据源大体主要通过以下几种渠道去获取
1.供应商、厂商
供应商通常会发布关于其产品漏洞的官方信息,包括漏洞公告、修复方案等。根据供应商和厂商的安全通告或安全补丁,我们能更有效、更快速地进行漏洞的修复工作。供应商的信息具有较高的权威性和准确性,是了解漏洞影响范围和修复方案的重要渠道。
2.微信、推特、安全论坛、博客等社交平台
一些安全机构和人员会在微信、推特等社交平台发布关于漏洞的研究文章,分析漏洞的成因、影响及利用方式。对于漏洞的POC/EXP等信息,安全团队可以通过代码审计等手段进行分析,以了解漏洞的具体利用方式和修复建议。
3.Github、Gitee 等代码托管平台
众多安全研究人员和开发者会在代码托管平台发布POC和EXP,以帮助安全行业验证漏洞修复程序或确定漏洞的影响和范围。
4.第三方安全厂商/团队情报源
第三方安全厂商通常拥有专业的安全团队和丰富的安全经验,能够提供较为全面和准确的漏洞信息以及修复方案。部分安全厂商可能出于商业考虑,对漏洞信息的披露有所保留或延迟。此外,不同安全厂商之间的信息可能存在差异和冲突,需要安全团队进行综合分析和判断。
为了尽可能获取全面且准确的漏洞信息,需通过多个情报源获取信息,可通过脚本批量获取。对比CMDB/HIDS中的内部组件资产,筛选可能受影响的漏洞。
除了发掘外部漏洞情报之外,行业推送的安全态势感知资讯和公共安全事件也是发现最新漏洞的有效途径。
内部识别漏洞
内部识别漏洞主要围绕业务的生命周期开展
上线前
- AST应用测试:通过黑/白/灰盒的方式,包含代码分析、交互式扫描、漏洞扫描。分析应用程序的反应,从而确定应用是否易受攻击
- 人工渗透测试:小版本针对变更接口、大版本对整套业务系统进行渗透测试
- 主机漏洞安全检测:通过HIDS排查系统主机
上线后
- 季度扫描:每季度对全网开展主机和Web应用漏洞的分布式扫描,识别高危及以上等级的漏洞。此类扫描影响业务的风险较大,在开展前需有较多注意事项,例如扫描时间窗口、扫描器地址加白、关键业务系统加白、提前通知业务方等等。
- 互联网全量监测:监测互联网暴露高危端口、高危服务、资产漏洞和代码泄漏风险。
- 安全设备告警:企业一般会部署安全设备,如常见的IIPS能在流量上还原攻击行为,以检出是否有被利用的漏洞。
- 安全众测:SRC作为企业安全团队对外宣传、接受漏洞的官方渠道,既能通过接收到的漏洞优化安全防护体系,又能通过不断的运营提升行业影响力。
- 内部渗透测试:定期开展内部渗透测试工作,采取1次内网、1次公网替换进行测试。
- 专题攻防演练:每年开展1-2次,攻击方可为内部和外购攻击服务相结合。专题攻防演练能推动企业建立完善的安全策略和流程,如勒索专项演练活动推动了《勒索病毒应急预案手册》的落地。
三、漏洞的分析与研判
经过前一步的各类途径,安全团队已经能够获取到相对全面的漏洞信息,紧接着就应该对这些漏洞进行与企业资产进行匹配,过滤掉大部分无效漏洞。
无论是漏洞的发现,还是验证漏洞的修复情况,都需要确认漏洞的资产归属问题。所以资产的管理是漏洞管理的另一个基础。
- 基于资产(操作系统/组件/应用)进行漏洞定位,可以提高检测效率。
- 基于资产(资产重要等级/网络区域)进行漏洞修复,可提高关键系统和业务的漏洞修复率。
- 基于资产(部门/系统负责人/安全负责人)进行漏洞修复的推动,能提供全局视图,发现修复过程中的潜在问题,提高修复时效。
由此可见,一个成熟的漏洞资产管理系统能提供有力数据支撑。同时需要明确的是,安全所需的资产管理不能只依靠运维人员的资产台账或企业的CMDB,需要综合多种手段才能取得较好的效果。因此,需要建立一个安全视角的资产管理系统/模块。在数据源上支持IT资产台账导入、CMDB数据同步、hids数据同步、终端数据同步等等;也支持扫描器、fofa等主动资产探测来自动化发现内外网、云上资产。
目前市场上也有较多厂商提供了资产风险管理(漏洞管理)的方案,但归根结底主要还是起到一个整合的作用,企业安全建设初期,还未建设资产管理平台时,亦可根据不用的使用场景,利用现有系统实现运转起来。例如识别到漏洞后,通过HIDS抓取组件版本未在安全版本范围内的机器,再通过CMDB关联受影响机器的运维负责人,通过JIRA等工单管理平台运转跟进闭环。只要能做到闭环,还有针对每条漏洞的跟踪和总体漏洞的修复情况汇总,工具和路径不拘一格。
在过滤完企业内存在资产的漏洞后,需要对漏洞信息的进一步进行全面的处理。若漏洞有CVSS评分,通常直接关注7.0评分以上的,同时还需要进一步结合以下几个维度进行综合评估以及信息补充:
- 漏洞的可利用难易程度:有无公开的POC、触发要求、权限要求、用户交互程度等
- 漏洞利用后的危害程度:漏洞被利用造成的直接危害,如对机密性、完整性、可用性方面的影响
- 补丁情况和漏洞来源的可信度,必要时需要对漏洞进行验证
- 建议的漏洞修复方案和环节措施,漏洞修复成本以及对业务的影响
补充好漏洞的综合信息以后,还需要进行内部的漏洞风险分类定级。做好漏洞分级分类,就可以优先关注和重点修复高危级别的或者远程利用的漏洞。很多扫描器和安全公司喜欢把低危漏洞吹成高危漏洞,企业应当配备懂漏洞原理并根据条件进行漏洞验证的安全人员。
漏洞风险定级的方法应在单位级的漏洞管理办法中明确定义,结合漏洞本身和资产情况对漏洞风险进行综合评估。每个漏洞应当根据技术维度、业务维度进行综合评估。漏洞的技术维度定性主要包含用户交互、攻击媒介和前置的利用条件,可参考各大SRC平台。
业务维度主要包含业务价值、受影响资产类别、合规/法律影响,扩散能力等因素考核。
同时还要结合一些其他因素,包括漏洞的防范情况,如某漏洞从互联网尝试利用时,若安全设备可100%检测并阻断攻击,则漏洞的风险值可适当降低1-2个风险级别;同时还有外部因素,如监管通报或重保敏感时期出现的漏洞,可适当提升漏洞的风险级别。
参考CVSS 将技术风险评分(基于用户交互、攻击媒介、前置条件等计算出的,类似 CVSS Base Score)作为基础,再加上“业务影响乘数”(由业务风险评分映射得来),得到一个整体风险值。并最终转化成分为低危、中危、高危、严重四个风险等级。
不同风险等级的漏洞采取不同的扣分标准、豁免考核时长。
四、漏洞修复的跟进闭环
漏洞进行研判以后需要通报修复的系统负责人,对漏洞进行修复,及时采取降低风险等级的手段。主要有以下实践点:
1、通过工单的形式高效流转:
工单应关联系统负责人,跟踪进度。工单中应提供排查措施、缓解措施、主机资产等信息供系统负责人排查和修复。工单可使用漏洞管理平台进行闭环,不过个人认为最好与IT使用的流程一致,修漏洞是IT或者业务开发部门的事情,要与他们的流程整合。如通过企业内部的ITSM平台,嵌入进去安全工单流,方便用户平时工作内容都在一个平台搞定。业务方在修复漏洞之后,去ITSM关单。如果未修复就reopen。
2、将漏洞修复纳入绩效度量考核:
指定漏洞度量标准,每个漏洞工单按照漏洞风险等级对发现的漏洞进行扣分基数计算,在豁免周期内的不予扣分,修复时间超过一个周期以后,进行阶梯式增加扣分分值。
3、设立安全漏洞例外管理机制:
应当提供例外流程供系统负责人提交并经由安全团队、双方团队领导进行审批。主要适用如平台类漏洞,关联上下游系统较多、变更复杂度高、漏洞修复时间长等因素,可调整漏洞的考核系数;登记通过例外流程的漏洞信息,定期进行复核。
4、结合大模型、SOAR自动化流转:
漏洞的整个生命周期应尽可能减少安全人员进行重复的工作,如漏洞的分类分级通过大模型结合漏洞管理办法实现;后续漏洞工单的创建、复核、关闭可通过自动化结合扫描器实现;
5、漏洞修复督办:
漏洞修复的过程中,仅靠ITSM的提醒容易造成负责人未及时关注,进而造成漏洞修复超时的情况。应当在关键节点补充漏洞修复的督办通知。关键的时间节点包含:漏洞下发时、漏洞即将到期时、漏洞超时;并在关键节点抄送团队领导,定期跟进。
6、漏洞度量指标展示:
通过低代码或可视化BI报表平台,供安全团队、各系统负责人及时查看漏洞的修复及度量数据
7、合理借用外部安全事件和监管压力:
以重大安全事件或监管压力为契机,提高漏洞修复在整个部门中的工作优先级。多次现象印证了,重保期间以行业要求推动的季度扫描修复工作进展比平时高效很多。
五、漏洞流程的持续优化改进
漏洞管理并非一次性工程,而是一个持续演进的周期。流程的优化改进,核心在于对每一次漏洞处置过程中的“关键问题”进行回溯与总结,推动管理策略和技术工具的逐步完善。
优化改进是保障流程不断迭代的核心部分,它不一定要立刻做到流程重构,但定期总结、收集痛点、形成机制是非常现实且有效的做法,落地的关键节点如下:
1、建立定期复盘机制
每季度开展漏洞闭环处置流程复盘会议,重点回顾:
- 漏洞处置中多次超时或反复 reopen 的案例
- 审批流程冗长或信息不全导致的修复延迟
- 某类漏洞持续反复出现(如弱口令、目录遍历)
- 安全工单在业务侧执行遇到的典型阻力(如评估成本过高、系统依赖复杂等)
复盘建议以数据和典型案例为基础,形成复盘报告,并制定针对性的优化措施。
2、建立漏洞处置知识库与修复模板
对高频漏洞(如 Apache、Tomcat、Struts 等常见组件)和业务常用框架中的已知漏洞,总结典型的修复路径,形成修复模板或脚本库,供系统负责人参考,结合大模型生成漏洞修复问答助手。
同时,内部安全团队可建立团队内部的知识库,记录如下内容:
- 漏洞识别、验证、绕过思路
- 工单处置过程中的修复经验
- 各业务系统的修复难点/依赖问题
- 成功推动跨部门协作的手段和技巧
3、漏洞修复行为分析与指标回溯
结合 ITSM 工单平台、漏洞管理平台中的数据,定期统计以下指标,作为优化依据:
| 指标项 | 意义 |
|---|---|
| 漏洞修复平均耗时 | 衡量整体效率 |
| 超时修复漏洞比例 | 揭示流程瓶颈 |
| 工单响应及时率 | 衡量系统负责人的效率 |
| 漏洞修复准确率:需整改漏洞/(需整改漏洞+无需整改漏洞+误报漏洞) | 提高漏洞发现的准确率 |
| reopen 比例 | 暗示复核机制缺陷或修复质量问题 |
| 例外处理占比 | 监控“豁免是否被滥用”问题 |
| 各部门/系统的平均闭环时间 | 用于横向比较优化效果 |
| 月度漏洞处置总量趋势 | 用于资源匹配和人员评估 |
| 漏洞风险等级结构变化 | 判断风险收敛情况 |
通过度量指标直接或者间接的反映问题,服务于漏洞管理的目标。通过分析漏洞后面的根源,从根源上解决问题。
4、持续改进流程与工具集成
在复盘中识别到流程阻塞点后,应推动流程和工具的微调与优化,例如:
- 优化工单模板字段,避免信息不全导致沟通成本高
- 将漏洞识别结果更精准地自动匹配资产信息,减少人工确认环节
- 工单平台增加“回访”机制,收集业务方对流程的反馈
随着 SOAR、大模型等工具能力增强,可持续引入辅助工具来进一步减少人工负担。
六、写在最后
在很多企业的现实场景中,漏洞管理往往依赖安全运营人员的个人能力与责任心:漏洞靠人盯、工单靠人催、修复靠人谈……但这种方式长期来看既不可持续,也难以复制。漏洞管理是一项高度交叉、持续演进的系统工程,它不仅依赖安全团队的专业能力,更离不开组织内部资产透明度、跨部门协作机制和流程闭环能力的支撑。
个人认为,漏洞管理应该尽量摆脱“人治”思维,走向“机制驱动、流程闭环”:
- 用流程管控替代个体经验,将识别、分级、通报、复核、例外、督办等步骤制度化;
- 用数据度量替代口头沟通,通过指标回溯与可视化展现,推动跨部门联动;
- 用平台支撑替代人工堆砌,借助 ITSM、SOAR、大模型等工具,减少重复性操作;
- 用知识库传承替代反复培训,将修复经验沉淀成模板和文档,赋能业务侧自助完成闭环。
只有当漏洞管理像生产线一样“可复制、可跟踪、可优化”,我们才算真正建立了稳健的防线。未来,我们希望把更多安全运营能力沉淀进平台和流程中,让“管理”本身成为一种安全能力。