随着企业安全架构的逐年升级和完善,网络安全工作逐渐进入深度化、运营化的阶段,资产和漏洞在安全工作中的重要性愈加突出,如何将资产与漏洞结合大幅度缩短风险窗口期成为安全从业者面对的棘手课题。传统漏洞管理在面对资产数量、类型、范围以及漏洞披露数和影响程度持续增加时,管理流程和处置周期会出现指数性攀升。同时金融企业作为关键基础设施企业,漏洞管理逐渐法制化,国家对其风险的监管和执法要求不断提高,参考近期监管要求,金融企业需建立“集团一体化、7*24小时运行、覆盖境内外分支附机构的安全运营机制”,在成本以及人力资源不变的前提下,不能一成不变的复刻漏洞管理的标准,亟需一套面向实战化的统一漏洞运营体系,优化精力分配提升重点漏洞发现和响应修复能力。本文将从范围规划、具体流程、奖惩制度、人员角色、平台技术以及安全服务等维度落地实战化思路, 为企业建设一体化漏洞运营体系提供参考。资产数量多:
漏洞管理的基础是资产,如资产都无法全面、清楚的掌握摸清家底,漏洞风险将黑盒化无限蔓延。金融企业需要面对国外越来越多的分支机构以及国内36省一级分行,上百家二级分行资产规模庞大,资产量少则几十万多则上百万,无法快速扫描识别、精准统计、缺乏统一的分类管理标准以及资产从属机制,无法通过全局搜索快速定位目标资产和责任人,导致风险处置滞后。随着IT基础架构向混合云转型以及业务发展,可预见资产数量将出现激增,此类问题将会被无限放大。区域跨度大:
金融单位资产区域覆盖国内各省以及海外网点,系统支持上万分支机构日常生产。传统扫描器架构需要在不同区域部署且存在大量跨网段扫描的问题,分支机构安全能力参差不齐,彼此之间对漏洞风险的认知和定级存在偏差,难以制定统一的安全风险评估策略,增加管理成本以及扫描周期,完成一次对于全局资产的安全评估需要数月时间,漏洞风险暴露窗口过长。技术架构复杂:
随着信息技术的发展,越来越多的操作系统、数据库、中间件等应用得到应用,但随之而来的是漏洞的持续爆发;为有效支撑国家网络安全战略和数字化转型需求,越来越多新技术栈也在持续引入,构成了国有商业银行的新架构、新底座,也不可避免地带来新的脆弱性风险。同时传统漏扫工具因自身架构问题难以与云平台等新型架构深度融合,天然不具备全面采集新型资产的能力,导致资产发现不全。如何实现检测技术的快速有效升级,来覆盖不断演变的部署环境、漏洞类型以及资产数量是未来脆弱性管理工作的关键。企业在建设或优化漏洞管理流程时,可引入一体化、实战化的思路,通过优化制度、人员构成、平台技术以及专项服务提升漏洞运营体系效率。通过调研及梳理详细展示在目标制定、明确范围规划、优化执行流程、落地奖惩制度以及充实应急预案等关键环节中重点的工作内容,为企业实现通过一套标准、体系完成对资产的全覆盖(国内外各分支机构)、区域的全覆盖(云上云下环境)以及验证能力的全覆盖(主机、应用以及容器漏洞验证)提供参考。体系建设实践
1.目标制定
脱离成本而制定的目标都是空中楼阁,所以目标的制定是在预算、人力投入没有大幅度增加的前提下进行的设计。这就要求金融机构需要通过更加符合真实攻击者的视角进行优化,识别出什么样的漏洞更具备实战可利用的价值、什么样的资产综合风险更高,将有限的精力进行倾斜。提高全面评估频率,缩短处置周期,降低漏洞被利用的窗口期,实现动态“漏洞清零”的目标。2.范围规划
漏洞运营体系的关键就是资产,随着近些年国际局势、监管要求的演变,漏洞风险需要从全局视角进行审视,资产覆盖的盲区往往会被攻击者发现以及利用。所以核心思路是漏洞运营体系需一体化覆盖过国内+国外全区域以及云上+云下全类型资产,统一风险评估标准可视化全局漏洞态势。3.执行流程
漏洞发现的标准流程是通过各类技术手段进行探测,随后匹配指纹库识别具体资产,根据识别的资产进行漏洞扫描,最终统计展示漏洞数据。整体分为两个大的阶段:资产发现以及漏洞扫描,在优化这两个阶段中的核心思路如下:资产发现:尽可能提升资产覆盖范围,摸清家底,不能只把目光聚焦在内网而是要关注互联网、内网全量资产,可通过ASM实时对互联网资产进行清点,同时重点关注容易忽略的哑终端、小程序、公众号、APP、云服务、API等资产;通过扫描器+HIDS类产品对内网资产进行全面盘点,重点关注应用软件、端口服务以及框架组件等信息。并进行内外网映射关系梳理,对比CMDB数据进行查漏补缺,全面梳理资产,减少盲区。漏洞扫描:需要根据面对的漏洞风险来源定义不同漏洞扫描场景,根据不同场景定义不同扫描策略。但核心思路是根据不同场景中最容易出现的风险去定义策略,而不是盲目的大海捞针的扫描,只会徒增工作量降低风险处置效率。从实战化角度初步给出以下三个主要场景:互联网暴露面实时评估、常规周期性巡检以及应急漏洞风险排查。扫描策略:优先梳理存在可被利用的漏洞(POC/exp),并且重点关注可远程利用的高危漏洞、高危端口、弱口令等明显的互联网暴露面。扫描周期:互联网暴露面的收敛应尽可能缩短周期,依托于SaaS化部署的分布式扫描引擎技术将一个扫描周期压缩至一周以内。扫描策略:优先梳理存在可被利用的漏洞(POC/exp),并且重点关注可获取服务器权限、存在横向移动以及远程代码提取的漏洞,逐渐形成具备实战化属性的原理性验证漏洞策略。有效降低评估周期同时降低漏洞误报率,阻断实战中攻击者可利用的路径。扫描周期:根据不同区域资产属性设计不同扫描时段,如开发测试区优先保证业务可用性,扫描周期一般为19:00-次日凌晨06:00;核心业务区防止出现业务中断问题,扫描周期一般为凌晨00:00-凌晨06:00;终端区由于白天工作时间在线数最多,扫描周期一般为09:00-17:00。具体根据企业网络区域的划分以及实际安全要求进行设计,保证扫描周期的差异性在保证效率的同时降低扫描可能造成的风险。扫描策略:主要来源于监管不定期发布的漏洞排查要求以及突发漏洞,需要通过分析研判快速确认漏洞是否已经在知识库中,如未收录需要在最短时间内以版本匹配或者POC的形式进行扫描排查完成应急处理。扫描周期:根据对突发漏洞研究的等级以及监管单位的要求,参考“常规周期性巡检”的区域扫描时间周期尽快处置,降低漏洞被利用的窗口期。精准定位漏洞相关资产及责任人:通过CMDB或扫描网段发现的资产进行细粒度管理,补充确认资产所在区域、资产负责人、漏洞运营责任人、资产标签以及系统类型等信息,可在发现漏洞时精准定位资产以及责任人,并根据资产的重要性制定整改策略,优化处置优先级。漏洞定级及修时间制定:为高效地处置海量漏洞以及优化处置优先级,对扫描到的或监管通知整改的漏洞进行漏洞定级,进而对不同等级的漏洞设置漏洞响应、规避防范以及整改修复时间设置。整体可参考GB/T30279-2020信息安全技术网络安全漏洞分类分级指南、CVSS以及各企业漏洞管理要求制定相关标准。犹豫考虑到漏洞整改的难度以及流程的复杂度,会考虑设置“搁置”、“延期”等状态进行灵活处置。以下表格仅作参考:由于每个企业内部部门之间的配合以及人员能力不同,漏洞修复一直是管理流程里很难顺利开展的工作之一,漏洞修复需要根据实战化风险的优先级以及内部责任人实际能力水平进行适度的调整,将安全要求以及实际能力调整到动态平衡的状态。可通过以下几种方式进行优化:自动化漏洞派发:与工单系统进行对接,在漏洞生成后自动关联相关资产以及责任人生成漏洞处置单,并同时自动生成邮件通知扫描结果,便于责任人快速处置。此处重点要逐步将漏洞整改效果纳入考评体系中,并在工单系统关联对应责任人相关领导,起到强制、约束以及考核的作用。补全漏洞信息及整改建议:由于全局安全人员能力参差不齐,在实现月度、季度扫描计划时,漏洞整改时长是响应闭环周期的重要因素。所以在发布扫描任务前重点需要对漏洞信息以及整改建议进行补充和优化,详细描述漏洞细节、漏洞危害以及可利用的POC/EXP。同时重点花精力通过自有安全人员或者第三方专业安全人员对漏洞整改步骤(具体到整改细节)进行编写积累,形成企业内部漏洞知识库,在扫除漏洞时资产责任人可依据知识库内容进行整改,降低沟通成本,提升效率。设置漏洞搁置态:参考漏洞定级及修复时间的标准,根据不同系统、不同业务以及特殊原因设置“搁置”状态对漏洞修复时间进行适当延期,延期流程需要经过业务部门以及安全部门负责人审批方可执行。但“搁置”状态的漏洞会进行周期性提醒保证最终修复完成。由于整个体系会覆盖企业所有分支机构,完成一次全资产扫描产生少则上千个、多则上万个漏洞,直接反馈给总管理员进行集中复测会出现工作量激增无法处置的现象。所以复测流程重点需要实现自动化,将“漏洞复测”接口与工单系统通过进行对接,使复测流程中每一级处置完成都自动调用复测接口,只有在复测验证通过后才会闭环到总管理员。考核指标制定:漏洞管理体系想要运营的效果好,除了体系流程设计合理外最重要的是加入考核指标。如面对全集团时,需要对不同分支机构、成员单位在漏洞运营过程中的数据进行统计并根据考核指标进行打分,最终纳入绩效。考核指标可参考这几个维度:(1)漏洞风险态势:机构各级漏洞数量、占比、类型;(2)漏洞修复率:机构不同级别漏洞修复完成概率、平均修复时间;(3)漏洞复现率:统计机构相同资产出现相同漏洞的概率;(4)优秀修复建议:收集机构提供的修复建议,并定位优秀的酌情加分。运营体系优化:每次完成一轮全资产评估后,持续对资产白名单进行维护优化,防止出现误扫描的现象;持续对漏洞扫描策略(POC)进行优化,提升风险评估的实时性;持续优化扫描策略参数(频率、周期等),将扫描动作精细化管理。4.奖惩制度
想要保证漏洞管理流程的快速执行,最好的办法就是引入考核制度与责任人的绩效挂钩。通过设置奖惩制度进行量化考核,参考“考核指标制定”的标准进行数据统计对各分支机构进行分数排名,排名较好的机构可在当年评奖评优中增加绩效成绩。运营体系支撑技术能力
1、数据中台:整套体系的运转需要一个大数据平台,将资产+漏洞+安全事件进行结合,不能只将注意力仅仅聚焦在漏洞本身,需要根据漏洞所相关的资产类型以及资产所在区域的安全防护能力进行综合考量,最终输出综合态的风险估值。能力要求:汇聚资产、漏洞、安全事件等多元信息,可将互联网以及内网资产进行关联,提升资产的透明度。并内置工单系统,可将整个风险处理链条进行关联,实现快速流转。2、互联网暴露面扫描(ASM):在互联网侧7*24小时对外网暴露资产进行收集以及安全评估,将对外提供服务的域名、IP、端口等信息进行收敛,并将数据发送到数据中台进行汇总。能力要求:具备7*24小时扫描能力,针对组织与业务关系、资产发现(数字资产、雇员信息等)、供给面进行梳理。同时具备持续巡检能力,可对漏洞风险、数据泄漏风险、商誉风险、供应链风险进行常态化评估。3、内网扫描器:覆盖全局所有网络区域进行漏洞评估,可实现常态化、应急等场景的漏洞评估工作,具备主机扫描、WEB扫描以及容器扫描能力。并具备自定义POC、指纹以及弱口令字典能力,实现一体化扫描效果,并将数据发送到数据中台进行汇总。能力要求:一套扫描器实现主机、web以及容器扫描能力,无需异构降低漏洞标准不统一的概率;扫描器需要具备轻量级部署架构,可以快速覆盖全局。4、主机HIDS:可采集主机基础IP、端口、进程、启动项、内核、应用等信息,并可对主机的webshell、反弹shell、恶意文件、命令审计、暴力破解等防线进行检测,并将数据发送到数据中台进行汇总。能力要求:主机HIDS的探针应尽可能采集主机底层数据,而不是仅仅关注安全检测所需的数据,应尽量全面的采集底层数据作为数据中台底层信息的数据源,可自定义采集主机环境信息、网络信息、接口信息以及环境变量等。5、BAS有效性验证:漏洞风险的大小不仅取决于漏洞自身的风险等级也要能被利用的难易程度,安全设备的防护能力也可以间接应用漏洞造成的危害程度。所以需要搭建BAS环境对安全设备进行点、线、面的有效性评估,并将评估数据发送到数据中台进行汇总。能力要求:需要具备实战化思维,基于场景化的算法模型生成剧本,对点、线、面上的安全设备进行安全策略有效性的验证,并进行标签化关联所在网络区域,并将数据发送到数据中台进行汇总。安全能力支撑
漏洞运营的在制度、平台以及人员搭建完成的基础上,更加考验企业的软实力-安全能力。安全能力很难通过买一套设备或者招聘几个人员实现质的飞跃,需要长期进行人员能力的提升以及知识库的积累,逐渐提升安全能力。主要可以从以下几个方面进行建设,持续投入时间和精力,逐渐从依赖第三方安全厂商转变成内部能力全面覆盖。1.知识库搭建
漏洞知识库搭建:建立企业内部漏洞知识库,至少包括漏洞库、自定义POC以及自定义指纹,逐渐完善符合企业自身情况的知识库,优化漏洞管理体系。- 漏洞库:详细描述漏洞类型、漏洞详情、漏洞危害以及详细的漏洞修复方案,其中漏洞修复方案需要投入精力逐个进行漏洞研究给出详细整改步骤,方便未来快速完成漏洞整改。
- 自定义POC:需要根据企业自身的资产类型以及突发事件持续积累自定义POC,详细补充漏洞等级、漏洞描述以及POC脚本。
- 自定义指纹:需要根据企业自身资产类型进行持续补充,覆盖指纹名称、厂商、资产类别以及详细描述等信息。
威胁情报:漏洞具备较强的实时性,需要通过汇总多源情报提升漏洞数据的准确性以及及时性。情报维度可以从行业情报以及互联网情报等角度进行汇聚。最快的情报库搭建方式可以接入工信部网络安全威胁信息共享平台以及采购部分商业化情报进行补充,快速具备情报支持能力。2.应急专家组支撑
整个应急小组需要制定标准的应急流程,并配置具备安全研究能力的专家协助快速分析并在24小时内生成临时排查方案以及在48小时内进行全局扫描排查。但要达到以上效果需要结合企业内部以及外部的安全能力,形成体系上、人员上以及技术上的联动。内部安全能力:通过定期培训学习提升内部安全人员的专业能力,在胜任日常安全工作的基础上逐步提升漏洞研究能力,可以针对容器、API、供应链以及信创等方向进行预研。逐步积累属于企业自身的0day漏洞储备,提升在突发事件时分析研究的速度。外部安全能力:营造安全行业交流氛围,与头部安全企业进行常态化交流,尽早了解行业安全方向以及新技术发展进度,建立平等的安全共研关系。在出现突发事件时可以结合安全公司的专业能力进行联合研判,将风险降到最低。滕越,长亭金融解决方案专家、长亭大扫描SME专家,具有丰富的金融行业解决方案经验。赵鹏,长亭金融解决方案专家、长亭大扫描SME专家,具有丰富的金融行业解决方案经验,曾支撑多个大型金融机构的安全体系规划建设。大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
还没有评论,来说两句吧...