对于企业内部的安全负责人来说,漏洞管理就像一个无底洞。新的应用不断上线,老系统更新版本,让漏洞源源不断。长久下来,好像漏洞无穷无尽,怎么都修不完。漏洞挖掘和漏洞管理就像一个无底洞,是一个永远不能填平的坑。
漏洞管理这个概念业界提出来也是有很久了,但是一直没有特别好的实践案例。总结起来导致这样的情况的原因主要有以下5个方面:
1. 漏洞来源多
安全管理工作最重要的一点,就是不断的发现自身弱点并加强自身,所以用各种手段发现自身网络的弱点,是至关重要的一环。
随着企业安全建设的不断深入,漏洞发现的渠道变得越来越多。包括:系统漏洞扫描器、web漏洞扫描器、代码审计系统、基线检查工具、POC漏洞验证脚本、人工渗透测试、甚至自建或第三方代管的SRC。
2. 修复涉及人员多
整个漏洞安全管理的漏洞发现、漏洞验证、漏洞修复、漏洞跟踪和验收等工作环节中,会有各类岗位上的人员参与。包括:第三方安全厂商安全服务外包人员、内部安全管理团队、内部的产品研发团队、第三方产品研发团队、安全负责人和安全部门上级领导。与各个环节的人员沟通协调的工作相当复杂,消耗相当多的精力。
3. 工作结果数据杂
在企业安全管理的过程中,安全漏洞管理是复杂繁琐、让人头痛的事情,漏洞录入、跟进、处理、验证、修复完成整个循坏下来。期间会出现无数的文档,包括漏洞说明文档、漏洞验证文档、漏洞修复建议文档、各类漏洞修复的过程文档和各个环节的沟通信息。会出现成千上万的信息。这需要好的方法与技巧,不然着实让人充满疲惫与无力感。
4. 对接厂商和品牌多
第三方的安全服务始终是安全管理工作投入最多的部分。漏洞挖掘的工作涉及的范围多,涉及的厂商和人员多、涉及到的设备类型也多。外包工作的管理繁杂,如何科学的评估厂商的能力需要完整的数据支撑。
5. 安全管理平台多
态势感知、SOC、SIEM等系统都需要大量的数据。大多数是围绕着流量、日志、告警为核心的平台,但是漏洞的管理数据维度多,来源杂,要将该类数据纳入到统一管理平台涉及的工作十分的多,维护起来也非常复杂。想要做好自动化调度更是涉及的工作内容繁复。
在具体的漏洞管理工作中,我们面临的问题远远不止上述这些。那么一个好的漏洞管理平台需要具备哪些自我修养,才能解决上述问题呢?
笔者认为一款好的漏洞管理平台应该具备以下几个特征:全面且开放、自动化和流程化、及时响应和数据支撑决策,用于应对上述的问题。
1. 全面且开放:
全面收录漏洞相关的数据,做到一个平台覆盖所有漏洞相关的数据。
第一:具备资产探测能力,可以全方位的覆盖管辖资产,不遗漏任何可能存在的薄弱环节。不论是硬件还是软件,不论是应用还是数据,这些都需要通过明确的资产台账记录,并分配明确的安全责任人。保证漏洞检测对象覆盖全面;
第二:对各类来源的漏洞秉持开放态度,接受所有品牌和各种类型来源的漏洞数据,包括漏洞扫描器、基线检测、代码审计、灰盒检测工具、风险评估、渗透测试、众测、企业SRC等平台数据。数据来源覆盖全面;
第三:对为企业做渗透测试、代码审计、漏洞扫描、基线检测的三方安全服务厂商开放并建立对应身份的账号,便于三方安全服务厂商基于漏洞管理平台工作。并可以通过漏洞管理系统统一下发各类漏洞检测任务至第三方服务商,形成更加高效的协作方式,提高效率、方便管理;
第四:可将资产和漏洞数据对内部的统一安全管理平台开放,提供为统一安全管理平台输入资产和漏洞相关数据的能力。
2. 自动化和流程化:
第一,自动调度:具备可以自动化调度各类扫描器,自动收集漏洞数据。让数据收集的工作不再只是通过表格传递,让数据可以有历史依据,方便查找和后续的漏洞管理;
第二,自动任务:合理的周期扫描不仅可以帮助公司更快发现漏洞,还可以帮助他们大大降低网络风险。具备灵活的制定计划任务的能力,可根据漏洞验证和修复节奏来制定计划任务,让漏洞扫描任务低调静默执行;
第三,处置流程:将漏洞通过客户现有的工作流程下发,尽可能让安全管理团队和其他业务部门的配合工作可同步到企业内部的工作流程中去,不另开流程让漏洞管理平台低调运行,不让客户内部配合成本增加。
3. 及时响应:
第一:及时的1day漏洞响应能力,可快速通过资产台账各类指纹条件进行过滤,定位受影响资产,及时决策;
第二:通过SAAS化的漏洞响应中心快速通报和同步新漏洞的POC,协助客户快速验证漏洞是否存在于企业内部资产中。披露了漏洞利用详情的重大漏洞,其对应的POC响应时长不能超过24小时,从而更加及时的应对新型漏洞。
4. 数据支撑决策:
第一:所有漏洞数据可以清晰的统计出,待验证、待修复、待验收等各项关键指标,也可以基于业务场景、系统管理部门、问题处置时长等各种维度统计漏洞各项数据。以便安全团队基于数据推进和汇报工作。让漏洞管理工作的决策有理可循,有据可依;
第二:通过平台发放第三方外包人员账号,渗透测试、漏洞扫描、基线检测、风险评估、代码审计这一类的安全服务工作的成果数据都录入到系统,可更好的查看工作进度。也可以通过平台输出统一的报告文档。种类众多的安全服务周期性强,数据文档多,判断一个服务商的工作成果是否好,不再只是通过几次优秀表现、主观感受和关系亲疏来判断,而是可以基于累计的整体数据综合评估,有理有据;
第三:资产数据、漏洞数据结合业务场景更加综合的分析得出哪些部分需要加强防御策略,基于业务重要性和漏洞严重性判断,调整漏洞修复策略的优先级。
总结:
一个好的平台可以让漏洞管理工作更加轻松有效,让更多的精力投入到如何加强漏洞挖掘能力和提高安全事件响应能力的建设上去。
