CSOP 干货直通| 微步樊兴华：漏洞情报助力高效漏洞运营

CSOP 2023 · 北京

2023年5月25日，网络安全运营与实战大会北京站顺利落幕，在本次大会上，来自各行业企业的网络安全资深专家进行了主题分享，我们将可供公开的部分主题分享整理成文，让您不在现场亦可身临其境。今天为您带来微步在线技术合伙人樊兴华的分享《漏洞情报助力高效漏洞运营》，全文如下。

漏洞是相对古老的一个话题，自从网络出现，因为漏洞导致的安全风险隐患就一直存在。随着最近几年网络安全和攻防技术的进一步发展，因为漏洞导致的危害愈发严重，给企业带来的风险也更大。作为厂商，我们在实操中看到了企业漏洞运营过程中的一些问题，我将进行如下四方面的分享，希望对大家有所帮助。

从数字看漏洞运营误区

我们首先看这张图。从这个图的趋势上，可以得出几个结论：

第一，每年爆出来新的漏洞总量在上涨。

第二，未被利用漏洞和已利用漏洞相比，数量更多，增速更快。每年新增的漏洞量肯定会越来越多，因此真正被黑客利用来进行攻击的漏洞占比会越来越低。

第三，被利用漏洞的比例基本每年都是10%以下。

我们再看下一张图：

一个漏洞从被披露到首次被观测到利用的时间已经越来越短，侧面反映出黑客的攻防研究能力在快速提升。实际上，从2022年、2023年我们自己实际观测到的数据来看，一个漏洞从披露到被利用的平均时间已经大大缩短，最多三五天时间就会被利用。危害性大的漏洞被利用时间甚至更短。

这张图是按照CVSS评分来做了被利用漏洞的数量分布，CVSS评分为中的数量占比最高，然后次之就是评分为高，再次之是严重的，最后是评分为低的。

这个图揭示了企业在漏洞修复上一个很大的误区。从漏洞实际修复层面来说，很多企业都在根据CVSS评分来决策一个漏洞要不要修，这就导致企业往往只关注严重的漏洞，对于绝大部分评分为中或者是低的漏洞可能会直接忽略。但实际上，评分严重的漏洞利用的比例反而没那么高。

事实上，黑客是否利用一个漏洞，不会依据漏洞的CVSS评分，而是根据漏洞的易用性、影响范围、利用成功后的权限大小等因素综合评估。但企业实际决策是根据CVSS评分来的，这就导致攻防双方评估漏洞价值的标准不对齐，结果就是企业并没有完全修复那些会真实带来入侵风险的漏洞。另外，在每年新增漏洞尤其是评分严重的漏洞里，真实被利用的漏洞占比也是非常低的，很多我们急着修复的漏洞实际危害可能并没有那么强。

漏洞运营过程中的痛点

第一，漏洞运营的告警多，但效率低下。每天我们会从各种渠道获得新漏洞的信息，有很多告警，但不知道告警的实际危害，以及如何合并重复告警；其次是修复的决策不够科学，评分严重的漏洞的利用条件可能十分苛刻，而同时一些更可能被利用的漏洞会被忽略。

第二，漏洞频发，但详细信息难以及时获取。漏洞本身可以说是网络攻击的“杀手锏”，尤其是0day，我们去缓解攻击和消除隐患，就要尽可能第一时间获取最新信息。但是最新的信息很难稳定获取。同时，我们在做内部修复的时候还需要PoC等细节去验证内部资产受影响的程度，安全团队也需要大量技术细节去说服业务方配合做后续修复和验证，在获取最新漏洞信息和技术细节上仍然存在挑战。

第三，即便第一时间获取到漏洞信息，也确认了严重性，到底怎么修？从后台统计数据来看，30%-40%的漏洞爆出来的时候还没有补丁，怎么办？同时，漏洞修复需要安全团队和企业业务团队进行长期拉扯，即便我们觉得这个事很严重，业务可能没有办法第一时间升级，所以需要给出缓解或加固方案。

痛点的解法：漏洞情报库

在讲解决方案之前，我想讲讲我们认为的漏洞运营价值和目的。从漏洞运营视角来说，我们重心应该落在安全风险上，因为漏洞运营本质和目的是要消除因为漏洞导致的安全风险，注意，这个地方的落脚点是安全风险而不是漏洞。这两个落脚点其实有很大差别。

如果落脚点是安全风险上的话，从我们修复漏洞的视角需要考虑的是某个新的漏洞是否真的会带来安全风险，然后再决策是修复还是忽略这个漏洞。

我们认为正确的落脚点是在安全风险上，但是很多时候我们看到企业修复漏洞的时候是落在漏洞上，没有反向思考自身业务是否真实存在因为不修复某个漏洞而引入了新的安全风险，这就造成了投入了资源但却没有意义。

所以我们认为，在修复之前应确认漏洞的真实严重性、漏洞带来的风险究竟多大，进一步思考整个漏洞运营流程怎么优化才能更高效。

很长时间内，漏洞运营依靠的数据是漏洞信息库，但是漏洞信息库大部分都是公开渠道抓取，信息质量低，数据量少，字段杂乱不统一，从现阶段整个网络安全发展趋势和红队攻防趋势来看，单纯依靠这些信息很难解决漏洞导致的安全风险。

相比漏洞信息库，漏洞运营更需要的可能是一个漏洞情报库，这个漏洞情报库需要具备几个特点，分别解决我们前面提到这三个方面的问题。

第一，及时性。一旦有新漏洞出来，或者在一些小圈子里面谣传，这个时候我们需要第一时间掌握这些信息。

第二，优先级。因为漏洞量很多，尤其一些大的集团资产量很大，做探测和漏扫的时候会有大量资产告警，怎么尽可能降低因为漏洞导致的安全风险？我们要有一个比较客观的评估维度，而不仅仅是单纯靠CVSS评分。

第三，可操作性。发现漏洞我们到底怎么修复，如果没有补丁我们怎么来修复、我们怎么来缓解这个风险，如果有了补丁我们怎么来升级、怎么来修复等等这些评估上的一些问题，也包括如何做临时防护、临时缓解措施等解决问题的手段。

这三个方面是给漏洞运营提效的三个关键点，我们也认为漏洞情报需要解决这三个问题。

我们会从漏洞生命周期、企业漏洞运营和漏洞情报生产三个视角看漏洞运营：

我们需要清楚在全流程里面每个阶段该做什么事情，首先在讨论和小范围流传的过程中，我们需要第一时间获取信息从而了解相关漏洞。在漏洞情报上我们会通过人工输出第一时间整理出社交媒体讨论信息，推送给客户了解关注。我们会通过我们的“漏洞奖励计划”去收集0day。掌握信息之后，漏洞运营要做后续评估、扫描内外网确定影响面、评估优先级，最后做对应的修复或者缓解。在这个过程中，漏洞情报需要不断跟踪漏洞当前被利用的态势和危害，不断更新漏洞的优先级，为漏洞运营中的修复提供更多的情报信息。

漏洞情报库如何解决及时性的问题？

为了及时获取漏洞信息，漏洞情需要关注一些公开社交媒体、情报社区以及其他安全厂商，同时会持续关注暗网上流传的EXP、信息工具等，通过建立一个强大的监控系统去获取这些信息，并依赖于AI算法进行自动化的处理，当前微步已经开始基于微调后的xGPT模型对数据做处理。通过上述过程，我们可以迅速获取到当前漏洞的相关信息，包括活跃度、涉及到的产品和厂商等。我们会对社交媒体信息源进行长期评估从而确定信息源的置信度，如果置信度较高，我们就会把相应信息推送企业和客户去参考。最终我们会让客户第一时间感知到最新漏洞情况。

此外，微步的X社区也可以很好地收集小圈子小范围流传的漏洞，微步的“漏洞奖励计划”也比较成功，收到了很多高价值漏洞，我们认为社区可能是应对0day的最有价值的方法之一。

漏洞情报库如何解决优先级的问题？

CVSS评分是基于漏洞的基本信息，包含产品、版本等等，但企业还需要去观察这个漏洞到底有没有被利用，被利用活跃情况、有无公开PoC等等。在获取这些信息上，威胁情报就发挥了重要作用，威胁情报是描述攻击者的数据，包括攻击者的资产、攻击的端口、攻击路径、时间，利用的漏洞Payload等等，这些信息对于我们去决策漏洞修复的优先级来说非常有价值。

通过把威胁情报大数据融入漏洞信息里，抽象成VPT引擎，结合漏洞情报数据跟威胁情报数据做VPT研判，包括漏洞的利用情况、攻击者、活跃度，有无PoC等等，最终跟企业内部资产的实际情况相结合。这两方面信息结合起来之后，就可以决策出最终的优先级。从消除安全风险角度来说，利用VPT做的修复决策的科学性更强，实际价值更明显。

漏洞情报库如何解决可操作性的问题？

这个需要依赖于是否具备一个专业的漏洞专家团队，根据VPT的评估结果对严重漏洞做专项分析，输出不会产生实际危害的无损PoC，甚至一些检测规则和自查工具，针对尚无补丁的漏洞出一些临时缓解方案。如果客户对技术分析比较关注，还需要输出一些原理层面的、相对比较详细的分析报告，包括漏洞复现的信息等。

高质量的漏洞情报如何生产？

有很多因素决定漏洞情报的质量，我们总结了以下几点：

第一是全面漏洞信息库，取决于能不能把各种公开信息源第一时间抓到，很重要，但是没有壁垒；

第二就是专家分析，专家分析靠人，如果有一个比较大的漏洞团队，有相对比较专业的人员，这个门槛也不是特别高；

但是真正决定一个厂商漏洞情报能否做好却是另外两点：

第一是威胁情报数据，漏洞情报供应商有没有非常强的威胁情报能力，能否从威胁的视角提供关于具体漏洞的全网真实利用数据，这一点决定了厂商能否提供相对客观、完整、及时的评估建议，而强大的威胁情报能力至少需要包括一流的情报生产能力和高覆盖度的威胁情报数据、蜜罐、全网测绘能力等。

第二就是社区，漏洞情报社区可以把一些白帽子的力量聚合起来，同时通过奖励计划从包括红队等小圈子里面去收一些高价值漏洞，所以是否拥有一个一流的情报社区对于解决这个问题也是非常关键的点。

最后打个广告，微步自从去年开始就面向企业用户提供专业的漏洞情报订阅服务，第一时间收到最新的漏洞信息以及专业的漏洞分析和处置建议。同时也已经把漏洞情报集成到我们的流量设备，无论是在日常运营还是攻防演练，都可以帮助检测真实的0day攻击。

关于微步漏洞情报

微步通过漏洞情报订阅服务，为企业提供0day漏洞预警、最新公开漏洞预警、漏洞分析及评估等漏洞相关情报，帮助企业应对最新0day/1day等漏洞威胁并确定漏洞修复优先级，快速收敛企业的攻击面，保障企业自身业务的正常运转。微步漏洞情报服务内容包括：