对于企业内部的安全人员来说,漏洞管理就像一个无底洞。新的应用不断上线,老系统更新换代,漏洞源源不断。时间久了,似乎漏洞无穷无尽,怎么也修复不了。漏洞挖掘和漏洞管理就像一个无底洞,一个永远填不上的坑。漏洞管理的概念很早就被业界提出,但一直没有特别好的实践案例。归纳起来,造成这种情况的主要原因有以下几点:1.漏洞来源多安全管理最重要的一点就是要不断发现和加强自己的薄弱环节,所以利用各种手段发现自己网络中的薄弱环节是A关键部分。随着企业安全建设的深入,漏洞发现的渠道越来越多。包括:系统漏洞扫描器、Web漏洞扫描器、代码审计系统、基线检查工具、POC漏洞验证脚本、人工渗透测试,甚至自建或第三方托管的SRC。2、维修人员多。在整个漏洞安全管理的漏洞发现、漏洞验证、漏洞修复、漏洞跟踪和验收等工作环节中,各岗位人员都会参与。包括:第三方安全厂商安全服务外包人员、内部安全管理团队、内部产品研发团队、第三方产品研发团队、安全负责人、安全部门上级领导。与各个环节的人员进行沟通协调的工作相当复杂,消耗的精力也很大。3、企业安全管理过程中工作成果数据混杂。安全漏洞管理复杂、繁琐且麻烦。漏洞录入、跟进、处理、验证、修复完成整个周期。期间会出现无数文档,包括漏洞描述文档、漏洞验证文档、漏洞修复建议文档、各种漏洞修复流程文档、各个环节的通信信息等。将出现数以千计的消息。这需要很好的方法和技巧,否则真的会让人感到疲倦和无力。4.连接厂商和品牌与多方第三方安全服务始终是安全管理中投入最大的部分。漏洞挖掘涉及的领域多,厂商和人员多,设备种类多。外包工作管理复杂,如何科学评估厂商能力需要完整的数据支持。5、安全管理平台多种态势感知、SOC、SIEM等系统都需要大量的数据。大多是以流量、日志、告警为中心的平台。然而,漏洞的管理数据有很多维度和来源。将这类数据纳入统一管理平台的工作量很大,维护起来也很复杂。要想做好自动调度,涉及的工作比较复杂。在具体的漏洞治理工作中,我们面临的问题远不止上述这些。那么一个好的漏洞管理平台需要具备什么样的修养才能解决以上问题呢?笔者认为,一个好的漏洞管理平台应该具备以下特点:全面开放、自动化流程化、及时响应、数据支持决策,以应对上述问题。1.全面开放:全面收集漏洞相关数据,做到一个平台覆盖所有漏洞相关数据。第一:具备资产检测能力,可以全方位覆盖辖区资产,不遗漏任何可能存在的薄弱环节。无论是硬件还是软件,无论是应用还是数据,这些都需要记录在清晰的资产台账中,并分配明确的安全责任。保证漏洞检测对象全面覆盖;第二:对各种来源的漏洞开放,接受所有品牌和各种来源的漏洞数据,包括漏洞扫描器、基线检测、代码审计、灰盒检测工具,以及风险评估、渗透测试、公测、企业SRC等平台数据。数据来源全面覆盖;第三:为为企业做渗透测试、代码审计、漏洞扫描、基线检测的第三方安全服务商开立账号,让第三方安全服务商基于漏洞管理平台开展工作。并通过漏洞管理系统,可以将各种漏洞检测任务统一下发给第三方服务商,形成更高效的协作方式,提高效率,便于管理;第四:资产和漏洞数据可向内部统一安全管理平台开放,提供将资产和漏洞相关数据录入统一安全管理平台的能力。2、自动化和流程:一、自动调度:可以自动调度各种扫描器,自动收集漏洞数据。让数据收集的工作不再只是通过表格,让数据有历史依据,方便查找和后续的漏洞管理;二、自动任务:合理的定期扫描,不仅可以帮助企业更快地发现漏洞,还可以帮助他们大大降低网络风险。具有灵活制定计划任务的能力,可以根据漏洞验证和修复的节奏制定计划任务,让漏洞扫描任务低调无声地进行;三、处置流程:通过客户现有的工作流程交付漏洞,尽可能将安全管理团队与其他业务部门的协作同步到企业内部工作流程,漏洞管理平台可以在一个低调不开单独流程,不增加客户内部合作成本。3、及时响应:第一:及时的1天漏洞响应能力,可快速过滤资产账本的各种指纹情况,定位受影响资产,及时做出决策;第二:通过基于SAAS的漏洞响应中心快速通知同步新漏洞的POC,帮助客户快速验证企业内部资产是否存在漏洞。对于披露利用详情的重大漏洞,相应的POC响应时间不能超过24小时,以便更及时地响应新漏洞。4.数据支持决策:第一:所有漏洞数据都可以清晰统计,还可以根据业务场景、系统管理部门、和问题解决时间漏洞数据。以便安全团队可以驱动和报告数据。让漏洞治理工作决策合理、有据可依;第二:通过平台开立第三方外包人员账号,渗透测试、漏洞扫描、基线检测、风险评估、代码审计等安全服务结果数据录入系统,可以更好的查看工作进度.也可以通过平台输出统一的报表文档。安全服务种类多,周期性强,数据文件多。判断一个服务商的工作成绩好不好,不再是靠几项出色的业绩、主观感受、亲近的关系,而是可以根据积累的整体数据综合评价,有根据;第三:结合业务场景更全面地分析资产数据和漏洞数据,确定哪些部分需要加强防御策略,并根据业务重要性和漏洞严重程度判断调整漏洞修复策略的优先级。总结:一个好的平台可以让漏洞管理变得更简单、更有效,让更多的精力投入到如何加强漏洞挖掘能力,提升安全事件响应能力上。
