對于企業内部的安全負責人來說,漏洞管理就像一個無底洞。新的應用不斷上線,老系統更新版本,讓漏洞源源不斷。長久下來,好像漏洞無窮無盡,怎麼都修不完。漏洞挖掘和漏洞管理就像一個無底洞,是一個永遠不能填平的坑。
漏洞管理這個概念業界提出來也是有很久了,但是一直沒有特别好的實踐案例。總結起來導緻這樣的情況的原因主要有以下5個方面:
1、漏洞的來源多
安全管理工作最重要的一點,就是不斷的發現自身弱點并加強自身,是以用各種手段發現自身網絡的弱點,是至關重要的一環。随着企業安全建設的不斷深入,漏洞發現的管道變得越來越多。包括:系統漏洞掃描器、web漏洞掃描器、代碼審計系統、基線檢查工具、POC漏洞驗證腳本、人工滲透測試、甚至自建或第三方代管的SRC。
2、修複涉及人員多
整個漏洞安全管理的漏洞發現、漏洞驗證、漏洞修複、漏洞跟蹤和驗收等工作環節中,會有各類崗位上的人員參與。包括:第三方安全廠商安全服務外包人員、内部安全管理團隊、内部的産品研發團隊、第三方産品研發團隊、安全負責人和安全部門上級上司。與各個環節的人員溝通協調的工作相當複雜,消耗相當多的精力。
3、工作結果資料雜
在企業安全管理的過程中,安全漏洞管理是複雜繁瑣、讓人頭痛的事情,漏洞錄入、跟進、處理、驗證、修複完成整個循壞下來。期間會出現無數的文檔,包括漏洞說明文檔、漏洞驗證文檔、漏洞修複建議文檔、各類漏洞修複的過程文檔和各個環節的溝通資訊。會出現成千上萬的資訊。這需要好的方法與技巧,不然着實讓人充滿疲憊與無力感。
4、對接廠商和品牌多
第三方的安全服務始終是安全管理工作投入最多的部分。漏洞挖掘的工作涉及的範圍多,涉及的廠商和人員多、涉及到的裝置類型也多。外包工作的管理繁雜,如何科學的評估廠商的能力需要完整的資料支撐。
5、安全管理平台多
态勢感覺、SOC、SIEM等系統都需要大量的資料。大多數是圍繞着流量、日志、告警為核心的平台,但是漏洞的管理資料次元多,來源雜,要将該類資料納入到統一管理平台涉及的工作十分的多,維護起來也非常複雜。想要做好自動化排程更是涉及的工作内容繁複。
在具體的漏洞管理工作中,我們面臨的問題遠遠不止上述這些。那麼一個好的漏洞管理平台需要具備哪些自我修養,才能解決上述問題呢?筆者認為一款好的漏洞管理平台應該具備以下幾個特征:全面且開放、自動化和流程化、及時響應和資料支撐決策,用于應對上述的問題。
1、全面且開放:
全面收錄漏洞相關的資料,做到一個平台覆寫所有漏洞相關的資料。
第一:具備資産探測能力,可以全方位的覆寫管轄資産,不遺漏任何可能存在的薄弱環節。不論是硬體還是軟體,不論是應用還是資料,這些都需要通過明确的資産台賬記錄,并配置設定明确的安全責任人。保證漏洞檢測對象覆寫全面;
第二:對各類來源的漏洞秉持開放态度,接受所有品牌和各種類型來源的漏洞資料,包括漏洞掃描器、基線檢測、代碼審計、灰盒檢測工具、風險評估、滲透測試、衆測、企業SRC等平台資料。資料來源覆寫全面;
第三:對為企業做滲透測試、代碼審計、漏洞掃描、基線檢測的三方安全服務廠商開放并建立對應身份的賬号,便于三方安全服務廠商基于漏洞管理平台工作。并可以通過漏洞管理系統統一下發各類漏洞檢測任務至第三方服務商,形成更加高效的協作方式,提高效率、友善管理;
第四:可将資産和漏洞資料對内部的統一安全管理平台開放,提供為統一安全管理平台輸入資産和漏洞相關資料的能力。
2、自動化和流程化:
第一,自動排程:具備可以自動化排程各類掃描器,自動收集漏洞資料。讓資料收集的工作不再隻是通過表格傳遞,讓資料可以有曆史依據,友善查找和後續的漏洞管理;
第二,自動任務:合理的周期掃描不僅可以幫助公司更快發現漏洞,還可以幫助他們大大降低網絡風險。具備靈活的制定計劃任務的能力,可根據漏洞驗證和修複節奏來制定計劃任務,讓漏洞掃描任務低調靜默執行;
第三,處置流程:将漏洞通過客戶現有的工作流程下發,盡可能讓安全管理團隊和其他業務部門的配合工作可同步到企業内部的工作流程中去,不另開流程讓漏洞管理平台低調運作,不讓客戶内部配合成本增加。
3、及時響應:
第一:及時的1day漏洞響應能力,可快速通過資産台賬各類指紋條件進行過濾,定位受影響資産,及時決策;
第二:通過SAAS化的漏洞響應中心快速通報和同步新漏洞的POC,協助客戶快速驗證漏洞是否存在于企業内部資産中。披露了漏洞利用詳情的重大漏洞,其對應的POC響應時長不能超過24小時,進而更加及時的應對新型漏洞。
4、資料支撐決策:
第一:所有漏洞資料可以清晰的統計出,待驗證、待修複、待驗收等各項關鍵名額,也可以基于業務場景、系統管理部門、問題處置時長等各種次元統計漏洞各項資料。以便安全團隊基于資料推進和彙報工作。讓漏洞管理工作的決策有理可循,有據可依;
第二:通過平台發放第三方外包人員賬号,滲透測試、漏洞掃描、基線檢測、風險評估、代碼審計這一類的安全服務工作的成果資料都錄入到系統,可更好的檢視工作進度。也可以通過平台輸出統一的報告文檔。種類衆多的安全服務周期性強,資料文檔多,判斷一個服務商的工作成果是否好,不再隻是通過幾次優秀表現、主觀感受和關系親疏來判斷,而是可以基于累計的整體資料綜合評估,有理有據;
第三:資産資料、漏洞資料結合業務場景更加綜合的分析得出哪些部分需要加強防禦政策,基于業務重要性和漏洞嚴重性判斷,調整漏洞修複政策的優先級。