正文

为什么搞漏洞的和搞运营的总是说不到一块去

admin
admin V管理员 /0 评论 /23 阅读
1127
此篇文章发布距今已超过2天,您需要注意文章的内容或图片是否可用!

安全部门通常有两支核心的主力部队:一支是漏洞管理团队,另一支是安全运营(SOC)团队

这两支团队,每天都在为公司的安全而战,都非常辛苦。但如果我们仔细观察他们的日常工作,会发现一个很奇怪的现象:他们好像活在两个平行的世界里。

先看看“搞漏洞的”这个世界。他们的工作,围绕着漏扫工具、CVE 库和工单系统展开。他们的语言,是 CVSS 评分、技术细节和修复方案。他们的 KPI,通常是“高危漏洞的修复率”和“漏洞闭环的平均时间(SLA)”。他们每天都在催着 IT 和业务部门打补丁,扮演着“质检员”的角色。

再看看“搞运营的”那个世界。他们的主战场,是 SIEM、EDR 和 SOAR。他们的语言,是告警、日志、IOC 和 ATT&CK。他们的 KPI,是“平均检测时间(MTTD)”和“平均响应时间(MTTR)”。他们每天都在追查真实的攻击事件,就像一个警惕的巡逻兵

问题来了:质检员发现的成千上万个漏洞,和巡逻兵在真实世界里抓到的攻击者,有多大关系?

在很多公司,这个关系,可能比我们想象的要小得多。

管理上的盲区正在浪费我们一半的精力

这种脱节,正在造成巨大的资源浪费和管理上的盲区。

  • “搞漏洞的”在盲目地派单。 他们看到一个 CVSS 9.8 分的漏洞,就立即定为最高优先级,要求业务部门在 24 小时内修复,甚至不惜中断业务。但他们其实并不知道,这个漏洞在公司的生产环境里,是否真的有可利用的条件?攻击者是不是真的对它感兴趣?

  • “搞运营的”在被动地救火。 他们发现了一次真实的攻击,复盘后才看到,攻击者是巧妙地串联了三个“中低危”漏洞,绕过了所有防御。而这三个漏洞,因为评分不高,在“搞漏洞的”那边的修复优先级列表里,可能还排在几百名开外。

结果就是我们投入了大量的精力,去修复那些攻击者根本不会走的断头路;而真正被攻击者走通的康庄大道,却因为评分不高而被我们长期忽视。

这两拨人,实际上是在各说各话,都在用自己的方式努力工作,但他们的努力,没有形成合力。

打通两个世界,需要一种共同的语言

要解决这个问题,我们就必须找到一种能让这两个团队对上话的共同语言。这种语言,不能是 CVSS 评分,也不能是 ATT&CK 矩阵,而应该是一个更直接、更没有争议的东西——已被验证的、真实存在的风险。

这个翻译工作,就必须由一个独立于他们双方之外的、客观的验证环节来完成。

塞讯智能安全验证平台的核心价值之一,就是扮演这个翻译官和桥梁的角色。我们做的事情其实很简单:把“搞漏洞的”发现的理论风险,拿到真实环境里演一遍,看看“搞运营的”能不能发现针对相关漏洞利用的攻击行为。

具体来说,这个流程是这样的:

  1. 输入: 无论是漏扫发现的 CVE,还是新爆出的 0-day,都可以作为验证的起点。

  2. 验证过程: 塞讯智能安全验证平台会用自动化的攻击剧本,去安全地、真实地模拟对这个漏洞的利用。它不仅仅是测这个点,更重要的是,它会尝试利用成功后,继续进行横向移动、权限提升等一系列动作,看最终能走到哪一步。

  3. 输出: 验证完成后,平台会同时输出两份结果,给两个团队看:

  • 给“搞漏洞的”看: 你们发现的那个 9.8 分的漏洞,经过验证,因为前面有 WAF 而此漏洞利用的攻击被阻断,结果是利用不成功。但是,那个 6.5 分的漏洞,可以直接拿到一台 Web 服务器的权限,并且能接着访问内网数据库。如果这个 Web 服务器所在的区域是非常重要的,叠加企业内部对应用和区域定义的重要级别,所以,请把后者的修复优先级提到最高。

  • 给“搞运营的”看: 刚刚我们模拟了对那个 6.5 分漏洞的攻击,你们的 EDR 在第 3 分钟送出了审计日志,SIEM 在第 15 分钟才关联出来,下一代防火墙的 IPS 模块全程没有反应。这说明你们的检测和响应流程,存在 XX 和 XX 两个问题,请立即优化。

你看,通过这样一个验证环节,两个团队的工作,就被紧密地联系在了一起。他们开始关注同一个目标:阻断那些已被证明有效的、真正致命的攻击路径。

安全负责人的核心职责之一,是确保整个安全组织的有效协同。如果你发现,你手下的漏洞团队和运营团队,很少在同一个会议上、为了同一个目标而讨论,那这可能就是一个危险的信号。

我们是时候打破这两个平行世界之间的墙了。

在工作流里,加入一个持续的、自动化的验证环节,用它来统一我们的风险认知、校准我们的工作优先级。让“搞漏洞的”知道该先修什么,让“搞运营的”知道该看哪里。

当两支主力部队,开始朝着同一个方向使劲时,整个安全体系的效率和效果,才会有质的提升。

如需了解更多关于塞讯智能安全验证平台的信息,欢迎拨打官方电话 400-860-6366 或发送邮件至 [email protected] 联系我们。您也可以扫描下方二维码添加官方客服,我们将竭诚为您服务。

用持续验证   建长久安全

长按图片扫码添加【官方客服】

▶▶关注【塞讯安全验证】,了解塞讯安全度量验证平台以及更多安全资讯

▶▶关注【塞讯科技 Cyritex】,关注企业发展和数字韧性平台的最新建设情况


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com