論漏洞管理平臺的自我修養
對于企業內部的安全負責人來說,漏洞管理就像一個無底洞。新的應用不斷上線,老系統更新版本,讓漏洞源源不斷。長久下來,好像漏洞無窮無盡,怎么都修不完。漏洞挖掘和漏洞管理就像一個無底洞,是一個永遠不能填平的坑。
漏洞管理這個概念業界提出來也是有很久了,但是一直沒有特別好的實踐案例。總結起來導致這樣的情況的原因主要有以下5個方面:
1. 漏洞來源多
安全管理工作最重要的一點,就是不斷的發現自身弱點并加強自身,所以用各種手段發現自身網絡的弱點,是至關重要的一環。
隨著企業安全建設的不斷深入,漏洞發現的渠道變得越來越多。包括:系統漏洞掃描器、web漏洞掃描器、代碼審計系統、基線檢查工具、POC漏洞驗證腳本、人工滲透測試、甚至自建或第三方代管的SRC。
2. 修復涉及人員多
整個漏洞安全管理的漏洞發現、漏洞驗證、漏洞修復、漏洞跟蹤和驗收等工作環節中,會有各類崗位上的人員參與。包括:第三方安全廠商安全服務外包人員、內部安全管理團隊、內部的產品研發團隊、第三方產品研發團隊、安全負責人和安全部門上級領導。與各個環節的人員溝通協調的工作相當復雜,消耗相當多的精力。
3. 工作結果數據雜
在企業安全管理的過程中,安全漏洞管理是復雜繁瑣、讓人頭痛的事情,漏洞錄入、跟進、處理、驗證、修復完成整個循壞下來。期間會出現無數的文檔,包括漏洞說明文檔、漏洞驗證文檔、漏洞修復建議文檔、各類漏洞修復的過程文檔和各個環節的溝通信息。會出現成千上萬的信息。這需要好的方法與技巧,不然著實讓人充滿疲憊與無力感。
4. 對接廠商和品牌多
第三方的安全服務始終是安全管理工作投入最多的部分。漏洞挖掘的工作涉及的范圍多,涉及的廠商和人員多、涉及到的設備類型也多。外包工作的管理繁雜,如何科學的評估廠商的能力需要完整的數據支撐。
5. 安全管理平臺多
態勢感知、SOC、SIEM等系統都需要大量的數據。大多數是圍繞著流量、日志、告警為核心的平臺,但是漏洞的管理數據維度多,來源雜,要將該類數據納入到統一管理平臺涉及的工作十分的多,維護起來也非常復雜。想要做好自動化調度更是涉及的工作內容繁復。
在具體的漏洞管理工作中,我們面臨的問題遠遠不止上述這些。那么一個好的漏洞管理平臺需要具備哪些自我修養,才能解決上述問題呢?
筆者認為一款好的漏洞管理平臺應該具備以下幾個特征:全面且開放、自動化和流程化、及時響應和數據支撐決策,用于應對上述的問題。
1. 全面且開放:
全面收錄漏洞相關的數據,做到一個平臺覆蓋所有漏洞相關的數據。
第一:具備資產探測能力,可以全方位的覆蓋管轄資產,不遺漏任何可能存在的薄弱環節。不論是硬件還是軟件,不論是應用還是數據,這些都需要通過明確的資產臺賬記錄,并分配明確的安全責任人。保證漏洞檢測對象覆蓋全面;
第二:對各類來源的漏洞秉持開放態度,接受所有品牌和各種類型來源的漏洞數據,包括漏洞掃描器、基線檢測、代碼審計、灰盒檢測工具、風險評估、滲透測試、眾測、企業SRC等平臺數據。數據來源覆蓋全面;
第三:對為企業做滲透測試、代碼審計、漏洞掃描、基線檢測的三方安全服務廠商開放并建立對應身份的賬號,便于三方安全服務廠商基于漏洞管理平臺工作。并可以通過漏洞管理系統統一下發各類漏洞檢測任務至第三方服務商,形成更加高效的協作方式,提高效率、方便管理;
第四:可將資產和漏洞數據對內部的統一安全管理平臺開放,提供為統一安全管理平臺輸入資產和漏洞相關數據的能力。
2. 自動化和流程化:
第一,自動調度:具備可以自動化調度各類掃描器,自動收集漏洞數據。讓數據收集的工作不再只是通過表格傳遞,讓數據可以有歷史依據,方便查找和后續的漏洞管理;
第二,自動任務:合理的周期掃描不僅可以幫助公司更快發現漏洞,還可以幫助他們大大降低網絡風險。具備靈活的制定計劃任務的能力,可根據漏洞驗證和修復節奏來制定計劃任務,讓漏洞掃描任務低調靜默執行;
第三,處置流程:將漏洞通過客戶現有的工作流程下發,盡可能讓安全管理團隊和其他業務部門的配合工作可同步到企業內部的工作流程中去,不另開流程讓漏洞管理平臺低調運行,不讓客戶內部配合成本增加。
3. 及時響應:
第一:及時的1day漏洞響應能力,可快速通過資產臺賬各類指紋條件進行過濾,定位受影響資產,及時決策;
第二:通過SAAS化的漏洞響應中心快速通報和同步新漏洞的POC,協助客戶快速驗證漏洞是否存在于企業內部資產中。披露了漏洞利用詳情的重大漏洞,其對應的POC響應時長不能超過24小時,從而更加及時的應對新型漏洞。
4. 數據支撐決策:
第一:所有漏洞數據可以清晰的統計出,待驗證、待修復、待驗收等各項關鍵指標,也可以基于業務場景、系統管理部門、問題處置時長等各種維度統計漏洞各項數據。以便安全團隊基于數據推進和匯報工作。讓漏洞管理工作的決策有理可循,有據可依;
第二:通過平臺發放第三方外包人員賬號,滲透測試、漏洞掃描、基線檢測、風險評估、代碼審計這一類的安全服務工作的成果數據都錄入到系統,可更好的查看工作進度。也可以通過平臺輸出統一的報告文檔。種類眾多的安全服務周期性強,數據文檔多,判斷一個服務商的工作成果是否好,不再只是通過幾次優秀表現、主觀感受和關系親疏來判斷,而是可以基于累計的整體數據綜合評估,有理有據;
第三:資產數據、漏洞數據結合業務場景更加綜合的分析得出哪些部分需要加強防御策略,基于業務重要性和漏洞嚴重性判斷,調整漏洞修復策略的優先級。
總結:
一個好的平臺可以讓漏洞管理工作更加輕松有效,讓更多的精力投入到如何加強漏洞挖掘能力和提高安全事件響應能力的建設上去。
