漏洞
是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
漏洞管理
是对学校IT 基础设施和软件中的安全漏洞的持续发现、优先级排序和解决,从而将漏洞造成的风险控制在可接受范围。
漏洞危害性:
漏洞的存在可以让攻击者在未授权的情况下访问或破坏系统,通过漏洞的利用可以造成学校数据泄露,站群网页篡改,业务拒绝访问等。进而影响学校正常教学秩序、危害师生个人信息和财产安全、造成学校经济损失等。
合规角度:
各级监管部门会持续地监测和通报学校存在的漏洞情况,每年网络安全专项检查中,也会重点检查存在的安全漏洞,对于存在高危漏洞且没有相应管理和防护措施的进行通报或依法处罚。
攻防演练复盘:每年HW的攻击手段中,漏洞利用的占比居高不下。
很明显,漏洞是无法被消除的,哪里有互联网,哪里就有安全漏洞。漏洞的存在就是野火烧不尽,春风吹又生。
从过去几年教育漏洞报告平台接受到的漏洞数来看,
教育系统的漏洞
一直是一个持续增长的过程,一方面是
大家
对漏洞的认识不断的深入,
很多以前没有发现的漏洞也被找出来了;另一方面随着数字校园,智慧校园的不断建设,系统越来越多,随着也暴露了更多的漏洞。
1、越权漏洞:
通过水平或垂直越权漏洞导致的数据泄露和提权问题在近些年网络安全攻防演习中出现频率极高;
2、未授权访问漏洞:
数据库、文件共享服务服务、打印机等未设置密码和IP地址控制而导致数据泄露;
3、任意文件上传漏洞:
像vCenter任意文件上传漏洞(CVE-2021-22005);可导致数据中心的虚拟主机和信息系统大面积沦陷;
5、移动端web漏洞:
微信公众号、小程序、移动应用存在的各类web漏洞。
6、供应链漏洞:
由供应链带来的安全问题在本次HW中尤为突出,包括违规存储用户敏感信息、开发缺乏安全流程、运维账号各地通用、SaaS化应用的数据泄露等。
高校安全漏洞的问题很多,基于这些问题,应该怎样去对漏洞进行有效
的
管控?
学校需要建立安全态势感知体系,尽可能地采集网络侧的流量、设备的日志、主机侧的日志,将这些数据汇聚起来进行分析,尽早地发现漏洞;同时通过定期的漏洞扫描、渗透、代码审计等发现待上线系统和处于运行中系统的漏洞。
通过第三方平台的信息共享,补充学校自主监测不够全面的情况,常见的第三方平台包括教育漏洞报告平台(https://src.sjtu.edu.cn/)、国家信息安全漏洞共享平台(CNVD)、中国国家信息安全漏洞库(CNNVD)、网络安全服务商、教育软件供应商、威胁情报平台等。
来自于网信公安部门、教育行政主管部门通报的漏洞、事件、安全预警信息。
漏洞验证是指对外部接收到的漏洞进行测试,判断是否真实存在及评估影响范围。
有条件的高校可以将漏洞验证纳入到漏洞管理流程中,将验证真实和有效后的漏洞再推送给二级部门;有助于提升二级单位对信息中心安全团队的信任感。避免出现狼来了的故事发生。
当前主流的漏洞定级采用的是CVSS(通用漏洞评分系统),CVSS由基础评价、生命周期评价和环境评价三个衡量指标构成。得分范围从0-10分,根据得分分为低危(0-3.9),中危(4-6.9),高危(7-8.9),严重(9-10)。通常高危和严重漏洞是需要用户及时做出处置的漏洞。每年新增的漏洞中有56%的漏洞被认定为高危或严重漏洞,而这些漏洞中可利用性较高的占比为24%。也就是说如果高校单纯按照CVSS的评分指标去做漏洞管理,会把大量的时间消耗在几乎无风险的漏洞上。
出现这种偏差的原因是
CVSS旨在识别漏洞的技术严重性,而人们更关注漏洞或缺陷给他们带来的风险,或者是他们面对漏洞应该有如何的反应速度。即风险=威胁*弱点*资产。
因此最近兴起了使用
VPT(漏洞优先级技术)
来对漏洞进行优先级排序和处理,从而提升整体的漏洞安全运营的效率。
通常在发布一篇漏洞报告时,不同的作者(厂商)都有自己的一套VPT逻辑,虽然指标不同,但是大多还是会从漏洞的影响范围、漏洞攻击路径、可利用程度、公开程度等综合去评估漏洞所产生的风险危害,并最终定级。比如有的漏洞通过CVSS评分认定是严重漏洞,但是通过VPT的框架方式,认为其利用条件极为苛刻,在现有环境下很难利用,VPT就有可能评价为低危。
有条件的各高校可参考《GB/T30279—2020信息安全技术 网络安全漏洞分类分级指南》建立适合学校的VPT计算模型。
学校需在信息中心网站建立通告和预警的页面,针对一些大规模使用的组件、框架、程序和系统漏洞信息进行预警通告,同时一些我们获取的威胁情报,如域名、
IP
、恶意
URL
、
C2
、钓鱼邮件地址等,除了在学校内通过安全设备进行封堵,也应及时和其他高校、机构进行互通共享。
在管理上,学校应该建立相应的安全管理平台,通过安全管理平台工单将漏洞下发通报给二级部门,也可通过
OA
、短信、电话等通知各二级部门进行整改。
发现一个问题,及时通报并处置一个问题,在一定程度上实现安全漏洞的动态清零。
同时信息中心可基于各二级单位的漏洞数、修复数等发布月度排名并全校进行通报,从而
推动各个单位更加重视网络安全,更加有自驱力地去减少安全漏洞的数量。把网络安全的压力层层传递到各个二级部门,让全校二级部门的信息化分管人员,各个系统的负责人深刻
感受到网络安全的压力,这样
学校
才能把安全工作做得更好。
信息中心将漏洞通报给二级部门时,应将漏洞情况、修复建议、补丁等同步下发。
必要情况安排技术人员协同修复。
同时也应有一套完善的供应商管理机制,通过对供应商的考核和管理,促使供应商尽快对漏洞进行修复。
漏洞的常规修复动作可通过版本的更新、配置修改、端口关闭、打补丁包等。
近几次的HW中暴露了教育软件开发商安全能力较弱的情况。实际的情况就是漏洞公布了,但是没有可用的补丁,这种情况可以考虑使用虚拟补丁进行防护。待有可修复的实体补丁后再使用实体补丁进行修复。
指安装在主机上的EDR通过对网络流量进行实时监控和分析,识别出潜在的攻击行为, 并采取相应的措施进行防御,从而提高网络安全性。HIPS相比于传统实体漏洞补丁的修复方式, 具有无需下载实体补丁、兼容多种操作系统、无需重启服务、可快速更新攻击特征库抵御新型漏洞等优势。
二级部门修复完漏洞并提交报告后,信息中心安全部门需要对漏洞进行复测,看漏洞是否已真的修复,没修复的需要进行跟进,并协同二级单位一起进行整改。
信息中心安全部门可以定期去做一些复盘。复盘可以从漏洞本身、防御体系、流程等维度展开。
这个漏洞为什么会出现?漏洞的利用原理是什么?现在修复了,版本迭代后,有没有可能又出现,攻击者能不能升级他的漏洞利用方式。是否要对该漏洞进行长期及时的跟踪。
需要举行举一反三,相似的问题避免再次发生;对漏洞进行长期的监测,直到彻底解决。
现有的体系能否有效地进行防御,从而将漏洞造成的风险控制到最低。是否需要引入一些新的技术。
EASM(外部攻击面管理):以攻击者的视角对高校系统的攻击面做检测分析和监测,评估学校潜在的攻击入口,并进行相应的防御;
零信任:
对高校非公众业务的暴露面进行收缩,避免系统漏洞直接暴露在攻击者面前;
RASP(运行程序自保护):
使用WAF对web业务进行防护,并通过RASP技术避免攻击的绕过;
分区分域:
对
校园网进行分区分域,限制数据中心对外部的主动通信;
安全检测能力:升级整体的安全检测体系,提升漏洞和威胁的检测能力,引入蜜罐,XDR(可扩展检测响应)、EDR等。
SOAR(安全编排与自动化响应):建立安全产品的联动机制,实现自动化的响应。
管理流程是否可以保障最快速度地进行漏洞处置;针对不同类型漏洞,不同安全事件是否应有不同的处置流程?
供应商的安全能力如何?响应速度如何?考核和管理方式能否让他们有效融入整体的管理流程里。
需要积累对完善针对不同漏洞、不同安全事件的管理和处置流程;需要不断优化对供应商的管理和考核办法。
