甲方安全之企業安全自動化工具SeMF分享
前言:
上一篇文章《“傳說中”的甲方安全》釋出已經半年的時間,文章結尾說開源自建的安全管理平臺,但是一直跳票。我澄清一下,跟領導PK敗了,所以原始版本是不讓開源的,用了半年時間,我這邊新寫了一套企業安全管理框架(SecurityManageFramwork),簡稱SeMF,相對於原始版本,各有優劣吧,原始版本功能較多,但是整個系統高度定製化,通用性較小;新版本的話功能較少,但從設計開始考慮到不同企業的需求,許可權和功能定製化不需要改程式碼,後臺更改變數就可以實現。也說不清哪個更好用,目前已經開源,供各位小夥伴們試用,後續會根據反饋的資訊新增功能。
專案地址:https://gitee.com/gy071089/SecurityManageFramwork
專案介紹:
企業內網安全管理平臺,包含資產管理,漏洞管理,賬號管理,知識庫管、安全掃描自動化功能模組,可用於企業內部的安全管理制度落地。 本平臺旨在幫助安全人員少,業務線繁雜,週期巡檢困難,自動化程度低的企業,更好的實現企業內部的安全管理。
功能模組:
SeMF總共有資產管理、網路對映、漏洞管理、任務管理、報表中心、知識共享、使用者管理七個通用模組。用於企業安全建設的第一階段,以下為該系統的結構圖和主頁面
1. 資產管理
資產是安全管理的核心,看過好多企業安全管理的文章,基本上第一部分都是公司資產的梳理,確認需要管理的資產並進行資產分級。能看懂程式碼的就會發現,我們的安全管理平臺核心就是資產,其他幾個模組都是圍繞資產進行擴充套件的。
該模組的話實現了高度可擴充套件,可通過管理地址 ip:port/semf/ 對系統內的資產分類,資訊歸屬以及資產屬性進行自定義設定,即便不會開發,也可根據自己公司的實際情況進行自定義。確保需要管理的資產不會遺漏。如下圖所示定義資產型別,以及資產型別關聯屬性。該頁面僅超級管理員可訪問,訪問地址也可進行變更。(系統中資料初始化時定義了部分資產和屬性,使用者可自行修改
設定完成後我們在系統的資產管理介面如下包含資產增刪查改、審批,埠掃描,週期巡檢(需要新增掃描器)等功能,直接上圖,篇幅受限,這裡僅顯示部分吧:
這一部分單獨劃分完全是工作需要,我相信大部分公司伺服器對外開放都有記錄資訊收集不難,這個模組與日誌分析功能(被閹割了)配套使用的,避免在安全分析中分不清各系統之間的關聯產生操作失誤,吃過虧。放在1.0版本的裡是為了讓大家在資產收集過程中一起梳理以下,防止以後二次梳理,反正後邊也要用。安全人員可以通過這個頁面點選檢視所有資訊。截圖如下:
這個模組主要是用於安全掃描的自動化和週期巡檢的,目前僅加入了Nessus掃描器,預留AWVS,MobSF兩款掃描器,後續會陸續開放,如果需要其他掃描器對接的話可以提交issue,記得提供API文件啊。
這個模組的話不僅可以簡介操作Nessus,還可以同步已經建立的任務結果,很實用啊,不需要為了採集資料重新掃描;另一方面,它自帶漏洞過濾模組,在後臺設定需要過濾的漏洞,比如一些需要降級或者掃描器整改方案不夠詳細的漏洞。掃描結果同步時會自動更新過濾,掃描報告不需要人工分析了。(說實話,原始版本中包含了系統層,Web應用,移動應用和自建掃描器的週期巡檢,但是家裡沒有測試環境,就沒有新增,只留了Nessus,各位大佬可根據自己公司的情況進行新增)
4. 漏洞管理
這個模組就是身在甲方的我最需要的模組,也是這個平臺的起點,(想當年,面對N多個業務系統,每次上百各安全漏洞,對每個漏洞修復跟進和複查 ,著實心累,好不容易修復了,研發給回滾了,都是淚啊),這個模組的話能看到當前所有資產的漏洞和相關資訊,便於跟進,待修復漏洞一目瞭然,而且給業務部門自己建賬號的話,他們只能看到自己的漏洞,還算比較實用吧。(我們公司安全,運維,業務各自有賬號,這樣的話漏洞直接三方看,基本上不會出現你推我,我退你的情況,漏洞不會修的話,我們知識庫很全的,具體到操作哪條命令,而且回滾被發現了,直接漏洞重現,很醒目,媽媽再也不用擔心我累吐血了,話題貌似跑歪了)
該模組的話,安全管理擁有完全的控制許可權,普通使用者僅能選擇修復還是忽略,許可權控制還是比較完善的。
漏洞管理的話第二大亮點就是同步了CNVD漏洞庫,目前的話同步了2萬多條漏洞資訊,可實現本地查詢,當然,漏洞資訊管理員是可以改的,效果圖如下:
5. 報表中心
這個模組的話我只寫了資產分類,漏洞分類、分級,高危漏洞統計,近期安全態勢等,會開發的童鞋可自己新增,參照我給的圖寫就行,反正餅圖、柱狀圖,折線圖都有了;看不懂程式碼的話可以加群或者專案下留言,需求多的話我就加上。看圖
6. 知識共享
這個模組可以說是我最喜歡的模組,也是我為什麼部落格文章很少的原因(剛到公司的時候我自信滿滿,然後遇到了什麼都不懂的業務人員被教做人,簡單的問題都要我寫個操作指南,具體到執行哪條命令,簡直折磨人,我的大好青春就這麼白白浪費),系統建成後,直接跟修復指南上傳跟漏洞管理,你要是再不會修,那隻能找你領導說說了
還有就是如果知識庫發表的時候分類是通告類的,會主動給所有使用者傳送提醒,提醒檢視,適用於安全預警和週期巡檢。沒啥可看的,直接上圖,支援富文字:
7. 使用者管理
這個模組的話主要是給不會開發的同學準備的,因為不同公司的組織和人員職責不一樣,尋找RBAC原則,使用者角色和許可權可以通過後臺自定義,不用動程式碼也可以調整,當然,這個系統裡的資訊都很隱私,所有賬戶加了各審批(預設禁用註冊,需要管理員新增資訊,然後發郵件給使用者,使用者才能註冊)
整個系統閹割了 日誌分析、任務管理以及流程管理上的模組,因為這些東西和公司系統依賴比較高,就不開源了,等我找到替代方案,再完善,有建議的小夥伴可以找我聯絡。
相關文章
- 甲方安全建設之研發安全-SCA
- 企業IT安全:國防安全之縮影
- DevSecOps自動化安全測試常用工具dev
- 企業安全實踐經驗分享
- 滲透測試與自動化安全測試工具比較
- Klocwork—符合功能安全要求的自動化靜態測試工具
- Klocwork — 符合功能安全要求的自動化靜態測試工具
- CRD實現自動化容器安全方法
- 企業安全管理(二)
- 企業安全管理(一)
- 安全自動化:資料比流程更重要
- 【線下活動】走進企業看安全
- 某農信企業自主創新自動化安全基線檢測平臺建設實踐
- 2021年軟體測試工具大全(自動化、介面、效能、安全、測試管理)
- 行業安全解決方案|騰訊打造汽車一體化安全防護,助力車企數字化安全行業
- 安全測試工具之-BurpsuiteUI
- 360企業安全瀏覽器SaaS版“暖冬計劃”啟動,加碼助力中小企業安全上雲瀏覽器
- 流程自動化軟體:賦能現代企業的強大工具
- 移動app安全測試工具好物分享,移動app安全測試報告費用標準APP測試報告
- 企業安全風險智慧管控平臺精準解決危化企業安全生產管理難題
- 預告丨產業安全專家論壇之《資料安全法》下的企業資料安全建設產業
- 雲時代重新定義主機安全:自動化安全閉環是核心
- 安全的IT自動化運維工具用什麼好?可以節省時間嗎?運維
- 自動化運維工具之Puppet模組運維
- 【網路安全】知名網路安全企業有哪些?
- 漫談企業資訊化安全 - 零信任架構架構
- 中央企業數字化轉型安全建設(下)
- 管理自動化:企業上雲必由之路
- 甲方安全建設之日誌採集實操乾貨
- 物流企業案例分享,看綠盟一體化安全運營服務方案“顯真招”
- .NET企業應用安全開發動向-概覽
- 《使用安全外殼 (SSH) 的互動和自動化訪問管理的安全性》筆記筆記
- 騰訊安全:2019年企業安全威脅報告
- 安全牛:2020中國網路安全企業100強
- 雲安全解決方案|讓企業用上安全的雲
- TalkingData安全島推出,打造企業安全合規新模式模式
- 企業如何保障網站安全?網站
- SIEM是什麼?企業安全