由2021黑帽峰会谈一谈资产漏洞全生命周期管理
安全行业的全球顶级峰会Black Hat大会,于上周在美国拉斯维加斯如约召开。知道创宇一如既往对本届Black Hat大会保持了高度的关注。通过Black Hat官网上公开的安全技术议题演讲日程以及对每个议题的内容的研究,我们发现今年Black Hat大会有多达十数个主题演讲和漏洞有关,由此我们大胆推测,漏洞利用依然是黑客所热衷的攻击手段。
这里贴出部分有关漏洞的演讲题目及链接:
A New Class of DNS Vulnerabilities Affecting Many DNS-as-Service Platforms
https://www.blackhat.com/us-21/briefings/schedule/#a-new-class-of-dns-vulnerabilities-affecting-many-dns-as-service-platforms-23563
Breaking the Isolation: Cross-Account AWS Vulnerabilities
https://www.blackhat.com/us-21/briefings/schedule/#breaking-the-isolation-cross-account-aws-vulnerabilities-22945
Mobius Band: Explore Hyper-V Attack Interface through Vulnerabilities Internals
https://www.blackhat.com/us-21/briefings/schedule/#mobius-band-explore-hyper-v-attack-interface-through-vulnerabilities-internals-23044
ProxyLogon is Just the Tip of the Iceberg: A New Attack Surface on Microsoft Exchange Server!
https://www.blackhat.com/us-21/briefings/schedule/#proxylogon-is-just-the-tip-of-the-iceberg-a-new-attack-surface-on-microsoft-exchange-server-23442
A Hole in the Tube: Uncovering Vulnerabilities in Critical Infrastructure of Healthcare Facilities
https://www.blackhat.com/us-21/briefings/schedule/#a-hole-in-the-tube-uncovering-vulnerabilities-in-critical-infrastructure-of-healthcare-facilities-23546
而在国内,7月12日工业和信息化部、国家互联网信息办公室、公安部三部门联合印发《网络产品安全漏洞管理规定》,为网络产品提供者,网络运营者,从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人指明了安全漏洞管理合规方向。规定指出对于网络运营者来说,发现或者获知其网络、信息系统及其设备存在安全漏洞后,应立即采取措施,及时对安全漏洞进行验证并完成修补。同时该规定还界定了相关政府部门的监管职责,工信部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理,公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。
众所周知,资产的脆弱性给了黑客和网络犯罪分子可乘之机,而安全漏洞在资产脆弱性评估中的重要地位不言而喻。强化对资产的安全漏洞的全生命周期管理,对于减少资产的风险暴露面,保护核心资产和关键数据的安全至关重要。通常来说,资产安全漏洞的全生命周期管理分为三个重要阶段。阶段一:漏洞发现,该阶段需要积极进行漏洞挖掘和验证工作,及时获取最新的漏洞威胁情报;阶段二:漏洞跟踪,就是要分析判断漏洞对资产的影响范围、影响大小,以及制定漏洞处置的策略;阶段三:漏洞处置,根据策略执行漏洞响应和处置措施,确保措施执行有效、到位。
在资产安全漏洞全生命周期管理上,用户往往面临四大困境:
1、安全漏洞的管理需要以资产台账为基础,而网络空间资产存在不直观、变化快、种类多的特性,使得手工统计资产几乎是不可能完成的任务,急需更高效、自动化的工具和手段。
2、资产种类多样,受到的漏洞的影响不尽相同,如何便捷的对资产的安全风险进行评估,对资产安全风险了然于胸。
3、当1 DAY漏洞爆发,如何能快速准确定位存在漏洞的资产,并及时进行修复,消除安全风险。
4、如何获取到高质量的漏洞威胁情报,第一时间了解最新爆发的漏洞信息。
知道创宇依靠多年在网络空间资产测绘以及漏洞挖掘验证和大数据情报分析方面的积累,自主研发网络空间资产安全管理系统ZoomEye Pro,集合全面资产发现梳理、精准资产多维信息提供、重要漏洞影响评估和快速定位、日常安全管理及报表输出等功能为一体。能够有效解决资产安全漏洞全生命周期管理上的困境,满足安全漏洞管理合规要求。
以本届Black Hat大会上介绍的漏洞CVE-2021-34473 Microsoft Exchange远程代码执行漏洞为例,针对该漏洞的全生命周期管理ZoomEye Pro是如何做的呢?首先在该漏洞刚被公开的时候,就第一时间被集成到了知道创宇的漏洞情报库中,ZoomEye Pro在联网状态下可实现分钟级的情报更新。接下来,基于ZoomEye Pro长期维护的网络资产数据及多维度的属性信息,可以将可能受到该漏洞影响的资产进行自动化筛选和定位,根据漏洞处置建议,用户可以进行及时的响应如漏洞修复。知道创宇在漏洞细节公开后的24小时内提供了验证程序(POC),用户可以下发1 DAY漏洞检测任务,即可验证该漏洞是否已修复,至此完成了该漏洞全生命周期管理的闭环。
在资产安全漏洞全生命周期管理方面,知道创宇网络空间资产安全管理系统ZoomEye Pro具备四大核心能力优势:
1、详实多维的资产信息提供,为用户全面构建资产数据库
ZoomEye Pro内置了极为丰富的资产指纹库,这得益于知道创宇多年来在网络空间资产测绘领域的技术积累和数据积累。知道创宇早在2010年便启动了网络空间资产测绘项目,并于2013年正式上线了网络空间搜索引擎ZoomEye,在国内网络空间测绘领域属于先行者。近日,ZoomEye入围了2021年top14的开源网络情报(OSINT)工具榜单,ZoomEye是入选榜单的唯一一家中国公司的产品。目前,ZoomEye已积累全球资产指纹量达200亿+,成为网络空间资产测绘领域的标杆。
ZoomEye Pro集成了ZoomEye对于互联网资产的指纹信息的丰富性,ZoomEye Pro的资产指纹信息可以多维度覆盖到:设备类型、操作系统、端口、服务、组件、组件版本号、响应体,Web指纹信息可以覆盖Web应用、Web容器、Web框架、防护信息、数据库、开发语言等维度,足以为用户进行资产信息的收集和维护提供详实的数据基础,并为精准识别资产和新爆发漏洞应急响应打下坚实的基础。
2、全面精准的资产发现,助力用户摸清家底,建立资产台账
ZoomEye Pro以主动探测方式和被动探测方式相结合进行资产的全面发现和梳理,且可对海量资产进行自动化的资产分类、自主添加资产字段,探测结果及维护信息可直接导出报表。对比人工的资产统计,实现了网络空间资产统计的自动化,同时消除了人为因素会造成的统计偏差和谬误。其专业性探测方式,贴合网络资产的特殊性需求,比人工统计更准确,更高效。能够有效帮助消除存在于企业中的暗资产(即未被管理者发现的无归属资产),为企业用户的资产安全管理工作奠定坚实的基础。
3、强大的漏洞情报能力,高效驱动资产漏洞影响面评估
知道创宇404安全实验室长期致力于漏洞挖掘和验证工作,并且知道创宇创办了民间最大的通用漏洞数据库Seebug,在漏洞威胁情报领域具有多年深厚的积累。同时,作为CNNVD技术支撑单位、CNVD技术组成员单位和CICSVD国家工业信息安全漏洞库技术支持组成员单位,知道创宇对于漏洞的扫描检测技术也是被业界公认的。在漏洞威胁情报的驱动下,以及结合独特的POC验证技术的自研PocSuite3引擎,ZoomEye Pro可自动将可能受到漏洞影响的资产进行标记,对资产漏洞影响面和安全风险进行全面评估。
4、1 DAY漏洞资产快速定位和自动化通报,构建漏洞检测响应的完整闭环
当1 DAY漏洞爆发时,用户可以一键下发漏洞检测任务,能够快速定位出受该漏洞影响的资产。进一步的,ZoomEye Pro系统可以直接与现有的组织架构与人员信息进行对接,实现了资产归属的自动关联,自动为资产分配对应负责人。这样,ZoomEye Pro系统就可以直接将资产受到漏洞影响的信息,以及如何进行处置的指导信息发送给对应负责人,负责人可以直接根据这些信息进行操作,完成漏洞修复或者其他安全加固操作。
知道创宇网络空间资产安全管理系统ZoomEye Pro可应用于两类典型场景。
场景一:用户网络资产摸排及漏洞风险自查和处置
现在流行的各种攻防演练通常从资产排查入手,谁发现的资产多、发现的快成为攻防对抗的关键。政企用户只有先做好网络资产家底的摸排,才好进一步做好入侵防御措施。
ZoomEye Pro可以帮助用户在大型攻防演练、重保前期对企业网络资产进行自动化快速梳理,对资产漏洞风险进行自查及处置。同时,也可以用于日常对网络资产进行综合安全管理。
场景二:监管单位进行区域网络空间测绘和远程漏洞监测
有关监管单位对辖区内的网络资产有空间测绘需求,并且对安全漏洞有监督管理需求。
ZoomEye Pro具备对海量网络空间资产的高性能快速探测能力,并且支持以地理位置为维度进行探测,可对某特定区域进行网络资产探测。同时,也可以远程检测区域网络资产是否存在漏洞,及时向相关单位通报漏洞风险并督促进行漏洞修复,监督漏洞修复的结果。
目前,知道创宇网络空间资产安全管理系统ZoomEye Pro已在政府、金融、能源、大中型企业等用户得到了成功实施和应用,持续为用户网络空间资产安全保驾护航。