基于漏洞优先级,构建关基漏洞主动管理体系 | 世界信息安全大会
2021-12-24 14:31:26 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

随着技术变革突飞猛进,社会发展日新月异,与这个快速发展的时代伴随出现的,还有日益突出的网络安全威胁和风险和日益向政治、经济、文化、社会、生态、国防等领域传导渗透。特别是关键信息基础设施面临更大风险隐患,“物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取……世界上发生的这些事件可谓防不胜防,具有很大的破坏性和杀伤力。因此关键信息基础设施安全是世界各国都密切关注的重点。斗象科技安全专家居然受邀出席2021年世界信息安全大会并发表了题为《关键信息基础设施漏洞管理主动防御体系》主题演讲。

近日,Gartner发布了一条预测:“到2025年,30%的关键信息基础设施组织将遇到安全漏洞,这将会导致关键信息基础设施运营停止或关键性网络物理系统停止”,无疑这个预测具有巨大的警示作用。事实上,近些年,我国对于关键信息基础设施安全尤为重视,今年9月1日正式实施的《关键信息基础设施安全保护条例》,其目的就是为建立专门保护制度,明确各方责任,提出保障促进措施,维护关键信息基础设施的安全。此外还有《网络安全法》等诸多法律都对关键信息基础设施安全有了明确的规定。

随着相关法律法规的落地,监管的要求日益增加。但在关键信息基础设施的所有者和运营商在落地相关工作的过程中却面临着与漏洞相关的问题越来越多,例如漏洞和攻击程序呈现爆炸式增长,漏洞响应的时效性要求越来越高。虽然漏洞管理标准和规范日趋成熟,但资产越来越庞大,种类越来越多,变更越来越频繁的现状,依然还常常陷入以漏洞扫描代替漏洞管理,投入大量资源修复每一个漏洞等误区。

伴随威胁的变化和漏洞情报的多元化,0day漏洞增长和利用成本降低,漏洞管理再次重新回到了视野,并且上升到一个全新的高度。关于漏洞的管理,国家颁布了相关法律法规及规范要求,由斗象科技主力参与制定的工信部《安全漏洞管理规范》,从政策法规的角度给予企业专业性的指导。

安全技术的发展,已经从过去漏洞审核到漏洞修复这种简单的漏洞管理,到现在初具雏形的漏洞运营,主要包括漏洞源与任务调度、平台协作、处理流程三个环节。

既见森林,也见树木,安全人员面对海量的漏洞信息时,应该更加聚焦,关注那有价值、有实际破坏力的漏洞。漏洞本体、运营资产、实际威胁三者都存在,并实际产生交集时,三者的交集点才是我们关键信息基础设施所面临的实际风险,我们要从更多的层面关注漏洞管理和运营。

优先级与蔓延度漏洞管理与运营的两大准则

在前文中提到,关键信息技术设施的漏洞管理和运营。斗象科技依托漏洞盒子多年漏洞运营的经验以及大量行业客户实际安全场景。从漏洞管理和安全运营的角度提出优先级与蔓延度的准则。

漏洞的优先级运营评估体系,该体系重新定义了漏洞优先级,他主要从三个视角多个维度来评估,首先关于漏洞本体因素,是否为已披露漏洞详情,是否已发布修复补丁、是否属于开源项目,是否处于维护状态等;其次是外部威胁因素,需要研究外部的威胁如何利用该漏洞,通过什么路径,能达到什么样的目的。最后则是企业环境因素,我们需要结合企业自身的需要将将该漏洞在实际企业环境中产生的影响及威胁蔓延的程度进行模拟。判断企业自身的scmdb(安全资产管理系统)分析是否是属于核心资产,是否对外曝露,是否具备攻击监测能力,如该漏洞利用攻击监测、相关攻击信标(IoC)监测,是否已执行风险缓解的应急措施,如设立ACL访问控制,补丁修复。

因此我们建议企业可采用漏洞管理的五级成熟度模型:

漏洞情报的闭环管理

过去漏洞情报更多的是漏洞通报的形式,有效的漏洞情报核心在于:是否有海量不同行业的真实的攻防数据、原始漏洞信息作为支撑,并对漏洞数据进行有效的分析提炼、标签化,形成更为通用的知识;

我们斗象科技通过漏洞盒子平台多年的攻防及漏洞数据积累,重新定义推出漏洞情报服务,可以帮助企业提前做出有效的漏洞响应决策。并且深入到客户的实际场景中进行漏洞检测、研判复现、风险分析、漏洞验证和漏洞评价形成更具行业属性、标签化的漏洞情报,当到一个新的客户场景里时,可以做到更细粒度的资产匹配,生成更具价值、更精准的漏洞,保证漏洞修复流程和漏洞关闭更高效,最终形成企业自身的漏洞知识库积累。

五级漏洞成熟管理运营模型

  • 1 第一级成熟度模型重点是漏洞管理,提供漏洞收集、查询和管理等功能,满足合规要求;
  • 2 第二级更关注漏洞检测、自动化复测验证和流程管理,对漏洞的生命周期进行闭环运营;
  • 3 第三级能力模型,建立资产、情报与漏洞一体化管理体系,构建企业互联网SRC,形成统一的企业漏洞管理门户,转被动为主动;
  • 4 第四级建立集团型的漏洞统一管理的门户,统一预警渠道、漏洞知识库,集团级漏洞运营赋能;
  • 5 第五级建立自运营的情报处理和发布体系,持续加强漏洞情报。

新一代漏洞主动防御体系解决方案

综上所述,我们可以建立起关键基础设施的漏洞运营管理体系,但在漏洞管理成熟度建设过程中,漏洞优先级及蔓延度很难依托人为经验来制定,需要借助机器学习进行运营。所以在实际运营落地过程中,需要引入数据驱动的安全分析计算平台,构建起实时指标和监控体系,达到漏洞主动防御的目的。

斗象科技VMS漏洞管理主动防御体系,依托于漏洞盒子深入到客户的实际场景中进行漏洞检测、研判复现、风险分析、漏洞验证和漏洞评价形成更具行业属性、标签化的漏洞情报,当到一个新的客户场景里时,可以做到更细粒度的资产匹配,生成更具价值、更精准的漏洞,保证漏洞修复流程和漏洞关闭更高效,最终形成企业自身的漏洞知识库积累。利用历史数据构建行为监控基线,提升对潜伏性威胁、0day漏洞利用、隐蔽隧道、ACL缝隙等关键安全风险与事件的调查研判和取证效率,从而实现对漏洞,对漏洞利用,漏洞收敛的管理运营,对威胁的检测,处置,溯源,取证的安全运营。

网络安全随着技术的日益更迭,关键信息基础设施的网络安全防御能力是保障国家安全、社会稳定和经济发展的基础。斗象科技将积极整合多方资源,立足于技术创新与研发,基于漏洞优先级和蔓延度,构建关键信息技术漏洞管理主动防御体系,为更多企事业单位提供网络安全运营体系。


文章来源: https://www.freebuf.com/news/317351.html
如有侵权请联系:admin#unsafe.sh