面对漏洞海洋,要理清到底哪个IT安全问题应该首先处理几乎是不可能任务。厂商咨询服务提供了一种行之有效的驾驭已知攻击方法的途径。不过,还有另一种更权宜的选择:直接窃听攻击者。
鉴于越来越大的攻击面,大多数公司都将他们的漏洞管理周期与厂商发布绑定。但安全漏洞的初始披露并不总是来自厂商,而等待官方发布有可能耗去数天甚至数周时间,让公司企业远远落后于在漏洞冒头数小时内就开始讨论和共享利用教程的攻击者。
安全公司 Recorded Future 曾对外语论坛上的漏洞讨论进行过深入分析,认为漏洞初始公开披露的24到48小时内,黑客们通常就开始在网上交换意见了。
厂商资讯、博客帖子、邮件列表消息、国土安全计算机应急响应小组(CERT)警报——关注这些发布的不仅仅是防御者。知道哪些东西是攻击者感兴趣的,清楚他们计划怎样在厂商响应之前利用漏洞,是赶在下一波攻击涌来之前做好准备的妙招。
黑客聊天
去年的Java对象序列化漏洞就是一个极佳的例子。最初,2015年1月一次会议讨论上首次披露的时候,该漏洞并没有引起重视,直到当年11月6号,安全公司 FoxGlove Security 发现该问题影响到多个诸如WebSphere、JBoss这样的核心企业应用,人们才大惊失色。然后,甲骨文公司又花了12天才发布 WebLogic Server 的正式补丁;Jenkins开源持续集成引擎的补丁则更慢,19天后才推出。
但是,攻击者社区,却在数小时之内便开始讨论 FoxGlove Security 的博客帖子,概念验证漏洞利用代码仅6天后便现身。一份详细的漏洞利用教程在11月13号出现,比甲骨文动作快了5天。在12月的第一个星期,攻击者已经在交易受影响企业的名称和触发其中漏洞的具体链接了。
很明显,漏洞确认和厂商补丁发布或规避方法出台之间的时间差,对威胁行为人而言是宝贵的,但当详细的漏洞利用指南在多国语言论坛出现时,该时间差对企业而言就是灾难性的。
PHP 7 的 0Pcache 缓存引擎 Binary Webshell 漏洞,是攻击者在攻防战中领先一步的另一个例子。安全公司GoSecure在4月27号描述了这一新漏洞利用,仅3天后,4月30号,一份解释如何利用GoSecure博文所述概念验证代码的教程便流传开来了。GoSecure提到,该漏洞并没有广泛影响PHP应用。但随着教程的出现,攻击者可以更容易地发现存在危险配置,可供利用文件上传漏洞的服务器。
甚至鲜为人知的博客都会成为黑客获取信息的来源。
对大多数人而言,GoSecure的博客无足轻重。安全报道那么多,如果在防御者社区没有足够影响力,帖子里讨论的潜在攻击方式是会分分钟被忽略的。然而,另一方面,攻击者却在讨论该漏洞,分享漏洞利用工具的信息。
等待厂商会使你更加无助
攻击者领先厂商和安全专家一大步的一个原因,在于漏洞发布过程本身。
厂商通告通常在安全漏洞获得了公共漏洞与暴露(CVE)标识之时。CVE系统由MITRE公司维护,是作为公开已知信息安全漏洞中央资料库的一个非盈利项目。只要有人发现安全漏洞,无论是应用开发者、研究人员还是第三方代理实体,MITRE都会收到新CVE标识的请求。
一旦MITRE指派了类似漏洞身份证号的漏洞标识,安全行业、厂商和企业就可以识别、讨论和共享该漏洞的细节,以便进行修复。在初始披露并非来自厂商的情况下,比如Java对象序列化漏洞的情况,攻击者便会比还在等CVE指派的防御者领先一步。
这一时间差非常关键。当然,要研究、评估和缓解的漏洞太多,用以对抗漏洞的安全资源又有限,以是否获得CVE标识为基准来过滤漏洞报告,便是一种“合理的态度”了,也会让公司企业小心谨慎行事。这里面蕴含的意思是,有CVE标识的漏洞才是需要注意的真实漏洞。
但最近,CVE系统自身已成为了瓶颈。好几个安全专家抱怨说,他们不能及时从MITRE获取CVE。这种延迟影响巨大——如果没有一套系统确保每个人指的都是同样的问题,将很难与软件厂商、合作伙伴和其他研究人员协调合作修复漏洞。当前问题有部分源于规模,随着软件产业越做越大,漏洞的数量也越来越多。CVE分配上的延迟,会给攻击者留出开发和改进攻击工具与技术的时间。
很多人都认为,只要没有CVE,便不是真正的问题。这种认知本身便问题巨大。
另一个问题是,不是所有的漏洞都能有CVE分配,比如在服务器端更新而无需客户互动的Web应用。不幸的是,需要客户互动来安装更新的手机App漏洞,同样收不到CVE。2015年共报告了14185个漏洞,比国家漏洞数据库和CVE中报告的多了6000个。
CVE系统对客户和信息安全从业者的真正价值,并不是实际衡量风险和安全影响,而是不考虑严重程度地分类所有已知风险。
开始监听吧
由于CVE没有涵盖每一个漏洞,你必须查看CVE以外的来源以获得当前形势的整体景象。这意味着你得停止只靠厂商发布进行漏洞管理的行为,开始探索其他信息来源以跟上最新漏洞披露。如果你的漏洞管理团队关注网上提及概念验证的信息,注意公司环境中漏洞利用活动的迹象,他们的工作将会更有效。
官方厂商通告以外,还有很多公共漏洞信息可用,太多了,防御者没办法与全部揭露各种漏洞的博客、研究人员就某一安全漏洞的邮件列表讨论,以及其他公共通告保持同步。不用试图订阅每个可能的邮件列表和RSS反馈,你的漏洞管理团队可以直接去论坛,直接听潜在攻击者们在聊什么。这才是提前预警的正确方式。
你防不了零日漏洞,但你可以关注论坛聊天,寻找有关具体漏洞的实质性讨论,抓住那些要等几个星期才可以从厂商处拿到指南的漏洞。
作为一家威胁情报公司,Recorded Future 希望企业采用它的平台侦听论坛威胁聊天,英语区或外国语言地区都有,但选择不止它一家。企业可以选择一堆论坛、IRC在线聊天频道和其他在线源监视讨论。事实上,Recorded Future 分析师注意到有用户始终在分享可被认为是可信信息源的博客。简单地跟踪这些“专家”的发言,有助于发现围绕最新漏洞的讨论。时刻关注GitHub上的分享,也能很大程度上跟进攻击者计划。
威胁情报有助于降低信噪比,发现有用信息,但也不是找出这些在线聊天的唯一途径。
防御者应该关注自身网络上增加的扫描活动。扫描活动的增加,预示着有人在讨论怎样触发漏洞的可能性。例如,Recorded Future 就注意到,在远程代码执行漏洞披露之后,几乎马上就出现了针对Elasticsearch搜索服务器中Groovy脚本引擎的扫描。论坛上总有关于如何利用并持久驻留在被入侵系统中的讨论。
远程代码执行漏洞很容易马上引发在线讨论。本地漏洞,就是那些需要攻击者先在设备上拿下某种程度上的立足点的漏洞,则引发的讨论规模往往没那么大。
本文转自d1net(转载)
