Security Center漏洞管理支援發現和識別作業系統、Web內容管理系統、應用程式中的安全性漏洞,可對漏洞進行優先順序和風險評估,並支援一鍵修複部分漏洞,可以協助您縮小系統的攻擊面。本文介紹漏洞修複功能支援掃描和修複的漏洞類型、漏洞修複的優先順序以及對作業系統的限制說明。
漏洞規則更新時間說明
Security Center會在作業系統供應商發布資訊安全諮詢後的一段時間內,將對應的漏洞檢測規則補充到支援檢測的漏洞列表中。下面是詳細的更新時間說明。
Linux系統:針對Linux系統的CVE檢測將在作業系統供應商發布資訊安全諮詢後的14*24小時內添加到Security Center支援檢測的漏洞列表中,其中高危漏洞會在48小時內完成添加。
Windows系統:針對Windows系統的CVE檢測會在微軟發布資訊安全諮詢後的48小時內添加到Security Center支援檢測的漏洞列表中。
您可以在Security Center控制台查看支援檢測的漏洞列表,來確認是否支援相應漏洞的檢測。
在節假日期間漏洞更新可能會延遲。如果您有掃描緊急漏洞的需求,請提交工單聯絡我們。
漏洞修複計費說明
不同版本使用說明
進階版、企業版和旗艦版使用者:無需額外購買,已綁定授權的伺服器可通過Security Center控制台下發修複命令或調用API介面OperateVuls - 修複Linux軟體漏洞或ModifyOperateVul - 對檢測到的漏洞進行處理修複漏洞,且不限制修複次數。
免費版、僅採購增值服務版和防病毒版使用者:需開通隨用隨付或通過訂用帳戶方式購買漏洞修複次數,才能通過Security Center控制台下發修複命令或調用API介面OperateVuls - 修複Linux軟體漏洞或ModifyOperateVul - 對檢測到的漏洞進行處理使用Security Center提供的漏洞修複能力。
漏洞修複次數計算規則
通過Security Center成功修複一台伺服器上的一個漏洞,意味著完成了該伺服器上與該漏洞公告相關的所有CVE漏洞修複。一個漏洞公告可能包含同一軟體的多個CVE漏洞。
例如,您有5台伺服器需要修複漏洞,每台伺服器均有10個漏洞(即漏洞公告),均通過Security Center控制台下發漏洞修複命令,且所有漏洞都修複成功,則計數為50次。
修複後需重啟的伺服器,重啟後漏洞修複狀態為已修複時,才會統計漏洞修複次數。
修複失敗的漏洞不統計漏洞修複次數。
支援掃描和修複的漏洞類型
下表介紹Security Center的不同版本對各類型漏洞的掃描、修複的支援情況。
下表中的標識說明如下:
:表示支援。
:表示不支援。
漏洞類型 | 功能模組 | 免費版 | 僅採購增值服務 | 防病毒版 | 進階版 | 企業版 | 旗艦版 |
Linux軟體漏洞 | 手動掃描漏洞 | ||||||
自動掃描漏洞(周期性) | (預設每2天) | (預設每2天) | (預設每2天) | (預設每天) | (預設每天) | (預設每天) | |
漏洞修複 | 購買漏洞修複次數或開通隨用隨付 | 購買漏洞修複次數或開通隨用隨付 | |||||
Windows系統漏洞 | 手動掃描漏洞 | ||||||
自動掃描漏洞(周期性) | (預設每2天) | (預設每2天) | (預設每2天) | (預設每天) | (預設每天) | (預設每天) | |
漏洞修複 | 需購買漏洞修複次數 | 需購買漏洞修複次數 | |||||
Web-CMS漏洞 | 手動掃描漏洞 | ||||||
自動掃描漏洞(周期性) | (預設每2天) | (預設每2天) | (預設每2天) | (預設每天) | (預設每天) | (預設每天) | |
漏洞修複 | |||||||
應用漏洞 | 手動掃描漏洞 | ||||||
自動掃描漏洞(周期性) | (每周,支援配置) | (每周,支援配置) | |||||
漏洞修複 | |||||||
應急漏洞 | 手動掃描漏洞 | ||||||
自動掃描漏洞(周期性) | (每周,支援配置) | (每周,支援配置) | (每周,支援配置) | ||||
漏洞修複 |
Security Center僅支援掃描應急漏洞和應用漏洞,不支援修複。您需要根據漏洞詳情中提供的修複建議,登入伺服器手動修複。
漏洞修複優先順序
當您的資產被掃描出存在多個漏洞時,您可能無法確認優先修複哪個漏洞。針對此情境,Security Center提供的阿里雲漏洞脆弱性評分系統能評估修複漏洞的優先順序,協助您做出漏洞修複優先順序決策。
阿里雲漏洞脆弱性評分系統
通用漏洞評分系統(Common Vulnerability Scoring System,簡稱CVSS)在捕捉漏洞的範圍和影響方面成效顯著,該系統不僅能夠評估某個漏洞被利用的可能性,還能很好地解釋該漏洞被利用會有什麼後果。阿里雲在CVSS的基礎上,結合實際攻防情境下漏洞嚴重性層級開發了阿里雲漏洞脆弱性評分系統。
阿里雲漏洞脆弱性評分系統在使用CVSS確定漏洞修複優先順序和嚴重性的基礎上,根據云上實際攻防情境下漏洞嚴重性層級(嚴重、高、中和低),結合互連網實際披露的漏洞可利用程式狀態,以及Security Center入侵檢測資料模型中的駭客利用漏洞的成熟度等級對漏洞進行評分,協助企業提高資產高可利用風險漏洞的補救效率以及補救措施的有效性。
漏洞的嚴重性層級由四個因素決定:
技術影響
利用成熟度等級(PoC、EXP、蠕蟲或病毒武器化)
風險威脅(伺服器許可權失陷與否)
受影響數量級(互連網受影響IP量級決定漏洞被駭客關注程度)
漏洞修複緊急度得分計算模型
漏洞修複的緊急度得分是一個動態變化的資料。當漏洞被披露時,阿里雲漏洞脆弱性評分系統會根據漏洞本身固有特性所可能造成的影響給該漏洞一個基本評分,即阿里雲漏洞脆弱性評分。隨著時間的推移,通過軟體版本的更新對漏洞進行修複,存在漏洞的系統越來越少,漏洞的威脅也越來越小,漏洞修複緊急度得分也應該隨之降低。另外漏洞修複緊急度得分還與資產的部署環境、資產的重要性有關。
綜合以上影響漏洞修複緊急度得分的因素,阿里雲漏洞修複緊急度得分計算模型如下:
漏洞修複緊急度得分=阿里雲漏洞脆弱性評分*時間因子*實際環境因子*資產重要性因子
計算模型中的各參數的說明如下:
參數 | 參數項解釋 | 附加說明 |
阿里雲漏洞脆弱性評分 | 基於阿里雲漏洞脆弱性評分系統指標。 | 阿里雲漏洞脆弱性評分系統指標,用來評測漏洞的嚴重程度。 |
時間因子 | 綜合了漏洞緩解措施受部署的時間延遲和漏洞利用方法的普及等因素後,形成的一條動態變化的時間曲線。取值範圍為0~1。 | 在漏洞公開的前三天,由於曝光率的增加,該漏洞被利用的機率會急劇增加,時間因子將從0增加並達到短暫的峰值(小於1),隨後急劇下降。隨著時間的推移,對漏洞成熟的利用手段將越來越多,漏洞實際利用難度在下降,時間因子將在100天之內逐漸增加並趨近於1。 |
實際環境因子 | 您伺服器的實際環境。Security Center對該漏洞利用所需的條件和您伺服器的狀態進行綜合考慮,得出一個環境風險因子。實際環境因子對判斷漏洞風險非常重要。 | 當前納入參考的環境因素有:
|
資產重要性因子 | 當伺服器數量很多時,系統為不同的伺服器資產賦予不同使用情境下的重要性分值,並把該分值納入漏洞修複緊急度得分的計算之中,為您有序修複漏洞提供有價值的參考。 | 資產重要性因子預設值為1。您可以在主機資產版面設定資產重要性為重要、一般或測試。以下是不同類型資產對應的資產重要因子:
|
漏洞修複優先順序
您可根據漏洞修複緊急度得分按照漏洞修複的優先順序順序修複漏洞。
漏洞修複緊急度得分與修複優先順序對照表如下:
優先順序 | 描述 | 修複緊急度得分 | 修複建議 |
高 | 該評級是針對未經身分識別驗證的遠程攻擊者可以輕鬆利用並導致系統受損(任意代碼執行)而無需使用者互動的漏洞。此類漏洞通常為蠕蟲、勒索軟體等利用的漏洞。 | 13.5分以上 | 該漏洞需儘快修複。 |
中 | 該評級適用於潛在可能危及資源的機密性、完整性或可用性的缺陷。此類漏洞通常為暫無法真實可利用,但官方或互連網上披露的評級較高漏洞,建議持續關注。 | 7.1~13.5分 | 該漏洞可延後修複。 |
低 | 該評級適用於能被成功利用可能性極低或者成功利用後無實際風險的漏洞。此類漏洞通常是程式原始碼中的BUG缺陷,以及對合規情境和業務效能有影響的漏洞。 | 7分以下 | 該漏洞可暫不修複。 |
由於網路抖動等原因導致Security Center無法擷取該漏洞的環境因子時,漏洞修複建議會展示為可暫不修複。
應急漏洞和Web-CMS漏洞均為阿里雲安全工程師確認後的高危漏洞,建議您儘快修複這兩類漏洞。
限制說明
漏洞掃描和修複支援的作業系統
作業系統類型 | 版本 |
Windows Server |
|
CentOS |
|
Redhat |
|
Ubuntu |
|
Alibaba Cloud Linux |
|
Anolis OS |
|
Debian |
說明 僅支援掃描,不支援修複。 |
SUSE |
|
麒麟 | 銀河麒麟進階伺服器作業系統 V10 |
作業系統生命週期限制
針對下表所示的已終止生命週期(EOL)的作業系統,Security Center對在官方終止生命週期時間之後出現的Linux軟體漏洞和Windows系統漏洞,不再支援掃描檢測和修複。Web-CMS漏洞、應用漏洞、應急漏洞的掃描和修複以及Security Center支援的其他功能不受影響。
作業系統版本 | 官方終止生命週期(EOL)時間 | Security Center支援漏洞補丁情況 |
Windows Server 2003 | 2015年07月14日 | Security Center支援檢測和修複2015年07月14日之前出現的漏洞補丁。 |
Windows Server 2008 | 2020年01月14日 | Security Center支援檢測和修複2020年01月14日之前出現的漏洞補丁。 |
Windows Server 2008 R2 | 2020年01月14日 | Security Center支援檢測和修複2020年01月14日之前出現的漏洞補丁。 |
Windows Server 2008 SP2 | 2020年01月14日 | Security Center支援檢測和修複2020年01月14日之前出現的漏洞補丁。 |
Windows Server 2012 | 2023年10月10日 | Security Center支援檢測和修複2023年10月10日之前出現的漏洞補丁。 |
Windows Server 2012 R2 | 2023年10月10日 | Security Center支援檢測和修複2023年10月10日之前出現的漏洞補丁。 |
Ubuntu 12.04 LTS | 2017年04月28日 | Security Center支援檢測和修複2017年04月28日之前出現的漏洞補丁。 |
Ubuntu 14.04 LTS | 2019年04月 | Security Center支援檢測和修複2019年04月之前出現的漏洞補丁。 |
Ubuntu 16.04 LTS | 2021年04月 | Security Center支援檢測和修複2021年04月之前出現的漏洞補丁。 |
Ubuntu 18.04 LTS | 2023年04月 | Security Center支援檢測和修複2023年04月之前出現的漏洞補丁。 |
CentOS 5 | 2017年03月31日 | Security Center支援檢測和修複2017年03月31日之前出現的漏洞補丁。 |
CentOS 6 | 2020年11月30日 | Security Center支援檢測和修複2020年11月30日之前出現的漏洞補丁。 |
CentOS 8 | 2021年12月31日 | Security Center支援檢測和修複2021年12月31日之前出現的漏洞補丁。 |
Redhat 5 | 2017年03月31日 | Security Center支援檢測和修複2017年03月31日之前出現的漏洞補丁。 |
Redhat 6 | 2020年11月30日 | Security Center支援檢測和修複2020年11月30日之前出現的漏洞補丁。 |
漏洞資料保留時間說明
為了保證漏洞管理系統的清潔和高效,防止長期產生的漏洞佔據資源,系統會自動刪除長時間狀態無變化的漏洞。
如果一個漏洞處於未失效狀態,未失效狀態包括:修複成功、修複失敗、已忽略、未修複、修複中、驗證中等,且其狀態保持不變超過一年,那麼這個漏洞將會被系統自動刪除。
漏洞狀態變成為漏洞已失效後,漏洞已失效狀態保持時間超過您在漏洞管理設定中選擇的保留無效 Vul時間時,該漏洞會被系統自動刪除。關於漏洞失效的更多資訊,請參見查看漏洞詳情。