在野漏洞的应急响应流程

news2024/12/23 10:56:01

图片

许多时候,对于负责安全工作又不太擅长安全漏洞技术的人员而言,如何应对突发漏洞是工作中主要的难点,这里的突发漏洞指的是两类:一类是通过新闻、咨询推送,被社会舆论所有关注的CVE漏洞,比如前段时间所谓的核弹级别Windows Server漏洞,一类是没有引起足够社会关注,但又在安全行业流传的0-day漏洞,但也仅限于传说,而很少有人真正见过的0-day漏洞。

本文结合美国CISA(Cybersecurity and Infrastructure Security Agency,网络安全和基础设施安全局)的漏洞应急响应手册介绍的正是上文第二类漏洞的应急流程和方法,即在野(in-the-wild)漏洞或在野0-day漏洞。

一、准备工作

有效的安全管理需要建立在有效的资产管理基础之上,在突发漏洞应急之前,日常的工作中首先需要建立和维护健全的资产管理,其中包括:

· 机构运营的系统、网络;

· 涉及其他机构或组织(即合作伙伴)的系统、网络;

· 由供应商提供、托管运营的系统、网络,包括云、承包商和供应商系统。

定期的资产盘点或实时的资产监测,能够跟踪所有业务系统的网络设备、操作系统、应用程序、应用服务等信息,并以此了解漏洞与资产环境的相关性,以及漏洞对于机构系统运行的影响。

二、响应流程

标准的漏洞响应流程包括识别、评估、补救和报告漏洞四个阶段:

图片

识别阶段

漏洞识别阶段的识别方法主要通过包括但不限于威胁情报来源进行判断和识别,这个阶段首先是要确认漏洞是否真实存在,需要针对信息来源进行判断和鉴别,避免虚假的漏洞信息或过时的漏洞信息。

除了威胁情报之外,漏洞信息来源还包括CVE漏洞库、国家漏洞库和漏洞预警库,以及机构内部的态势感知或SOC或SIEM监测到的可能有漏洞利用的现象。

识别阶段通过漏洞的基本信息,可以帮助确定漏洞响应接下来的应对和处置方式,这些基本信息包括漏洞的严重性、易受影响的资产信息(如软件版本、服务类型、配置情况、设备品牌及型号等等)。

如果漏洞信息与资产信息吻合,接下来则需要确定漏洞是否有存在被利用的迹象。

评估阶段

在漏洞的影响范围确定之后,可以通过机构的资产管理工具快速判断漏洞影响的资产范围,对于软件类或配置类的漏洞,则可能需要通过PoC进行手动扫描和评估。

同时,对于环境中确定存在脆弱点的安全漏洞,需要通过以下步骤查找漏洞被利用的迹象:

· 扫描与漏洞利用相关的已知IOC(Indicator of Compromise),如恶意IP、文件散列值等等;

· 监测易受攻击系统或服务相关的异常活动,包括异常访问和行为;

· 与第三方安全公司合作。

这个阶段的目标是确认资产受到漏洞影响的状况:

一种是完全不受影响(即漏洞影响范围不涉及相关资产);

一种是易受攻击(即系统存在漏洞,但漏洞尚未被利用);

一种是已被利用(即系统存在漏洞,且漏洞已经被利用)。

补救阶段

对于第2阶段中的结果,补救阶段主要是针对易受攻击和漏洞已被利用的两种状态,在大多数情况下,补救措施都是打补丁,但在野0-day往往是没有补丁可打,在这种情况下,可以采取的缓解措施包括:

· 限制访问;

· 隔离易受攻击的系统、应用程序、服务、配置文件或其他资产;

· 更改相关配置,比如最近的CVE-2024-38077漏洞更高Windows Server的RDL配置。

如果漏洞的技术细节不清楚,无法采用以上措施缓解漏洞影响,还可以采取以下办法

· 禁用相关的服务;

· 配置防火墙等安全设备阻断访问;

· 增加安全监测规则持续监测漏洞利用迹象。

如果漏洞在未来有正式的补丁发布,则应该在打补丁修复后移除上述的缓解措施,以免造成不必要的资产管理影响,或成为无人记得的历史配置,以至于造成资产管理和配置的冗杂。

对于采取缓解措施的漏洞,或者打补丁的漏洞,其影响的系统根据第2阶段的漏洞状态也可以分为:

· 已补救,补丁或配置更改已应用,系统不再存在漏洞;

· 已缓解,采取其他补偿控制措施降低漏洞被利用的可能性;

· 易受影响或已被利用,未采取任何措施,系统仍然存在被利用风险或已经被利用。

报告阶段

报告阶段的目的是为了形成漏洞应急和处置的知识体系,同时在必要的情况下,让管理层能够了解漏洞处置的状态和结果,在2017年WannaCry勒索病毒大肆感染的期间,笔者所在公司的CIO(首席信息官)便问到,这种病毒会不会对公司的员工电脑造成影响和危害,我们是怎么处置的?

以上流程能够顺利执行存在一个大的前提,即机构自身有专业的安全人员具备技术能力能够对漏洞进行基础的分析和鉴别,如果自身不具备专业的技术能力,则可以选择第三方安全公司进行合作和辅助。

作者:裴伟伟
2024年8月26日
洞源实验室

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2077214.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【YOLOv10改进[Conv]】感受野注意力卷积RFAConv(2024.3)| 使用RFAConv 改进v10目标检测效果 + 含全部代码和详细修改方式

本文将进行在YOLOv10中使用RFAConv,助力YOLOv10目标检测效果,文中含全部代码、详细修改方式。助您轻松理解改进的方法。

手撕M.2 的B-KEY M-KEY、M+B KEY定义

SSD 尺寸与规格 我们在买ssd的时候,商家都会说什么ssd是2280还是2242规格的,这里的规格实际上就是代表的ssd的尺寸大小 M.2模组的尺寸目前有11种,用Type xxyy的方式表示,xx表示宽度,yy表示长度,单位为毫米。例如上面提…

(mcu) 嵌入式基础简单入门(程序架构分析)

文章目录 💽前言💽软件框架📀工具环境📀模板工程📀编译后📀Code📀典例举例 💽Keil 使用notes⭐END🌟关注我 💽前言 本文为一份简单入门笔记,以 st…

算法-单词规律(290)

leetcode题目链接 这道题用哈希表来解决 一个哈希表存放从单词到字符的映射,一个存放从字符到单词的映射,依照空格分隔字符,并将每个字符存放到vector字符数组, 遍历 pattern,对于每个字符 c 和对应的单词 w&#xf…

带你快速了解WEB应用服务器TOMCAT

目录 一、WEB技术 1.1 HTTP协议和B/S 结构 1.2 前端三大核心技术 1.2.1 HTML 1.2.2 CSS(Cascading Style Sheets)层叠样式表 1.2.3 JavaScript 二 WEB框架 2.1 web资源和访问 2.2 后台应用架构 2.2.1 单体架构 2.2.2 微服务 2.2.3 单体架构和…

机器学习 第6章 支持向量机

这里写目录标题 6.1 间隔与支持向量6.2 对偶问题6.3 核函数6.4 软间隔与正则化6.5 支持向量回归 6.1 间隔与支持向量 给定训练样本集 D { ( x 1 , y 1 ) , ( x 2 , y 2 ) , . . . , ( x m , y m ) } , y i ∈ { − 1 , 1 } D\left \{ (x_{1},y_{1}),(x_{2},y_{2}) ,...,(x_{…

禹晶、肖创柏、廖庆敏《数字图像处理》Otsu方法描述勘误

最大化类间距离准则与最小错误率准则不等价。 虚线处为最大类间距离,前景与背景直方图的交界处为最小错分概率,当部分前景错分为背景或者部分背景错分为前景时,一般会导致类间距离变小。所以两者接近,但不相等。 禹晶、肖创柏、…

《Spring Boot 集成 Swagger:打造高效接口文档与开发体验》

Swagger 一.导语: ​ 相信无论是前端还是后端开发,都或多或少地被接口文档折磨过。前端经常抱怨后端给的接口文档与实际情况不一致。后端又觉得编写及维护接口文档会耗费不少精力,经常来不及更新。其实无论是前端调用后端,还是后…

MindSearch 部署

任务 按照教程,将 MindSearch 部署到 HuggingFace 并美化 Gradio 的界面,并提供截图和 Hugging Face 的Space的链接。 创建开发机 & 环境配置 mkdir -p /root/mindsearch cd /root/mindsearch git clone https://github.com/InternLM/MindSearch.…

dbsyncer同步mysql数据

1 概述 DBSyncer(代码地址:https://github.com/86dbs/dbsyncer)是一款开源的数据同步中间件,提供MySQL、Oracle、SqlServer、PostgreSQL、Elasticsearch(ES)、Kafka、File、SQL等同步场景。支持上传插件自定义同步转换业务&#…

人脸质量评价:深入解析和实现

人脸质量评价:深入解析和实现 引言 随着人工智能和计算机视觉技术的飞速发展,人脸识别已成为许多领域的关键技术之一。然而,人脸识别的准确性高度依赖于输入的人脸图像质量。因此,人脸质量评价作为人脸识别前的预处理步骤&#…

如何利用电商 API 数据分析助力精准选品!

电商 API 数据分析在选品过程中起着至关重要的作用,它们之间有着密切的关系: 一、提供市场趋势洞察 热门商品识别: 通过分析电商 API 中的销售数据,包括商品的销售量、销售额、销售频率等指标,可以快速准确地识别出当…

清华计算几何-线段求交与BO算法

单轴线段求交 给定单边轴下, N定线段,检查出相交的线段. 解法一: 暴力求解 遍历所有线段对,进行相交判断, 算法复杂度为O(n2) 解法二: LR扫描 把每条线段的头尾认定为L和R。对所有点进行排序,如果每两个点满足LL或者RR,则对应…

Leetcode JAVA刷刷站(97)交错字符串

一、题目概述 二、思路方向 为了验证字符串 s3 是否由 s1 和 s2 交错组成,我们可以使用动态规划(Dynamic Programming, DP)的方法来解决这个问题。 首先,我们需要定义状态 dp[i][j],它表示 s1 的前 i 个字符和 s2 的前…

DocuSign集成方案 | 结合 DocuSign 与 Oracle,加快业务完成速度!

DocuSign for Oracle 集成将 DocuSign 的电子签名功能与 Oracle 的项目生命周期管理 (PLM) 解决方案相结合 DocuSign 和 Oracle 是两家全球领先的技术公司,它们都致力于帮助企业简化和自动化流程。DocuSign 是电子签名领域的领导者,其解决方案可帮助企业…

【操作系统】实验:进度调度(2)

目录 一、实验目的 二、实验要求 三、实验步骤 四、核心代码 五、记录与处理 六、思考 七、完整报告和成果文件提取链接 一、实验目的 1、掌握高优先权调度算法 2、理解时间片、优先权、抢占等基本概念。 二、实验要求 1. 优先权属于静态优先权; 2. 进入 …

DevOps实现CI/CD实战(五)- Jenkins流水线Pipeline-更新中..

九、 Jenkins流水线pipeline Jenkins流水线任务介绍 之前采用Jenkins的自由风格构建的项目,每个步骤流程都要通过不同的方式设置,并且构建过程中整体流程是不可见的,无法确认每个流程花费的间,并且问题不方便定位问题。Jenkins的…

工程数学与数学建模在编程与算法设计中的应用(下)

目录 引言 第三部分:工程数学在算法设计与优化中的应用 3.1 微分方程与动力系统模拟 常微分方程(ODE)在动态系统中的应用 偏微分方程(PDE)在图像处理与物理模拟中的应用 总结 3.2 概率论与数理统计在机器学习中的…

若依将登录用户的userId自动加载到查询中

点击搜索,会将登录用户的userId作为搜索条件,去查询。 新版本自动存储了userId,我们不用改,只要知道如何引用。 前端使用 在对应的vue文件,查询queryParams 加查询的值 然后参考他的 添加store import store from &…

i.MX6裸机开发(11)——DDR测试

本章参考资料:《IMX6ULRM》(参考手册)。 学习本章时,配合《IMX6ULRM》Chapter 33: Multi Mode DDR Controller (MMDC) 一起阅读,效果会更佳,特别是涉及到寄存器说明的部分。 特别说明,本书内容是以i.MX6U系列控制器资…