基于风险的管理：漏洞管理破局之道

一、背景

1.1 漏洞及威胁的发展趋势

物联网、云服务与移动设备等新设备与应用不断增加，不可避免伴随众多漏洞，机构的攻击面不断增加，网络安全威胁日益严重。

安全公司Skybox Security发布的《2022年漏洞和威胁趋势报告》显示，过去十年间，安全漏洞数量增长了三倍，创历史新高。其中，2021年公布的新漏洞共有20175个，比2020年增长近10%，比2017年增长了37%(见图1)。

　　2017年-2021年发布的漏洞数量(CVE)

　　传统中型企业整个生态系统平均面对20万个漏洞，其安全分析师常常陷入不知道从哪儿开始的窘境。大型企业的IT安全漏洞数量可达到数百万的数量级。漏洞数量在不断积累，而漏洞的平均修复时间却在增加，根据WhiteHat Security2021年发布的报告《AppSec Stats Flash》，修复关键网络安全漏洞所需的平均时间已经从2021年4月的197天增加到了2021年5月的205天。

旧的漏洞没有修复，新的漏洞不断涌现，巨大而快速的漏洞数量积累，使企业背负了高额的漏洞负债。

1.2 传统漏洞管理发展现状及问题

1.2.1 传统漏洞管理发展现状

回顾传统漏洞管理的发展历程，企业从没有安全扫描手段，补丁随意管理，到实现了自动化漏洞扫描，开展定期评估;从无法发现安全隐患，到能够发现隐患并采用固定的评估方式进行漏洞和安全隐患评估。

传统漏洞管理已经从“问题即解决”的管理模式进入到基于合规的“定期评估”的结构化管理模式，并形成了相对固定的套路。进一步说，是将漏洞管理分为“识别-评估-处理-报告”四个阶段。在漏洞评估阶段，采用漏洞扫描工具发现漏洞，漏洞信息基本源自公共漏洞库;在漏洞评估阶段，多数做法是直接沿用通用漏洞评估系统(Common Vulnerability Scoring System，CVSS)评估标准，按照通用评估标准将漏洞划分为高、中、低危;在漏洞处理阶段，按照高、中、低的顺序进行漏洞修复;在漏洞修复完成后形成漏洞修复和评估报告。

1.2.1 传统漏洞管理现存问题

漏洞修复的工作量日益庞大，企业面临的网络威胁千变万化，时刻对企业安全产生威胁。这种情况下，传统的漏洞管理模式暴露出了明显的问题。

传统漏洞管理将重点放在高CVSS的严重漏洞上(以漏洞为中心的模式)，而CVSS的评估机制仅仅局限于漏洞本身的技术威胁，与企业受威胁的实际情况脱节。即无论其评估有多么严重，对于企业来讲，如果没有暴露出来或者不能被攻击者利用，都是极其安全的。反之，即使是中低风险的漏洞，如果很容易被攻击者接触并被利用，那么该漏洞都是极其危险的。

企业一边投入大量资源进行漏洞修复，一边却在为“不存在的威胁”买单，而真正的威胁却时刻暴露给攻击者，给企业安全带来隐患。漏洞管理工作陷入困境，难以破解。

二、漏洞管理成熟度模型

漏洞管理难题之所以陷入困境，是因为我们没有站在更高的角度看待问题，不了解企业漏洞管理所处的阶段，不清楚未来的发展方向。

早在2016年，著名网络安全公司CoreSecurity提出了漏洞管理的成熟度模型(图2)。这个模型在业内得到了广泛的认可，在这个模型中，企业漏洞管理是一个从盲目走向成熟的过程。模型像一张地图，清晰展示了企业安全漏洞管理的发展路径，也为我们破解当前漏洞管理难题提供了指引。

从大的分类来看，漏洞管理成熟度又可以分为三个阶段：无意识的初级阶段、意识觉醒的中级阶段、基于商业风险及环境的高级阶段。更细致的，漏洞管理可分为六个层级(L0～L5)。

　　漏洞管理成熟度模型[1]

　　Level 0 无管理阶段(NON-EXISTENT)。该阶段没有安全扫描，缺乏自动化手段，漏洞补丁管理随意，依靠人工进行安全设置和评估，这个阶段不存在漏洞管理概念。

Level 1扫描阶段(SCANNING)。该阶段主要是以问题为导向，开展了漏洞扫描，发现了安全隐患和漏洞，但是不知道从哪里开始补救。生成了大量扫描数据，但是不知道如何使用，企业缺乏对扫描数据利用的指导。

Level 2评估和合规阶段(ASSESSMENT & COMPLIANCE)。该阶段开展了有计划化的安全评估，从第一个阶段的“问题即解决”的管理模式跃迁到第二个阶段“定期评估”的结构化管理模式是一个巨大的转变。企业可以使用合规性要求作为框架，围绕该框架构建漏洞管理计划。

Level3 分析和优先顺序阶段(ANALYSIS & PRIORITIZATION)。一旦进入该阶段，漏洞处理的优先顺序就不是基于合规，而是基于风险，一旦达到这一级别，优先顺序就不再基于合规标准，而是由风险决定。然而，尽管这一级别包含了基于风险的优先级划分，但它更关注局部而非整体，它根据攻击者是否可以在某一个攻击步骤中利用漏洞获得访问权限来划分优先级。

Level4 攻击管理阶段(ATTACK MANAGEMENT)。这个阶段更关注整体，不再将漏洞和修复视为独立的实体，而是视为一个完整的生态系统。攻击管理使用扫描和渗透测试数据来进行攻击识别，关注威胁参与者如何在系统中移动，并利用漏洞访问业务关键资产。该阶段通过对这些关键资产的风险分析来确定漏洞修复的优先顺序。

Level5 商业风险管理阶段(Business-Risk Management)。这是所有组织都应该努力达到的水平，依据商业风险开展漏洞和风险管理。该阶段具备全面发展的管理计划，考虑企业的整体环境，分析漏洞扫描和渗透测试的数据，检查指标、确定趋势，使用特定的流程和补救技术。

通过与漏洞成熟度模型的对比，不难发现，国内大多数企业还处于漏洞成熟度发展的初、中级阶段(即L0-L2阶段)，而当前面临的种种问题，正是这个阶段必然遇到的问题。

发展中的问题要靠发展来解决。要想解决当前问题，漏洞管理就要尽快迈入L3阶段(分析和优先顺序阶段)，通过建立更科学、更成熟的漏洞管理模式，解决低层次管理中遇到的问题。按照漏洞管理成熟度模型的描述，L3阶段的核心思想是基于风险进行漏洞的优先级排序，再按照漏洞的优先顺序进行漏洞修复。从而将企业的关注点放在最有威胁的漏洞上，极大降低漏洞管理人员的工作量。

三、基于风险的漏洞管理(RBVM)

3.1 RBVM的诞生和内涵

近年来，一种新的漏洞管理方法兴起，这就是基于风险的漏洞管理(RBVM)，这种思想与漏洞管理成熟度模型中L3阶段的管理思想不谋而合，也为企业进入L3阶段提供了科学的方法。

RBVM的内涵是根据漏洞给组织带来的风险，来检测、修复和控制漏洞的过程。通过自动、持续地识别安全弱点，全面了解攻击面，从而根据风险严重性和业务影响确定补救的优先级。借助基于风险的漏洞管理计划，安全团队可以有效管理风险，避免浪费时间修复对组织威胁很小或没有威胁的漏洞。

Gartner在2020年“安全与风险管理峰会”上，将RBVM提上2020年十大安全项目，Gartner认为应该采用基于风险的方法来管理补丁程序，重点关注具有较高风险的系统和漏洞。Gartner认为“2022年，采用基于风险的漏洞管理方法，组织将减少80%的入侵”。

3.2 RBVM聚焦真正的风险

越来越多的漏洞被推高到重要的高评级，给企业带来了一个问题，即有太多的漏洞需要立即修复，使企业分散精力和资源，从而使得问题变得更糟。所以，适当地确定优先级或降低优先级，这是漏洞管理中的一项关键需求。RBVM解决了这一需求，它提供了一种清晰的方式来解释需要解决的漏洞总数、最迫切需要解决的风险，它可以以更广阔的视野审视业务风险，聚焦真正的风险，关注最重要的漏洞和资产，提升安全防御的效率和精准度。

全面评估风险。评估企业业务风险和IT环境，全面了解整个攻击面，消除风险管理盲区，并根据风险确定要优先考虑哪些漏洞以进行补救。

提升管理精准度。不在被利用可能性较低的漏洞上浪费时间，以最少的努力减少最大数量的风险，聚焦真正的业务风险，提升安全管理的精准度。

建立动态管理模式。不断发现和评估与攻击面上所有的业务关键资产相关的风险，对漏洞、威胁和资产关键数据开展动态分析，建立动态漏洞管理模式。

提升管理效率。给组织提供了一种理性的漏洞管理方法，可以识别哪些行动可以推迟或完全忽略，使得组织能将精力投入到最重要的事情上，以提升管理效率。

3.3 RBVM与传统方法的区别

传统漏洞管理方法并不是为应对现代攻击方法和随之而来的日益增多的威胁而设计的，它还局限于漏洞自身的风险，从而使安全团队浪费大量时间寻找和处理和业务并不相关的漏洞，却忽略了许多对业务构成最大风险的最关键的漏洞。

传统的漏洞管理是基于IT合规的，目标是满足合规要求，然而合规仅仅是最基本的要求，仅满足合规的漏洞管理存在诸多风险。这种管理方式往往只关注传统IT资产，对于漏洞的认识是静态的，对漏洞的分类参照CVSS进行纯技术层面的评价，不考虑漏洞与业务的关系。

传统漏洞管理和基于风险的漏洞管理方法对比[2]

　　对比传统的漏洞管理方式RBVM具有以下特点：

(1)RBVM是面向风险的，其管理目标在于最大限度的降低风险。(2)RBVM更关注整个攻击面，它认为漏洞的风险是在随时变化的。(3)RBVM更关注业务环境，需要结合业务和攻击面对漏洞进行等级评定。

3.4 攻击面管理(ASM)的重要支撑

攻击面管理(ASM)指的是以攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的一种资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。自从2018年 Gartner首次提出攻击面管理的概念以来，ASM的理念迅速被整个安全行业接受。RBVM与ASM关系紧密，不可分割，RBVM是ASM的的重要支撑，RBVM的发展客观推动ASM理念的落地实施，而ASM理念被广泛的认可又带动了RBVM的发展。

(1)ASM与RBVM的管理理念具有统一的管理对象。ASM追求的攻击面管理是指未经授权即能访问和利用企业数字资产的所有潜在入口的总和，包括未经授权的可访问的硬件、软件、云资产和数据资产等;同样也包括人员管理、技术管理、业务流程存在的安全漏洞和缺陷等，即存在可能会被攻击者利用并造成损失的潜在风险。RBVM也不是针对某一部分IT资产，而是企业或组织内部所有管辖的IT资产。因此，二者具有统一的管理对象。

(2)RBVM的核心技术是ASM的重要技术支撑。RBVM的核心技术是漏洞优先级排序(Vulnerability Prioritization Technology ，VPT)。Gartner在《Hype Cycle for Security Operations，2021》中共有5个相关技术点：外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)、漏洞评估(VA)、弱点/漏洞优先级技术(VPT)。可见VPT技术是ASM的关键支撑技术，RBVM的应用带动VPT技术的发展，而VPT技术又推动ASM的发展。

(3)RBVM是实施ASM的核心流程之一。ASM 由四个核心流程组成：资产发现、分类和优先级排序、修复以及监控。其中漏洞优先级排序即RBVM是ASM的关键实施步骤。

3.5 RBVM的实施路径

相比传统的漏洞管理方法，基于风险的漏洞管理策略是更全面的解决方案。如图4所示，主要分为五个步骤：发现(Discover)、评估(Assess)、优先级排序(Prioritize)、修复(Remediate)、度量(Measure)，每一个步骤使用一组特定的工具和技术。

　　基于风险的漏洞管理生命周期[3]

　　3.5.1 资产发现(Discover)

(1)识别企业的业务状况。通过识别企业的业务状况来确定服务的关键性和应用程序的优先级。同时，还要建立、评估现有系统的安全性，选择合适的IT策略和流程。

(2)部署合适的网络扫描设备，编制实施策略。考虑到IT环境的复杂、多样性(比如局域网、公有云、OT、容器环境)，应注意选择合适的扫描设备(例如，在局域网络中使用的漏洞扫描设备可能无法在云环境使用)。同时，因为基于风险的漏洞管理策略是一个组织性工作，而不是IT部门一个部门的工作，因此在编制实施策略时，应注意将企业的全部相关部门都纳入进去。

(3)总揽全局。应尽量全面的将整个攻击涉及到的所有资产全部纳入扫描范围，扫描策略应覆盖到所有子网。

3.5.2风险评估(Assess)

这一步的核心是开展全面风险评估，就是要对整个攻击面的漏洞进行评估，包括云、OT和容器环境中的任何资产(包括瞬时资产)，同时应注意3方面问题：

(1)不能仅仅满足于行业监管的合规要求，因为通过行业监管的审核并不意味着企业就很安全了，评估的标准是安全，而不是合规。

(2)评估计划中应包括整个攻击面，同时应该有足够的评估频度，因为攻击者会时刻扫描我们的网络环境，一旦发现薄弱环节，马上开始攻击。

(3)时刻记住威胁是动态的、不断变化的，因此所有的策略、情报、计划都应该是动态适应的。

3.5.3确定优先顺序(Prioritize)

(1)对漏洞和资产排序

传统的漏洞管理方法是使用通用漏洞评分系统(CVSS)来优先修复哪些漏洞，这种方式的最大问题是没有考虑到对业务的风险。此外，大多数企业只使用CVSS的基础得分，而不管威胁环境的变化如何。在基于风险的漏洞管理方式中，在关注漏洞的同时要充分了解受关键漏洞影响的资产，因为，一旦在最重要的IT资产上发现最高风险的漏洞，那么它必然是最高优先级。

(2)评估风险

要有效地对风险最大的漏洞进行优先排序，就需要了解每个漏洞的完整上下文，可以在CVSS标准使用之前结合其他因素，比如：威胁情报(攻击源、当前攻击者的活动情况、可疑的IP地址)、漏洞详情(漏洞持续时间、漏洞被利用的程度、威胁被发现的频率)等，有了每个漏洞的完整上下文，安全团队就能够专注于最重要的资产和漏洞。

以IBM的安全团队X-Force Red为例，X-Force Red要从每天发现的数十万个漏洞中找出哪些漏洞需要首先修复。图5是X-Force Red的漏洞排序示意图，其中最关键的漏洞处于金子塔的顶端，排名基于漏洞是否被武器化、暴露资产的价值和关键程度。