安全運營中心還可以這麼用，送給雲上處理漏洞應急的筒子們

隨著雲端計算技術迅猛發展，雲平臺的穩定性和可擴充套件性得到越來越多的企業認可，很多企業開始願意把自身業務放在雲上，節約成本的同時，還方便彈性擴充套件。然而云上的安全管理也逐漸成為大家比較關心的問題，其中漏洞應急響應則是幾乎每個企業或者雲使用者的家常便飯了。

今天邀請到雲鼎實驗室雲安全專家chad為我們分享漏洞應急那些事，chad從事雲上安全漏洞管理和應急響應相關工作6年，遇到過大量雲使用者爆發安全漏洞後未及時響應而中招的案例，也處理過大量漏洞入侵的case，這裡主要分享一些他站在雲使用者角度的一些漏洞應急響應實踐技巧及經驗，供大家參考。

0×00 準備工作

俗話說“工欲善其事，必先利其器”，這話放在安全應急響應這裡再正確不過了。

漏洞的爆發往往如天氣般來的突然，讓人措手不及，而作為一般使用者，如果沒有專門的情報渠道或系統，往往會處於較為被動的局面，因而提前對漏洞、對自身資產有所瞭解和應對，會在很多時候掌握主動權，能快速發現和收斂相關風險。

在這裡，總結漏洞應急響應兩點準備工作：

1.經驗方法（內功）：

簡而言之就是處理多次漏洞響應所積累的經驗、方法，一些實踐過的經驗方法論或思路，可以幫助企業快速評估漏洞影響程度和後續應採取的處理措施。

這裡有兩種比較典型的處置思路：

1、基於情報驅動的漏洞響應思路

2、基於PDCA的漏洞管理思路

PDCA是一種很多生產企業用來質量控制的思路，實際很多企業往往也應用在漏洞管理方面，情報驅動的響應思路則在一些網際網路或對應急響應有較高時效的公司應用較多，具備一套快速有效的“內功心法”，可以幫助我們在出現漏洞後，潛意識裡知道如何有條不紊地進行應對。

2.工具系統（外功）：

這點比較好理解，外功即武術中的招式和武器，猶如我們平時在漏洞應急響應中所用到的工具、系統或文件，與漏洞管理思路結合，往往能夠大大提高我們處理問題的效率，其中有兩種犀利的工具，後面會逐步介紹到：

1、安全漏洞情報系統

2、安全漏洞定級標準

這裡我們先來了解下“內功”中的第一種：

0×01 基於情報驅動的漏洞響應

顧名思義，情報驅動則是指利用安全漏洞情報告警，觸發整個漏洞響應流程，而這裡的關鍵點則是安全情報的推送及時性。

1.什麼是安全情報

安全情報目前並沒有特別明確的定義，從網上公開的介紹資料看，我們可以瞭解到，它通常包含資產情報、威脅情報、事件情報和漏洞情報等，其中：

資產情報：往往屬於內部情報，主要用來確定己方資訊資產，便於風險評估。

威脅情報：偏向於對攻擊源的行為畫像分析，描述其技術風格、慣用手法等標識，可以理解為知道攻擊者的身份特徵，一般典型的特徵如md5值、惡意IP，CC域名等。

事件情報：偏向於對已經發生的安全事件的媒體報導，有助於管理者對類似風險進行參考借鑑。

另外一種則是漏洞情報，它偏向於面向各種軟硬體系統已知或未知的漏洞的情報資訊，常用於企業或使用者開展風險評估和漏洞管理。

綜上所述不難看出，與雲使用者日常安全運營管理息息相關的可能就是漏洞情報了。

2.漏洞情報的作用

提前或快速獲取最新漏洞資訊或細節，方便立即做出評估決策，為業務爭取更多修復時間，更快速更主動的開展響應工作。

3.如何獲取有效的或有價值的安全情報

安全情報一般都可以通過爬蟲採集到，但由於網站型別、文章類目繁多，如何精準識別獲取到更有效的安全情報是很多公司或企業頭疼的問題。

這裡主要分享運營總結的三個要點，可以幫助儘量減少誤報，實現更準確的獲取價值情報：

1） 梳理內部歷史出現漏洞較多的核心資產，如作業系統（Windows、Linux等）、基礎系統元件（Bash、Kernel、systemd）、應用元件（WordPress、Drupal、Apache、Nginx、Kubernetes、Docker、Zabbix等）、資料庫元件（MySQL、Redis、MongoDB等）、支撐元件等（Glibc、OpenSSL、NTP、DNS等）

2）根據資產型別梳理出官方情報來源或旁路情報源（如媒體、部落格等），並對情報來源進行監控；

3）定期優化監控規則，根據命中次數、命中關鍵字對情報源告警策略進行監控優化，逐步篩選出高命中率的情報源和情報規則集。

4.如何充分利用價值情報開展漏洞響應

外部雖然有大量的安全情報來源，但往往需要人工主動瀏覽網站或者開啟APP的操作去關注，安全人員所需要的高觸達率、及時性其實無法滿足，騰訊雲安全運營中心提供了安全情報功能，足以滿足企業內部的日常漏洞情報和應急響應需求。

在這裡以騰訊雲-安全運營中心的安全情報為例，給大家介紹下雲鼎實驗室日常應急響應思路：

如上圖所示，為響應的基本流程。

這裡的響應過程通過情報觸發，之後分成四個階段，分別為漏洞情報預警、漏洞評估、漏洞修復和複測、總結階段，由於一般企業或普通雲使用者不太可能花費大量精力自己去建立並持續運營一套漏洞情報系統，因為涉及到較多的人力去開展網站反爬、情報源失效維護和告警過多的問題，而作也不太可能一直盯著一些安全站點、APP或公眾號主動去看漏洞訊息，因而這裡我們想到直接複用外部情報系統，獲取最新情報的推送和一手分析。

目前騰訊雲安全運營中心提供的情報功能暫時沒有發現特別頻繁的告警資訊，使用者可以免費開通訂閱情報功能，通過簡訊、郵件等方式都比較方便可以接受到情報告警資訊：

騰訊雲-態勢感知-安全情報告警介面

配置好之後，當出現重大漏洞情報，我們可以第一時間在手機或PC端接收到，檢視相關詳情，如下圖：

手機郵件告警

手機簡訊告警

點選檢視詳情，可以看到該漏洞的具體描述：

情報基本包含了漏洞的概述、詳情描述、影響版本情況以及修復建議等關鍵資訊，依靠這些，我們就能做一些基本風險評估分析了。

在獲取到情報後，很多企業往往不知道怎麼辦，或者不知道如何去開展下一步的響應工作，其實這裡就涉及到漏洞評估定級的問題了。

下圖為雲上企業可參考的漏洞評估標準，可依據企業內部實際情況進行深入定製，其中資產價值具體視企業內部業務而定，幾個風險維度的評估則可以參考情報內容進行綜合判定，理論上，當命中重要或一般資產，且風險維度5個條件滿足3個或以上時（簡單理解就是佔大半時），我們就需要去重點關注了：

之後的一步，則是根據自身業務的影響等級，參考情報提供的修復建議開始灰度修復測試或遮蔽處理，開展修復並驗證修復效果。

以Nexus Repository OSS漏洞為例，這個漏洞雖然在風險維度上滿足3個以上，但由於企業內部並未使用或者使用在某臺測試機上，則我們可以選擇不予處理或針對測試機進行銷燬掉處置，企業內部可將風險定級為低風險。

這裡需要說明的是，在情報分析過程中，如果出現資訊不足，可以充分利用安全運營中心情報尾部的參考連結去了解原始情報出處，獲取更為深入分析資訊。

0×02 基於PDCA的漏洞管理思路

簡單科普下，PDCA迴圈是美國質量管理專家休哈特博士首先提出的，由戴明採納、宣傳，獲得普及，所以又稱戴明環。其實除了在生產企業，我們也可以將PDCA的思想平常的漏洞管理融入了，其核心思路是Plan（制度）-Do（執行）-Check（檢查）-Act（改進），通過制度規範約定各類漏洞的響應標準和處理流程，之後參照規範制度執行，通過定期Check響應執行效果，針對不足的地方或出現問題的地方實施改進。從而形成一套相對閉環完善的漏洞運營管理體系。

目前這套體系其實在漏洞運營中可以和情報驅動體系相互補充，具體內容有機會和大家展開分享。

0×03 時間需要被用來做更多事

關於漏洞管理能做的事情還有很多，但很多時候，迫於時間和精力，我們可能只會把精力聚焦業務或其他更重要的事情上，因此避免重複造輪子，快速複用平臺型工具，同時利用一些簡單、高效管理方法，可以幫助我們快速解決關鍵問題，然後將更多精力覆蓋到業務本身或其他運營工作。

漏洞情報最大的價值在於幫助我們提前瞭解到風險，並在攻擊利用之前充分利用情報修復建議開展響應修復，為業務修復提供了更大的時間視窗，避免了漏洞影響範圍的擴散，如果將其引入到企業日常漏洞管理流程中，將會大大提供企業風險處理效率，幫助企業更加從容的應對外部漏洞威脅。