转载:中国信息安全

我们该如何看待0Day漏洞?0Day漏洞曝出后,企业该如何应对?安全从业者又该如何树立正确的“漏洞观”呢?

日前,一年一度的大型线上攻防对抗大赛已圆满落下帷幕。但今年的演习尤其热闹,乙方安全产品频频被曝出0Day漏洞,各种真假消息满天飞,让甲方企业每天都惴惴不安,开始用看”内鬼“的眼光看待自己的安全防线。为应对安全产品0Day问题,有的甲方企业甚至采用了关机、拔网线、下线安全产品等极端方式,直接让业务系统处于“裸奔”状态。

这种乱象不禁让业界陷入深思。

甲方企业平日几乎不会遇到0Day攻击,但在攻防对抗大赛期间,平日精心构筑的安全体系集中被曝出多个0Day漏洞。这真是巧合?有业内专家推测,这极有可能是攻击方将前期早已积累好的0Day武器库,在这段时间内集中曝出,让防守方措手不及。但这种完全失去了攻防演练初衷的行为真的可取吗?在不知道这些漏洞是否也被其他别有用心的人或组织掌握的情况下,为什么不尽早通知相关企业和厂商进行修复?在今天这种复杂的国际形势下,如果这些0Day漏洞一旦被敌对势力获取,后果将不堪设想。

那么我们该如何看待0Day漏洞?0Day漏洞曝出后,企业该如何应对?安全从业者又该如何树立正确的“漏洞观”呢?

 

不要幻想安全产品没有漏洞

只要有代码,就有漏洞。据公开数据显示,每1000行代码就会有4-6个漏洞,这一规律也同样适用于安全产品。因此,将“天下无洞”的使命,全交给安全产品来承担,不现实也不可能。

0Day漏洞本身就是个永恒的问题,它是对一种未公开漏洞的特殊称呼,本质来说还是一种漏洞,不过这种漏洞还未被公开。IT系统的0Day一直层出不穷,从操作系统、中间件、应用系统、软件以及使用的开发库、插件等都会出现各种0Day,可以说,0Day漏洞就是伴随着各类IT产品的出现而产生。因此,专门有部分安全产品是为了防止0Day攻击而存在的。

但是安全产品自身也无法避免0Day攻击,因为安全产品本质上也是一种代码开发出来的产品,哪怕是国际的一线安全厂商,比如Palo Alto Networks、Trend Micro等在2020年也持续有漏洞曝出。因此,将“安全漏洞”和其它系统缺陷问题区分对待并没有实际意义,因为任何一个缺陷在某种条件下都可能成为一个安全漏洞。绝对完美的产品是不存在的,任何软件和硬件工程下生产的产品都会出现漏洞,只是还没有被发现或还没有被利用,安全隐患始终存在。

 

面对漏洞不可因噎废食

正如Linux的创始人Linus Torvalds说过:我们需要尽量避免漏洞,但不可能完全消除。技术本是中性,安全产品也一定存在漏洞,没有必要因为这次演习期间,被真真假假的漏洞吓到,就因噎废食,开始怀疑安全产品的价值。

没被曝出漏洞的产品,不代表就比已经被曝出漏洞的产品更安全,可能只是漏洞未被发现。安全产品的价值是减少IT链条上的风险和入侵,这一核心价值不会因为漏洞的存在而消失,合理部署安全防护产品仍然是抵御网络攻击的最佳方式。

作为用户,需要正视安全产品本身存在漏洞的现实,但更要认识到,对这些漏洞的处置,也是和常见的操作系统、数据库、网络产品的漏洞一样。面对0Day漏洞,切莫闻“洞”色变,自乱阵脚,大部分都可以通过合理配置、规范操作流程来规避。同时,建立良好的安全意识和运维习惯,就可以做到对常见安全事件“免疫“。

0Day漏洞不是企业攻防常态。正如前文所说,0Day在日常安全工作中并不多见。微软曾在一份安全漏洞报告中称,所谓的0Day漏洞威胁被夸大了,由0Day漏洞引入的病毒小于1%。相反,一些社会工程攻击,如钓鱼行为,占所有恶意程序的传播总量的45%。单纯依靠0Day漏洞攻击成功事件所占比例,远低于包括弱密码、不合规配置、安全意识不够等基础工作不到位引发的安全事件。这就犹如每年因为飞机失事导致死亡的人数,远低于其他交通事故的死亡人数。

当然,这并不是说安全厂商不需要加强自身产品的安全性,相反,安全厂商更需要加大对产品安全性的投入。对于安全从业者而言,需要树立正确的漏洞观念:漏洞不可怕,可怕的是对待安全的态度。既不可幻想“天下无洞”,也不可 “因噎废食”。犹如火的出现推动了社会进步,但人们并不会因为惧怕火灾所造成的伤害,就倒退回原始时代茹毛饮血的生活。

 

建立正确的漏洞披露机制

既然漏洞不可避免,那么建立一个安全有效的漏洞披露和沟通机制就至关重要。目前这种集中曝出安全产品漏洞的行为,不仅将安全产业置于一种被质疑的尴尬境地,也给甲方企业带来了极大的安全风险,更给国家安全带来了安全隐患。不管是一时的炫技,还是有针对性地行为,都绝不是一种负责任的态度。

目前,针对漏洞管理,国家层面有CNNVD、CNVD等国家漏洞库,由国家相关职能部门维护运营,负责统一采集收录安全漏洞和发布漏洞预警公告,有着较为完善的漏洞资源收集、通报以及消控机制。漏洞库收录漏洞后,会通知厂商采取漏洞修补或防范措施后再予以公开,供安全研究人员学习和借鉴,帮助厂商及时查缺补漏,推动我国网络安全行业良性发展。

2019年6月18日,工业和信息化部发布了《公开征求对<网络安全漏洞管理规定(征求意见稿)>的意见》(以下简称《意见》),全文共十二条,系统地规范了网络产品、服务、系统的网络安全漏洞验证、修补、防范、报告和信息发布等行为。

在《意见》中明确规定,第三方组织或个人向社会发布网络安全漏洞信息的要求:必要、真实、客观、有利于防范和应对网络安全风险。

不得在“官宣”前抢先向社会发布。即不得在网络产品或服务提供商和网络运营商向社会或用户发布漏洞补救或防范措施之前发布相关漏洞信息,以免恶意攻击者利用漏洞信息给更多的组织机构造成危害。
不得夸大影响,营造恐慌气氛。即不得刻意夸大漏洞的危害和风险。
不得提供乘人之危的方法、程序和工具。即不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。

网信办2019年11月20日发布的关于《网络安全威胁信息发布管理办法(征求意见稿)》中规定,不利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争;发布网络安全威胁信息,应事先征求网络和信息系统运营者书面意见,并必须向主管部门报告。同时,发布网络安全威胁信息不得危害国家安全和社会公共利益,不得侵犯公民、法人和其他组织的合法权益。

 

总结

甲方企业:针对安全产品漏洞,以“拔网线”为代表的过度反应,并不能解决安全产品的0Day问题。甲方企业需要接受漏洞不可避免的现实,用合理的眼光看待安全产品的漏洞,做好漏洞管理消控工作,切不可因噎废食。

安全企业:在当前的安全新形势下,安全行业务必要改变过去“重业务,轻安全”的态度。

很多安全厂商虽然都拥有自己的攻防团队,但是在自家产品的安全性投入上远远不够。打铁还需自身硬,安全厂商需要把安全的第一道防线放在自己产品的源头,强化自身的开发管理,加强产品的安全性,以及做好相关的升级服务。

最后,要充分认识到漏洞披露的重要性。在网络空间博弈日趋激烈的今天,漏洞已经成为一种战略资源,直接关系到国家网络空间安全。不规范的漏洞披露伤害的是用户和产业,甚至危及国家安全。维护网络安全,人人有责。在法律法规或漏洞披露策略的框架下,通过安全合理的漏洞披露渠道和机制,才能够促进安全社区的健康发展和安全技术的进步,推动我国网络安全事业的健康发展,为我国整体网络安全防线贡献应有的力量。

文章原文链接:https://www.anquanke.com/post/id/218730