从美国CISA KEV项目看海量漏洞管理方法

安全内参

编者荐语：

如何在海量漏洞中找到一类漏洞，这类漏洞可被利用性和危害影响是相对明确、可证实的，对这类漏洞可提出有依据的时效性、操作性处置要求？

现状与难点

新形势下漏洞管理重要性凸显

在信息科技高速发展的时代背景下,信息技术产品供应链愈发庞大，网络威胁形势不断变化，网络运营者面临高水平的安全运营需求，漏洞管理已经成为安全运营中最直接、最关键的组成部分。各国政府、产业界均在不断探索完善科学、规范的漏洞管理机制，围绕此焦点的新政策、新要求、新机制、新手段不断推行。如我国2021年7月12日由由工业和信息化部、国家互联网信息办公室、公安部三部门联合印发的《网络产品安全漏洞管理规定》，标志着我国网络产品安全漏洞管理工作的制度化、规范化、法治化，以及相关主体漏洞管理水平将得到有力推动。

全球已有重要的漏洞管理标准及法律法规共计31项，囊括了漏洞管理的顶层设计、法律法规到标准、方法论、最佳实践、指南、框架等等内容。其中，近两年内发布的、修订、更新的数量占一半以上。

海量漏洞管理难点

据统计，截止到2022年8月，知名漏洞库CVE、CNNVD、CNVD收录的漏洞都已达18万+量级，漏洞呈现一种爆炸式增长的态势，同时漏洞利用程序出现的速度及漏洞武器化的速度越来越快，在漏洞公布24小时内，互联网即可公开下载攻击程序。

在此形势下，网络运营者面临的安全运营压力无疑是巨大的，近年来全球爆发的大规模信息泄露、勒索攻击、针对关键基础上设施攻击事件表明，并不是只有0-day、1-day漏洞才也会产生重大危害影响，其反映出的难点问题主要体现在：

网络运营者面临资产多、关注漏洞多的双重压力

当前网络融合、信息系统组成愈发复杂，越多的供应商，意味着越多的漏洞和攻击面。同时大量组件来自于开源软件，对于运营者而言很难将开源软件的安全运营达到自研软件的水平，且分析清楚所有系统不同层级（大到框架，小到第三方库）的开源软件是一项复杂工作。在这种情况下还需关注不断披露的新型漏洞，无疑是重大挑战。

易利用漏洞成为网络攻击的常见载体

在国际通用的漏洞评价方法中，漏洞的可利用性已成为重要评价指标，其权重甚至与漏洞的危害影响等同。对于大量的网络运营者而言，其不一定会成为0-day漏洞的受害者，但其存在的漏洞一旦在别的系统中被证明利用成功过，且没有跟进补丁或处置操作的话，遭受攻击的风险是巨大的，这也是国际上如美、澳、英等国近年来着力于发布《最常被利用漏洞报告》的原因。

美国网络安全和基础设施安全局（CISA）、澳大利亚网络安全中心（ACSC）、英国国家网络安全中心和美国联邦调查局（FBI）2022年7月28日发布的《Top Routinely Exploited Vulnerabilities》报告。

从2020-2021最常被利用漏洞报告中可以列表中，可以看到易利用漏洞已经成成为网络攻击的常见载体。

能力不匹配、重点不突出导致难以发挥实际效果

运营者层面漏洞管理的理想效果是“所有系统漏洞均得到及时发现、及时处置”，其底线目标是“系统漏洞不被攻击者利用并产生危害影响”。要达到这个效果和目标，又面临前文所述的种种压力，必然会造成漏洞管理捉襟见肘、流于形式，这是客观存在的情况，需要从机制、思路方法上加以解决。

运营者应该如何应对？

CISA KEV背景及运行数据分析

CISA KEV提出背景

美国多年来已经形成了《Vulnerabilities Equities Process》（VEP）、《网络漏洞披露报告法案》、《国土安全部漏洞法案》、《公私网络安全合作法案》、《国务院黑客法案》、《网络安全漏洞修复法案》、《持续诊断和缓解方案》、《协调漏洞披露》、《关键基础设施安全和恢复指南》等一系列网络安全漏洞管理法规。

但这些要求都没有完全解决上文提到的一个重要问题，即“如何在海量漏洞中找到一类漏洞，这类漏洞可被利用性和危害影响是相对明确、可证实的，对这类漏洞可提出有依据的时效性、操作性处置要求”，KEV正是在这个背景下提出。

2021年5月12日，美国总统拜登签署名为“加强国家网络安全的行政命令”（Executive Order on Improving the Nation’s Cybersecurity）以加强网络网络安全和保护联邦政府网络。

2021年11月16日，美国网络安全和基础设施安全局（CISA）按照行政命令的要求，发布了《联邦政府网络安全事件和漏洞影响响应指南》（Federal Government Cybersecurity Incident and Vulnerability Response Playbooks），以改善和标准化联邦机构识别、修复和从影响其系统的网络安全事件和漏洞中恢复的方法。

2021年11月3日，建立了一个由 CISA 管理的已知被利用漏洞目录（KNOWN EXPLOITED VULNERABILITIES CATALOG）（KEV），这些目录中的漏洞会给联邦企业带来重大风险，并为机构建立了修复目录中包含的任何此类漏洞的要求。CISA将根据可靠证据确定漏洞需要包含在目录中，这些证据表明该漏洞正在被公共或私人组织威胁行为者积极利用。

CISA KEV的实施与数据支撑

KEV全称是“已知被利用漏洞目录”（KNOWN EXPLOITED VULNERABILITIES CATALOG），由CISA于2021年11月3日发布，正如其所依据的上位文件《BOD-22-01-降低已知被利用漏洞的重大风险》中提到“被利用过的漏洞是所有类型的恶意网络参与者的常见攻击媒介”，该目录旨在约束所有联邦民事行政部门（FCEB）必需在规定时间范围内修复KEV目录中的漏洞，以降低已知被利用漏洞的重大风险。

同时CISA也面向FCEB之外的其他组织（如州、地方、部落和地区 (SLTT) 政府和私营企业）“强烈建议所有利益相关者将立即解决 KEV 目录漏洞的要求作为其漏洞管理计划的一部分”。

CISA根据历史数据和全球威胁情报的分析结果，许多被归类为“严重”的漏洞非常复杂，从未在野外被利用——事实上，只有4%的CVE被公开利用。但是威胁行为者利用他们选择的漏洞的速度非常快：在已知的4%的已被利用的CVE中，42%在披露的第0天被使用；50%在2天内；75%在28天内！

因此，不应该让机构关注数千个可能永远不会在实际攻击中使用的漏洞，而是将重点转移到那些是主动威胁的漏洞上。已知被利用的漏洞应该是补救的首要任务，这也是KEV发布的初衷。

CISA KEV运行数据分析

CISA KNOWN EXPLOITED VULNERABILITIES CATALOG（KEV）最初发布的306个漏洞，到2022年8月18日增长到801个漏洞。相比较新漏洞出现的速度，增长速度应该说非常缓慢。我们从当前的KEV运行数据来对其特点进行多角度分析。

重视漏洞攻击链，而非单纯漏洞级别

将漏洞级别以CVSS分值映射到国标，可以看到列表中甚至包含信息、低危级别漏洞，中危级别漏洞占比也较高，并不完全单纯以漏洞级别导向，KEV更重视的是从攻击者角度所使用的漏洞。

老旧漏洞仍然是被积极利用的漏洞

尽管人们更加关注最新的0day漏洞，但从CISA KEV看到，列表中甚至包含2002的0day漏洞，5年、10年前漏洞仍然大量存在并被积极利用。

这一点上，与Garnter发布CARTA漏洞管理方法论时提到“十大安全战略假设”是一致的，其认为，99%的漏洞利用将依旧是安全IT专业人员已知1年以上的，企业必须致力于修补已知存在的漏洞。

资产复杂性增加风险，厘清供应链信息至关重要

801个漏洞中涉及到132个供应厂商，More Vendor，More Vulnerabilities。因此，除了掌握资产暴露面之外，厘清软件供应链信息越来越重要。

即使是已知被积极利用漏洞，大型组织完全修复也相当有难度

CISA KEV中对每个漏洞都规定了严格的修复截止时间（精确到天）。若达到这个效果不难推测出：CISA KEV在公开发布前应该有其它内部版本，漏洞的修复截止时间应该结合了其它的因子综合做考虑，如此严格的时间要求如果没有依据支撑很难很难令人信服。即使如此，在整个KEV体系当中，完全消除仍然需要近半年的时间，侧面反映了即使是针对已知被利用的漏洞，完全修复也有相当难度。

“补丁+网关防御+报废产品更新换代”缺一不可

801个漏洞中有354个漏洞可通过IPS、WAF等网关防御设备进行风险缓解，占比近44.7%，“补丁+网关防御策略”组合拳应是漏洞防御的最优解。

50个漏洞属于已报废产品，是已经不被厂家支持、不再更新的产品，相应的漏洞也不再有补丁或者防御措施。此部分不论是资产安全还是漏洞管理都是最头疼、也最应该重视的部分。

海量漏洞管理方法思考与建议

问题导向、实战导向，聚焦管理效果

实战中，攻击者不仅依靠“关键”漏洞来实现他们的目标，一些最广泛和最具破坏性的攻击中利用了包括被评为“高”、“中”甚至“低”的多个漏洞。这种“链式”攻击方法，首先使用较低级别的漏洞站稳脚跟，然后利用较高级别的漏洞逐步升级特权。

因此，在漏洞防御中，应该建立区别于传统的希望修复所有漏洞、以漏洞级别高低作为修复优先导向的管理方式，建立问题导向、实战导向的漏洞管理思路。

结合前文所述，而漏洞管理工作的底线目标是“系统漏洞不被攻击者利用并产生危害影响”，这也是漏洞管理工作应达到的基本效果。

从这一点出发，不难看出，应对海量漏洞管理的一种有效方法是：将易被利用或已知被利用漏洞放在较为优先甚至最为优先的处置层级，区别于传统的希望修复所有漏洞、以漏洞级别高低作为修复优先导向的管理方式。其优势体现在一方面易于集中注意力和资源，另一方面也可为尽早切断攻击链发挥积极作用，可在有限精力下较好的发挥海量漏洞管理工作成效。

三种策略、强化措施

、应对难点

海量漏洞管理的难点，实际上也是整个漏洞管理的难点，就是如何做好漏洞修复的优先级选择，并将有限的时间、精力和资源投入到这个方向。

实际上，由于缺乏上下文及动态变化的CVSS计算机制、供应商修复建议的滞后及混乱、漏洞的不完整修复、情报的可信度及模糊性等，使得确定优先关注哪些漏洞变得越来越困难，对用户专业化程度要求越来越高，用户变得越来越无所适从。

那么，“将易被利用或已知被利用漏洞放在较为优先位置”这一方向确定后，针对海量漏洞管理难点，还应解决“如何确定什么漏洞是此类漏洞？”“其他类型漏洞管理工作如何把握”两方面问题，这需要从策略上、技术上共同研究部署，可参考的方式包括以下3种策略：

确定易被利用或已知被利用漏洞，并优先处置

CISA KEV在当前来说是一个较好的抓手。Catalog中的漏洞是已经具备充足证据的、正在被广泛积极利用的、具有积极威胁的漏洞，其处置措施也是非常明确的，除漏洞库的厂商修复建议外、还配备专门的BOD（有约束力的操作指令）、ED（紧急指令）。

应对策略：企业/行业/监管可参考CISA KEV思路，建立各自内部的关键漏洞列表，并配置响应的执行手册。对于关键漏洞列表中的漏洞不应只依靠漏洞库的修复建议，应形成更加符合本组织实际情况的操作手册。减少对实际操作人员的专业化要求，降低操作不规范、不标准带来的风险，建立机制，督促落实。

摄星科技已发布全中文的“关键漏洞列表”，同步更新CISA KEV，提供CSV、JSON格式文件下载，可从https://www.vulinsight.com.cn/#/kvc获取。

采用合理可行方式处置高危害漏洞

此类漏洞的利用复杂度、环境和利用条件要求较高，当前尚未有充足证据证明正在被广泛积极利用，现网环境可被利用的不确定程度较高。但一旦能够成功利用，造成危害很大。

此类漏洞应该更多从防护和应急角度考虑，是优先处置漏洞外，需要重点关注的部分。

应对策略：运营者建立自身供应链信息和漏洞信息联动的知识库，有条件的运营者应从互联网公开信息、暗网、安全论坛、供应商安全公告等多种渠道广泛收集漏洞和利用情报，充分建立供应链信息和漏洞信息的动态更新关联机制。现网环境检测到漏洞，通过关联马上可以知道漏洞可被利用情况，为重点关注漏洞的验证、修复及优先级提供支撑和依据。信息收集能力、关联能力、及时更新能力决定了此部分漏洞是否可以得到及时、妥善处置。

其它类型漏洞

除以上两部分漏洞外，其它漏洞的可被利用性缺少证据或信息。对现网环境造成的危害不大。

应对策略：保持关注，处置优先级低于优先、重点关注级别漏洞，可按照漏洞级别、资产重要级别等其它情况排序优先顺序。但仍然需要关注动态变化情况，有可能随着情报信息更新（如公开POC等），导致处置级别上升。

资源整合、技术联动，实现闭环实效

将海量漏洞管理决策结果输出，与防护措施形成联动

正如KEV表达的风险缓解策略显示：补丁不是唯一的处置方法，运营者如果可利用自身安全设备进行防护，将是一种可以不依赖于漏洞所在的产品提供方、时效性和主动性更强的处置方式，其前提是需要了解“防护规则”。而这些安全设备甚至可以不仅仅是KEV中提到的IPS、WAF等网关设备，也可以是监测类、管理类、态势感知/SOC类等多种设备或系统。

同时在场景方面，也可以从常规在线运行场景拓展到如上线安全检测、供应商产品准入、风控、重保等场景中。其核心是依靠部署、联动类似于“关键漏洞列表”之类的，可动态更新的漏洞知识库或系统，对于命中“高优先级漏洞”的给出明确的资产告警、处置排期和技术规则，对于已知被利用漏洞做到应防尽防，对于高危害漏洞做到联防协防。

将海量漏洞管理策略与漏洞处置监督形成对接

传统漏洞处置评价机制由于难于明确科学合理的时间要求、效果量化要求，不利于开展监督，目前仅以打补丁效果评价，一定程度上忽略了漏洞的定位工作、联动防护工作的效果。

运营者不妨以资产管理+漏洞知识+漏洞管理+防护联动为技术基础，提供可量化、可视化的决策依据，完善漏洞处置评价监督机制，有利于科学合理的在运营者内部理顺漏洞处置链条、明确漏洞处置方针、激发安全运营活力，达到漏洞检测、验证、修复、复测的管理闭环效果。

推荐阅读

文章来源：摄星

点击下方卡片关注我们，

带你一起读懂网络安全 ↓