两高一弱
面对全球网络攻击日趋组织化、产业化的严峻态势,需要通过持续化、常态化的安全风险管理,为政府、企事业单位整体的信息系统运行提供保障,帮助其安全水平实现从“基础合规”到“有效防护”的升级。其中,资产安全管理的水平决定了组织安全风险管理能力的上限。然而,网络中长期存在的“两高一弱”(高危漏洞、高危端口、弱口令)问题,严重制约了政企单位整体网络安全水平的提升。
近年来,公安机关及各行业主管部门高度重视“两高一弱”问题,持续开展专项整治行动,针对重点行业单位互联网资产和内网资产的安全风险隐患,形成常态化排查和整改机制,旨在减少政企单位资产脆弱点,提高整体安全防御能力。在此背景下,建立一套行之有效的“两高一弱”场景解决方案对政企单位网络安全运营工作而言迫在眉睫。
天融信根据多年的信息安全领域研究成果和项目经验,针对高危漏洞、高危端口服务和弱口令等低投入、高收益的攻击特点,推出资产探测与发现、脆弱性采集和脆弱性分析管理的“三步走”综合整治方案。该方案的核心优势是能够进行资产信息、脆弱性信息与脆弱性管理动作之间的关联,进而支撑资产脆弱性识别与处置,辅助安全风险与事件处置,协助政企单位针对“两高一弱”问题开展日常安全管理与运营工作。
点击查看高清大图
第一步
资产探测与发现
从安全实战的视角来看,只要是可操作的对象,不管是实体还是属性,都可以称之为“网络资产”。政企单位的网络资产从业务管理视角来看,可分为互联网暴露面资产和内网资产两大部分。
互联网暴露面资产通常包括:IP、URL、端口、服务、公有云、SaaS应用等网络资产。
内网资产通常包括:硬件设备、软件、数据库、操作系统、虚拟机、容器、物联网设备、打印机外设等网络资产。
政企单位首先依托于相关产品和服务,建设自身资产发现与识别能力,建立互联网资产台帐、内网资产台帐、资产映射关系表、网络拓扑图等资产管理机制。其次,在资产发现与识别能力建设基础上,再建设资产标识能力,包括所属业务、应用、组织、责任人,以及资产类别、安全级别、部署位置等属性。
发现与识别能力是资产管理的基础,标识能力则决定了资产管理能够发挥的最大效用。在资产底数不清的情况下,针对资产存在的高危漏洞、高危端口和弱口令,信息采集、修复、整改、封堵、管理等网络安全工作将无从开展。
引用业内一句话:你保护不了你看不见的东西。
第二步
脆弱性采集
政企单位在建设好资产发现识别以及资产标识能力的基础上,还需进一步开展脆弱性采集工作。脆弱性采集常见的手段有以下四种:
扫描工具搜集
通过建立扫描任务,选定扫描器、选择白名单、制定扫描目标、配置扫描端口,搜集网络内系统漏洞、开放端口、弱口令情况。
人工搜集
通过在线检查和离线破解手段,对政企单位内外网系统和应用进行脆弱性检查,包括:邮箱、OA、应用类系统、外部系统、工控系统、数据库系统、中间件、操作系统等网络资产。
报告导入
通过导入政企单位已有的脆弱性报告/成果,或者第三方评估团队的脆弱性报告/成果,进行脆弱性采集。
其他搜集方式
建立协同或者整合任务,由安管部门和安服人员对已经发现的脆弱性建立报表,并进行消冗、去重、合并和补全。
政企单位可以根据脆弱性采集成果,梳理形成“两高一弱”台帐清单,为后续建立脆弱性管理机制奠定坚实的基础。
第三步
脆弱性分析管理
通过资产探测与发现、脆弱性采集工作开展,政企单位已经可以充分识别自身资产及其脆弱性,在此基础之上开展分析和管理工作。
脆弱性分析
政企单位结合自身情况,可以通过优先级评估算法模型对脆弱性进行加权评分。对于带有多个漏洞实例的资产,方案支持同时对多个脆弱性风险值进行加权计算,客观反映资产脆弱性风险情况。方案从漏洞危害等级分布、高危漏洞类型占比、高危主机漏洞影响资产以及漏洞趋势等方面,针对政企单位网络范围内的所有脆弱性问题进行集中分析。
脆弱性管理
脆弱性通报预警管理
向安全管理部门上报平台资产和脆弱性情况,同时对接安全管理部门下发的工单指令和任务指令等,对上报数据传输进行记录,对上报状态进行展示和反馈。
漏洞全生命周期管理
关联资产漏洞和漏洞预警等信息,历经研判、整改、复测、审核等具体阶段,对每个阶段指定责任人进行分段分权管理,形成漏洞处置闭环。
脆弱性整改考核管理
根据政企单位自身的情况制定考核规则,从脆弱的接收数量、脆弱性处置数量、脆弱性处置率、处置及时率和告警修复率等多维度,对脆弱性处置情况进行统计分析及考核管理。
在《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》中,将“安全措施”列为除资产、威胁、脆弱性之外的第四大风险要素。“安全措施”失效、无效,本身就是一种极大的安全风险,政企单位需要定期对当前安全措施的有效性开展验证工作。
天融信提出两种针对安全措施的有效性验证机制:一是采用入侵和攻击模拟系统,针对“两高一弱”制定的安全策略有效性进行验证;二是采用自动化渗透测试系统,针对网络资产进行安全加固整改后的效果进行验证。
脆弱性态势管理
对各项脆弱性指标、资产数据、安全告警以及高危漏洞、高危端口、弱口令、安全基线等数据的负责人和处置情况进行实时追踪,对资产的总体状况和脆弱性情况进行集中管理,充分明确漏洞的影响范围,对政企单位内脆弱性影响资产、告警资产、受影响的资产和受影响的业务系统,做到“心中有数”。
TOPSEC
“两高一弱”的专项问题整治,不应只是为了应付检查、应对重要时期保障的临时性工作,政企单位应从组织机构、人员素养、制度流程和技术工具四个维度不断建设完善自身网络安全能力,要将偶尔的“百米短跑”变成持久的“马拉松”,实现网络安全的实战化、体系化、常态化。
“谋长远之策,行固本之举”,天融信推出针对“两高一弱”的“三步走”综合整治方案,包含产品工具、规划咨询和技术服务,以资产发现管理为起点,以脆弱性全生命周期管理为终点,形成动态循环。各政企单位可根据自身实际情况选择适合的解决方案,构建针对“两高一弱”专项问题的闭环管理长效机制。
未来,天融信将持续监控并关注最新的安全风险和攻击手段,并根据这些信息不断优化、迭代产品和服务,确保能够帮助各政企单位有效应对不断变化的安全挑战,携手“建久安之势,成长治之业”!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...