什么是漏洞管理

云安全中心漏洞管理支持发现和识别操作系统、Web内容管理系统、应用程序中的安全漏洞,可对漏洞进行优先级和风险评估,并支持一键修复部分漏洞,可以帮助您缩小系统的攻击面。本文介绍漏洞修复功能支持扫描和修复的漏洞类型、漏洞修复的优先级以及对操作系统的限制说明。

漏洞规则更新时间说明

云安全中心会在操作系统供应商发布安全公告后的一段时间内,将对应的漏洞检测规则补充到支持检测的漏洞列表中。下面是详细的更新时间说明。

  • Linux系统:针对Linux系统的CVE检测将在操作系统供应商发布安全公告后的14*24小时内添加到云安全中心支持检测的漏洞列表中,其中高危漏洞会在48小时内完成添加。

  • Windows系统:针对Windows系统的CVE检测会在微软发布安全公告后的48小时内添加到云安全中心支持检测的漏洞列表中。

您可以在云安全中心控制台查看支持检测的漏洞列表,来确认是否支持相应漏洞的检测。

image

重要

在节假日期间漏洞更新可能会延迟。如果您有扫描紧急漏洞的需求,请提交工单联系我们。

漏洞修复计费说明

不同版本使用说明

漏洞修复次数计算规则

通过云安全中心成功修复一台服务器上的一个漏洞,意味着完成了该服务器上与该漏洞公告相关的所有CVE漏洞修复。一个漏洞公告可能包含同一软件的多个CVE漏洞。

例如,您有5台服务器需要修复漏洞,每台服务器均有10个漏洞(即漏洞公告),均通过云安全中心控制台下发漏洞修复命令,且所有漏洞都修复成功,则计数为50次。

  • 修复后需重启的服务器,重启后漏洞修复状态为已修复时,才会统计漏洞修复次数。

  • 修复失败的漏洞不统计漏洞修复次数。

支持扫描和修复的漏洞类型

下表介绍云安全中心的不同版本对各类型漏洞的扫描、修复的支持情况。

说明

下表中的标识说明如下:

  • 对:表示支持。

  • 错:表示不支持。

漏洞类型

功能模块

免费版

仅采购增值服务

防病毒版

高级版

企业版

旗舰版

Linux软件漏洞

手动扫描漏洞

错

错

错

对

对

对

自动扫描漏洞(周期性)

对(默认每2天)

对(默认每2天)

对(默认每2天)

对(默认每天)

对(默认每天)

对(默认每天)

漏洞修复

错

购买漏洞修复次数或开通按量付费

购买漏洞修复次数或开通按量付费

对

对

对

Windows系统漏洞

手动扫描漏洞

错

错

错

对

对

对

自动扫描漏洞(周期性)

对(默认每2天)

对(默认每2天)

对(默认每2天)

对(默认每天)

对(默认每天)

对(默认每天)

漏洞修复

错

需购买漏洞修复次数

需购买漏洞修复次数

对

对

对

Web-CMS漏洞

手动扫描漏洞

错

错

错

对

对

对

自动扫描漏洞(周期性)

对(默认每2天)

对(默认每2天)

对(默认每2天)

对(默认每天)

对(默认每天)

对(默认每天)

漏洞修复

错

错

错

对

对

对

应用漏洞

手动扫描漏洞

错

错

错

错

对

对

自动扫描漏洞(周期性)

错

错

错

错

对(每周,支持配置)

对(每周,支持配置)

漏洞修复

错

错

错

错

错

错

应急漏洞

手动扫描漏洞

对

对

对

对

对

对

自动扫描漏洞(周期性)

错

错

错

对(每周,支持配置)

对(每周,支持配置)

对(每周,支持配置)

漏洞修复

错

错

错

错

错

错

说明

云安全中心仅支持扫描应急漏洞和应用漏洞,不支持修复。您需要根据漏洞详情中提供的修复建议,登录服务器手动修复。

漏洞修复优先级

当您的资产被扫描出存在多个漏洞时,您可能无法确认优先修复哪个漏洞。针对此场景,云安全中心提供的阿里云漏洞脆弱性评分系统能评估修复漏洞的优先顺序,帮助您做出漏洞修复优先级决策。

阿里云漏洞脆弱性评分系统

通用漏洞评分系统(Common Vulnerability Scoring System,简称CVSS)在捕捉漏洞的范围和影响方面成效显著,该系统不仅能够评估某个漏洞被利用的可能性,还能很好地解释该漏洞被利用会有什么后果。阿里云在CVSS的基础上,结合实际攻防场景下漏洞严重性级别开发了阿里云漏洞脆弱性评分系统。

阿里云漏洞脆弱性评分系统在使用CVSS确定漏洞修复优先级和严重性的基础上,根据云上实际攻防场景下漏洞严重性级别(严重、高、中和低),结合互联网实际披露的漏洞可利用程序状态,以及云安全中心入侵检测数据模型中的黑客利用漏洞的成熟度对漏洞进行评分,帮助企业提高资产高可利用风险漏洞的补救效率以及补救措施的有效性。

说明

漏洞的严重性级别由四个因素决定:

  • 技术影响

  • 利用成熟度(PoC、EXP、蠕虫或病毒武器化)

  • 风险威胁(服务器权限失陷与否)

  • 受影响数量级(互联网受影响IP量级决定漏洞被黑客关注程度)

漏洞评分

漏洞修复紧急度得分计算模型

漏洞修复的紧急度得分是一个动态变化的数据。当漏洞被披露时,阿里云漏洞脆弱性评分系统会根据漏洞本身固有特性所可能造成的影响给该漏洞一个基本评分,即阿里云漏洞脆弱性评分。随着时间的推移,通过软件版本的更新对漏洞进行修复,存在漏洞的系统越来越少,漏洞的威胁也越来越小,漏洞修复紧急度得分也应该随之降低。另外漏洞修复紧急度得分还与资产的部署环境、资产的重要性有关。

综合以上影响漏洞修复紧急度得分的因素,阿里云漏洞修复紧急度得分计算模型如下:

漏洞修复紧急度得分=阿里云漏洞脆弱性评分*时间因子*实际环境因子*资产重要性因子

计算模型中的各参数的说明如下:

参数

参数项解释

附加说明

阿里云漏洞脆弱性评分

基于阿里云漏洞脆弱性评分系统指标。

阿里云漏洞脆弱性评分系统指标,用来评测漏洞的严重程度。

时间因子

综合了漏洞缓解措施受部署的时间延迟和漏洞利用方法的普及等因素后,形成的一条动态变化的时间曲线。取值范围为0~1。

在漏洞公开的前三天,由于曝光率的增加,该漏洞被利用的机率会急剧增加,时间因子将从0增加并达到短暂的峰值(小于1),随后急剧下降。随着时间的推移,对漏洞成熟的利用手段将越来越多,漏洞实际利用难度在下降,时间因子将在100天之内逐渐增加并趋近于1。

实际环境因子

您服务器的实际环境。云安全中心对该漏洞利用所需的条件和您服务器的状态进行综合考虑,得出一个环境风险因子。实际环境因子对判断漏洞风险非常重要。

当前纳入参考的环境因素有:

  • 您的服务器已与公网连接:

    • 如果漏洞属于一个可以远程利用的漏洞,则环境因子取值为1.5。

    • 如果漏洞属于一个可利用的漏洞,则环境因子取值为1.2。

    • 如果漏洞属于本地利用,则环境因子取值为1。

    • 对某些需要云上难以复现的环境来利用的漏洞,通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。

  • 您的服务器只连接了内网,未连接公网:

    • 如果漏洞属于一个可以远程利用的漏洞,则通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。

    • 如果漏洞属于一个可利用的漏洞,则环境因子为1.2。

    • 如果漏洞属于本地利用,则环境因子为1。

    • 对某些需要云上难以复现的环境来利用的漏洞,通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。

资产重要性因子

当服务器数量很多时,系统为不同的服务器资产赋予不同使用场景下的重要性分值,并把该分值纳入漏洞修复紧急度得分的计算之中,为您有序修复漏洞提供有价值的参考。

资产重要性因子默认值为1。您可以在主机资产页面设置资产重要性为重要一般测试。以下是不同类型资产对应的资产重要因子:

  • 重要:1.5

  • 一般:1

  • 测试:0.5

漏洞修复优先级

您可根据漏洞修复紧急度得分按照漏洞修复的优先级顺序修复漏洞。

漏洞修复紧急度得分与修复优先级对照表如下:

优先级

描述

修复紧急度得分

修复建议

该评级是针对未经身份验证的远程攻击者可以轻松利用并导致系统受损(任意代码执行)而无需用户交互的漏洞。此类漏洞通常为蠕虫、勒索软件等利用的漏洞。

13.5分以上

该漏洞需尽快修复。

该评级适用于潜在可能危及资源的机密性、完整性或可用性的缺陷。此类漏洞通常为暂无法真实可利用,但官方或互联网上披露的评级较高漏洞,建议持续关注。

7.1~13.5分

该漏洞可延后修复。

该评级适用于能被成功利用可能性极低或者成功利用后无实际风险的漏洞。此类漏洞通常是程序源代码中的BUG缺陷,以及对合规场景和业务性能有影响的漏洞。

7分以下

该漏洞可暂不修复。

说明
  • 由于网络抖动等原因导致云安全中心无法获取该漏洞的环境因子时,漏洞修复建议会展示为可暂不修复。

  • 应急漏洞和Web-CMS漏洞均为阿里云安全工程师确认后的高危漏洞,建议您尽快修复这两类漏洞。

限制说明

漏洞扫描和修复支持的操作系统

操作系统类型

版本

Windows Server

  • Windows Server 2008(EOL之前的漏洞)

  • Windows Server 2012(EOL之前的漏洞)

  • Windows Server 2016

  • Windows Server 2019

  • Windows Server 2022

CentOS

  • CentOS 7

  • CentOS 5(EOL之前的漏洞)

  • CentOS 6(EOL之前的漏洞)

  • CentOS 8(EOL之前的漏洞)

Redhat

  • Redhat 9

  • Redhat 7

  • Redhat 8

  • Redhat 5(EOL之前的漏洞)

  • Redhat6(EOL之前的漏洞)

Ubuntu

  • Ubuntu 12(EOL之前的漏洞)

  • Ubuntu 14(EOL之前的漏洞)

  • Ubuntu 16(EOL之前的漏洞)

  • Ubuntu 18(EOL之前的漏洞)

  • Ubuntu 20

  • Ubuntu 21

  • Ubuntu 22.04

Alibaba Cloud Linux

  • Alibaba Cloud Linux 2.1903

  • Alibaba Cloud Linux 3

Anolis OS

  • Anolis OS 8

  • Anolis OS 7

Debian

  • Debian 8

  • Debian 9

  • Debian 10

说明

仅支持扫描,不支持修复。

SUSE

  • openSUSE

    • openSUSE 10.1(EOL之前的漏洞)

    • openSUSE 10.2(EOL之前的漏洞)

    • openSUSE 10.3(EOL之前的漏洞)

    • openSUSE 11.0(EOL之前的漏洞)

    • openSUSE 11.1(EOL之前的漏洞)

    • openSUSE 11.2(EOL之前的漏洞)

    • openSUSE 11.3(EOL之前的漏洞)

    • openSUSE 11.4(EOL之前的漏洞)

    • openSUSE 12.1(EOL之前的漏洞)

    • openSUSE 12.2(EOL之前的漏洞)

    • openSUSE 12.3(EOL之前的漏洞)

    • openSUSE 13.1(EOL之前的漏洞)

    • openSUSE 13.2(EOL之前的漏洞)

    • openSUSE Leap 42.1(EOL之前的漏洞)

    • openSUSE Leap 42.2(EOL之前的漏洞)

    • openSUSE Leap 42.3(EOL之前的漏洞)

    • openSUSE Leap 15.0(EOL之前的漏洞)

    • openSUSE Leap 15.1(EOL之前的漏洞)

    • openSUSE Leap 15.2(EOL之前的漏洞)

    • openSUSE Leap 15.3(EOL之前的漏洞)

    • openSUSE Leap 15.4

    • openSUSE Leap 15.5

  • SUSE Linux Enterprise

    • SLES 6(EOL之前的漏洞)

    • SLES 10(EOL之前的漏洞)

    • SLES 10 SP2(EOL之前的漏洞)

    • SLES 10 SP3(EOL之前的漏洞)

    • SLES 10 SP4(EOL之前的漏洞)

    • SLES 11 SP1(EOL之前的漏洞)

    • SLES 11 SP2(EOL之前的漏洞)

    • SLES 11 SP3(EOL之前的漏洞)

    • SLES 11 SP4(EOL之前的漏洞)

    • SLES 12(EOL之前的漏洞)

    • SLES 12 SP1(EOL之前的漏洞)

    • SLES 12 SP2(EOL之前的漏洞)

    • SLES 12 SP3(EOL之前的漏洞)

    • SLES 12 SP4(EOL之前的漏洞)

    • SLES 12 SP5

麒麟

银河麒麟高级服务器操作系统 V10

操作系统生命周期限制

针对下表所示的已终止生命周期(EOL)的操作系统,云安全中心对在官方终止生命周期时间之后出现的Linux软件漏洞和Windows系统漏洞,不再支持扫描检测和修复。Web-CMS漏洞、应用漏洞、应急漏洞的扫描和修复以及云安全中心支持的其他功能不受影响。

操作系统版本

官方终止生命周期(EOL)时间

云安全中心支持漏洞补丁情况

Windows Server 2003

2015年07月14日

云安全中心支持检测和修复2015年07月14日之前出现的漏洞补丁。

Windows Server 2008

2020年01月14日

云安全中心支持检测和修复2020年01月14日之前出现的漏洞补丁。

Windows Server 2008 R2

2020年01月14日

云安全中心支持检测和修复2020年01月14日之前出现的漏洞补丁。

Windows Server 2008 SP2

2020年01月14日

云安全中心支持检测和修复2020年01月14日之前出现的漏洞补丁。

Windows Server 2012

2023年10月10日

云安全中心支持检测和修复2023年10月10日之前出现的漏洞补丁。

Windows Server 2012 R2

2023年10月10日

云安全中心支持检测和修复2023年10月10日之前出现的漏洞补丁。

Ubuntu 12.04 LTS

2017年04月28日

云安全中心支持检测和修复2017年04月28日之前出现的漏洞补丁。

Ubuntu 14.04 LTS

2019年04月

云安全中心支持检测和修复2019年04月之前出现的漏洞补丁。

Ubuntu 16.04 LTS

2021年04月

云安全中心支持检测和修复2021年04月之前出现的漏洞补丁。

Ubuntu 18.04 LTS

2023年04月

云安全中心支持检测和修复2023年04月之前出现的漏洞补丁。

CentOS 5

2017年03月31日

云安全中心支持检测和修复2017年03月31日之前出现的漏洞补丁。

CentOS 6

2020年11月30日

云安全中心支持检测和修复2020年11月30日之前出现的漏洞补丁。

CentOS 8

2021年12月31日

云安全中心支持检测和修复2021年12月31日之前出现的漏洞补丁。

Redhat 5

2017年03月31日

云安全中心支持检测和修复2017年03月31日之前出现的漏洞补丁。

Redhat 6

2020年11月30日

云安全中心支持检测和修复2020年11月30日之前出现的漏洞补丁。

漏洞数据保留时间说明

为了保证漏洞管理系统的清洁和高效,防止长期产生的漏洞占据资源,系统会自动删除长时间状态无变化的漏洞。

  • 如果一个漏洞处于未失效状态,未失效状态包括:修复成功、修复失败、已忽略、未修复、修复中、验证中等,且其状态保持不变超过一年,那么这个漏洞将会被系统自动删除。

  • 漏洞状态变成为漏洞已失效后,漏洞已失效状态保持时间超过您在漏洞管理设置中选择的失效漏洞自动删除时间时,该漏洞会被系统自动删除。关于漏洞失效的更多信息,请参见查看漏洞详情

    image

相关文档