云安全中心漏洞修复最佳实践-阿里云(云淘科技)

云安全中心提供漏洞管理功能,支持对常见漏洞类型进行扫描和修复,可以帮助您更全面地了解并修复您资产中的漏洞风险。本文围绕漏洞扫描修复的优先级和流程,介绍云安全中心漏洞修复最佳实践。

1.漏洞修复优先级

漏洞的严重性级别由四个因素决定:

  • 技术影响
  • 利用成熟度(PoC、EXP、蠕虫或病毒工具化)
  • 风险威胁(服务器权限失陷与否)
  • 受影响数量级(互联网受影响IP量级决定漏洞被黑客关注程度)

云安全中心提供的漏洞修复紧急度得分计算模型可以评估漏洞修复的紧急程度,帮助您决策漏洞修复的优先级。漏洞修复紧急度得分与修复优先级对照表如下:

优先级 描述 修复紧急度得分 修复建议
该评级是针对未经身份验证的远程攻击者可以轻松利用并导致系统受损(任意代码执行)而无需用户交互的漏洞。此类漏洞通常为蠕虫、勒索软件等利用的漏洞。 13.5分以上 该漏洞需尽快修复。
该评级适用于潜在可能危及资源的机密性、完整性或可用性的缺陷。此类漏洞通常为暂无法真实可利用,但官方或互联网上披露的评级较高漏洞,建议持续关注。 7.1~13.5分 该漏洞可延后修复。
该评级适用于能被成功利用可能性极低或者成功利用后无实际风险的漏洞。此类漏洞通常是程序源代码中的BUG缺陷,以及对合规场景和业务性能有影响的漏洞。 7分以下 该漏洞暂可不修复。

决策方案:1.当您的资产被检测出存在多个漏洞时,可能无法确认优先修复哪个漏洞。针对这个问题,可以通过在云安全中心控制台-漏洞管理中,开启“仅显示真实风险漏洞”开关,来过滤出修复高优先级的漏洞,如下图:2.对于不同类型的漏洞,云安全中心建议优先修复应急漏洞Web-CMS漏洞,这两类漏洞均为阿里云安全工程师确认后的高危漏洞,接着再修复应用漏洞Windows系统漏洞Linux软件漏洞。3.最后应根据实际业务情况服务器的使用情况、及漏洞修复可能造成的影响来判定漏洞是否需要优先修复。​

2.漏洞修复流程

为了确保在漏洞修复过程中目标服务器系统的正常运行,降低异常情况发生的可能性,在漏洞修复过程中建议按照以下流程进行修复:

  • 进行漏洞检测
  • 修复人员在检测漏洞前,建议检查漏洞管理设置,确保扫描范围够覆盖所有服务器的各类漏洞。然后点击漏洞“一键扫描”检查当前账号下所有服务器的漏洞状态,确保所检测的漏洞信息是即时的。

  • 修复前测试
  • 修复人员在漏洞修复前应在测试环境中部署待修复漏洞的相关补丁,从兼容性和安全性方面进行测试,并在测试完成后形成漏洞修复测试报告。漏洞修复测试报告应包含漏洞修复情况漏洞修复的时长补丁本身的兼容性漏洞修复可能造成的影响

  • 备份服务器
  • 为了防止出现不可预料的后果,在正式开始漏洞修复前,修复人员应使用备份恢复系统对待修复的服务器进行备份。例如,通过ECS的快照功能备份目标ECS实例。Windows系统漏洞和Linux软件漏洞修复可以使用自动创建快照并修复功能,应急漏洞、应用漏洞需要在ECS控制台进行创建快照操作(推荐导出漏洞机器清单后使用自动快照策略)。

  • 漏洞修复
  • 在目标服务器部署修复漏洞的相关补丁及进行修复操作时,应至少有两名修复人员在场(一人负责操作,一人负责记录),防止出现误操作的情况。

  • 修复后验证
  • 修复人员对目标服务器系统上的漏洞修复进行验证,确保漏洞已修复且目标服务器没有出现任何异常情况。

    3.漏洞修复说明

  • 应急漏洞、应用漏洞
  • 云安全中心只支持检测应急漏洞、应用漏洞并提供修复建议,不支持一键修复。您需要根据漏洞详情页面的修复建议在受影响的服务器中手动修复漏洞,如下图所示。注意:

    • 由于云安全中心漏洞修复在测试中无法覆盖所有系统环境,进行漏洞补丁修复行为仍存在一定风险。为了防止出现不可预料的后果,建议您先通过ECS控制台创建快照并自行搭建环境充分测试修复方案。
    • 带有应急漏洞、应用漏洞的机器可以在ECS控制台进行创建快照操作(推荐导出漏洞机器清单后使用自动快照策略)
    • 对于部分因业务影响未发布安全版本而不能修复的漏洞,建议根据提供的官方临时缓解方法进行防御。
    • 对于业务无影响并且有安全版本的漏洞,建议通过升级到安全版本进行修复。
  • Linux软件漏洞
  • 云安全中心支持Linux软件漏洞的自动检测和修复,建议您通过云安全中心控制台漏洞详情页,对漏洞进行处理。批量修复漏洞批量修复功能会自动识别您选择的漏洞公告对应的资产,并修复这些资产中您所选择的漏洞。您可在Linux软件漏洞页面,选择需要批量修复的漏洞并单击批量修复。在批量修复对话框中查看云安全中心为您识别出的需要修复漏洞的资产列表,选择自动创建快照并修复不建立快照备份直接修复后,单击立即修复。注意:

    • 云安全中心支持批量修复Linux软件漏洞,但基于性能考虑建议一次修复不要超过100个漏洞,对于超过的漏洞,可以分次创建快照并进行修复。
    • 批量修复漏洞如果失败,请检查服务器网络是否正常、硬盘空间是否有空余,可参考漏洞修复失败排查文档。

    发表评论