論漏洞管理平臺的自我修養
論漏洞管理平臺的自我修養
對於企業內部的安全負責人來說,漏洞管理就像一個無底洞。新的應用不斷上線,老系統更新版本,讓漏洞源源不斷。長久下來,好像漏洞無窮無盡,怎麼都修不完。漏洞挖掘和漏洞管理就像一個無底洞,是一個永遠不能填平的坑。
漏洞管理這個概念業界提出來也是有很久了,但是一直沒有特別好的實踐案例。總結起來導致這樣的情況的原因主要有以下5個方面:
1、漏洞的來源多
安全管理工作最重要的一點,就是不斷的發現自身弱點並加強自身,所以用各種手段發現自身網路的弱點,是至關重要的一環。隨著企業安全建設的不斷深入,漏洞發現的渠道變得越來越多。包括:系統漏洞掃描器、web漏洞掃描器、程式碼審計系統、基線檢查工具、POC漏洞驗證指令碼、人工滲透測試、甚至自建或第三方代管的SRC。
2、修復涉及人員多
整個漏洞安全管理的漏洞發現、漏洞驗證、漏洞修復、漏洞跟蹤和驗收等工作環節中,會有各類崗位上的人員參與。包括:第三方安全廠商安全服務外包人員、內部安全管理團隊、內部的產品研發團隊、第三方產品研發團隊、安全負責人和安全部門上級領導。與各個環節的人員溝通協調的工作相當複雜,消耗相當多的精力。
3、工作結果資料雜
在企業安全管理的過程中,安全漏洞管理是複雜繁瑣、讓人頭痛的事情,漏洞錄入、跟進、處理、驗證、修復完成整個循壞下來。期間會 出現無數的文件,包括漏洞說明文件、漏洞驗證文件、漏洞修復建議文件、各類漏洞修復的過程文件和各個環節的溝通訊息。會出現成千上萬的資訊。這 需要好的方法與技巧,不然著實讓人充滿疲憊與無力感。
4、對接廠商和品牌多
第三方的安全服務始終是安全管理工作投入最多的部分。漏洞挖掘的工作涉及的範圍多,涉及的廠商和人員多、涉及到的裝置型別也多。外包工作的管理繁雜,如何科學的評估廠商的能力需要完整的資料支撐。
5、安全管理平臺多
態勢感知、SOC、SIEM等系統都需要大量的資料。大多數是圍繞著流量、日誌、告警為核心的平臺,但是漏洞的管理資料維度多,來源雜,要將該類資料納入到統一管理平臺涉及的工作十分的多,維護起來也非常複雜。想要做好自動化排程更是涉及的工作內容繁複。
在具體的漏洞管理工作中,我們面臨的問題遠遠不止上述這些。那麼一個好的漏洞管理平臺需要具備哪些自我修養,才能解決上述問題呢?筆者認為一款好的漏洞管理平臺應該具備以下幾個特徵: 全面且開放 、 自動化和流程化、及時響應和資料支撐決策 , 用於應對上述的問題。
1、全面且開放:
全面收錄漏洞相關的資料,做到一個平臺覆蓋所有漏洞相關的資料。
第一:具備資產探測能力,可以全方位的覆蓋管轄資產,不遺漏任何可能存在的薄弱環節。不論是硬體還是軟體,不論是應用還是資料,這些都需要透過明確的資產臺賬記錄,並分配明確的安全責任人。保證漏洞檢測物件覆蓋全面;
第二:對各類來源的漏洞秉持開放態度,接受所有品牌和各種型別來源的漏洞資料,包括漏洞掃描器、基線檢測、程式碼審計、灰盒檢測工具、風險評估、滲透測試、眾測、企業SRC等平臺資料。資料來源覆蓋全面;
第三:對為企業做滲透測試、程式碼審計、漏洞掃描、基線檢測的三方安全服務廠商開放並建立對應身份的賬號,便於三方安全服務廠商基於漏洞管理平臺工作。並可以透過漏洞管理系統統一下發各類漏洞檢測任務至第三方服務商,形成更加高效的協作方式,提高效率、方便管理;
第四:可將資產和漏洞資料對內部的統一安全管理平臺開放,提供為統一安全管理平臺輸入資產和漏洞相關資料的能力。
2、自動化和流程化:
第一,自動排程:具備可以自動化排程各類掃描器,自動收集漏洞資料。讓資料收集的工作不再只是透過表格傳遞,讓資料可以有歷史依據,方便查詢和後續的漏洞管理;
第二,自動任務: 合理的週期掃描不僅可以幫助公司更快發現漏洞,還可以幫助他們大大降低網路風險。 具備靈活的制定計劃任務的能力,可根據漏洞驗證和修復節奏來制定計劃任務,讓漏洞掃描任務低調靜默執行;
第三,處置流程:將漏洞透過客戶現有的工作流程下發,儘可能讓安全管理團隊和其他業務部門的配合工作可同步到企業內部的工作流程中去,不另開流程讓漏洞管理平臺低調執行,不讓客戶內部配合成本增加。
3、及時響應:
第一:及時的1day漏洞響應能力,可快速透過資產臺賬各類指紋條件進行過濾,定位受影響資產,及時決策;
第二:透過SAAS化的漏洞響應中心快速通報和同步新漏洞的POC,協助客戶快速驗證漏洞是否存在於企業內部資產中。披露了漏洞利用詳情的重大漏洞,其對應的POC響應時長不能超過24小時,從而更加及時的應對新型漏洞。
4、資料支撐決策:
第一:所有漏洞資料可以清晰的統計出,待驗證、待修復、待驗收等各項關鍵指標,也可以基於業務場景、系統管理部門、問題處置時長等各種維度統計漏洞各項資料。以便安全團隊基於資料推進和彙報工作。讓漏洞管理工作的決策有理可循,有據可依;
第二:透過平臺發放第三方外包人員賬號,滲透測試、漏洞掃描、基線檢測、風險評估、程式碼審計這一類的安全服務工作的成果資料都錄入到系統,可更好的檢視工作進度。也可以透過平臺輸出統一的報告文件。種類眾多的安全服務週期性強,資料文件多,判斷一個服務商的工作成果是否好,不再只是透過幾次優秀表現、主觀感受和關係親疏來判斷,而是可以基於累計的整體資料綜合評估,有理有據;
第三:資產資料、漏洞資料結合業務場景更加綜合的分析得出哪些部分需要加強防禦策略,基於業務重要性和漏洞嚴重性判斷,調整漏洞修復策略的優先順序。
總結:
一個好的平臺可以讓漏洞管理工作更加輕鬆有效,讓更多的精力投入到如何加強漏洞挖掘能力和提高安全事件響應能力的建設上去。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69988981/viewspace-2782207/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- IT技術管理者的自我修養
- 《前端的自我修養》前端
- 執行緒池的自我修養執行緒
- 安全研究者的自我修養
- IT技術人員的自我修養
- 「認知」打工人的自我修養
- 論軟體工程師的自我修養:角色、重構與質量軟體工程工程師
- Preact:一個備胎的自我修養React
- 侃透了:運維人的自我修養運維
- 一位賭狗前端的自我修養前端
- 切圖崽的自我修養-梳理Jquery APIjQueryAPI
- 積累→設計→執行:論遊戲系統策劃的自我修養遊戲
- 切圖崽的自我修養-SeaJs重要概念剖析JS
- 一個野生程式設計師的自我修養程式設計師
- Kafka實戰(三) - Kafka的自我修養與定位Kafka
- 《蝙蝠的“自我修養”》專案詳細介紹
- 執行時應用自我保護(RASP):應用安全的自我修養
- 演員的自我修養:網路電影的顛覆與自我顛覆
- 漏洞管理平臺『洞察』部署指南
- 遊戲設計師的自我修養(三):理解玩家遊戲設計師
- 遊戲運營的自我修養:細緻、高效、敏感遊戲
- 《程式設計師的自我修養》-讀書筆記程式設計師筆記
- 程式設計師的自我修養-編譯連結程式設計師編譯
- 切圖崽的自我修養-[ES6] 非同步函式管理方案淺析非同步函式
- 全棧的自我修養: 003Axios 的簡單使用全棧iOS
- 切圖崽的自我修養--[BUILD]構建工具思路梳理UI
- 程式設計師的自我修養筆記之裝載程式設計師筆記
- 遊戲策劃的自我修養-核心競爭力篇遊戲
- 《程式設計師自我修養》讀書筆記程式設計師筆記
- 再牛逼的出場也敵不過配角的宿命——論一個強大BOSS的自我修養
- 切圖崽的自我修養-優化圖片載入流程優化
- 《程式設計師的自我修養》(三)——庫與執行庫程式設計師
- 一個實時精準觸達系統的自我修養
- 很認真的談一談程式設計師的自我修養程式設計師
- 切圖崽的自我修養-[ES6] 迭代器Iterator淺析
- 切圖崽的自我修養-模組外掛化書寫方式
- 遊戲設計師的自我修養(一):認識玩家,理解玩家遊戲設計師
- 遊戲設計師的自我修養(一):認識玩家、理解玩家遊戲設計師