本文基于SecOps的思想提出一套完整的漏洞管理流程。该流程以提供服务为目的,解决漏洞管理从被动响应到主动服务的问题。通过制定流程有效的将组织内部的人员、工具组织起来提供漏洞服务。经实践测试,该流程可有效对万级数量的服务器资产进行有效漏洞管理,极大减少了安全运维中漏洞管理工作量。
1、研究背景和意义
1.1 研究背景
随着业务越来越互联网化、客户信息的价值越来越高,信息的保密性(C)、数据的完整性(I)、业务系统的可用性(A)与网络信息安全的关系越来越密切,安全威胁所能造成的风险也越来越大,因此网络信息安全工作将变得更加重要、更具挑战。
经过多年耕耘,运营商的信息安全建设已经取得了累累硕果。其中有一些非常典型的建设实践,如漏洞扫描、入侵检测、抗Ddos清洗、身份管控产品等。这些产品在过去的一段时间里,在运营商的企业内部安全管理上扮演者非常重要的角色。但是随着这两年攻防技术的发展,传统的企业安全产品正在面临着越多越多的挑战。作为企业安全管理的重要组成部分,安全漏洞管理已经成为长期困扰运营商安全建设的攻坚难题之一。
从外部来看,近两年漏洞已经成为当前IT领域的热门话题之一。首先,漏洞传播速度高速化。借助各大社区、社交平台,漏洞的传播速度惊人,从漏洞披露到实际攻击发生时间间隔往往不超过一天;其次,漏洞数量和种类越来越多。技术在持续发展,运营商网络不断开放,大量的漏洞正在影响着我们日常的安全运维工作。
从内部现状看,已经初步具备漏洞管理的制度,但实际情况是,随着资产数量和漏洞数量的不断增加,传统以人工方式进行漏洞管理模式效率低下,无法形成漏洞扫描、分析、整改和评价工作闭环。
1.2 漏洞管理的现状
传统的漏洞管理模式主要存在以下问题。
第一,漏扫产品难以支撑管理要求。在国际著名咨询机构Gartner的观点中,无论如何“漏洞管理”是不可能通过购买而获得的,漏洞管理是:在安全脆弱性被利用前,发现并作出修补的关键流程。这个流程包括定义安全策略、评估、防护、消减和监控等环节。而安全流程不是应用、软件,而是需要根据自身实际情况,基于人、工具和流程所建立的服务。目前的漏洞扫描产品,只能做到漏洞管理流程中的漏洞评估一个环节的工作,可以称之为漏洞评估产品。漏洞评估产品只是管理流程中的一个环节,同时应辅之以完善的管理流程、自动化IT安全管理平台和管理团队,等共同支撑流程的运转。
第二,漏洞管理成本高专业性强。企业漏洞运维投入资源有限。实际漏洞的数量非常巨大,如果按照纯人工计算,要实现有效的安全运维需要非常高昂的人工成本,急需使用平台化、自动化的方式进行日常的漏洞运维管理。
第三,漏洞修补困难重重。多数专业漏洞扫描产品,动辄生成几十、上百页的报告,对这份报告的分析和解读需要具备一定的安全知识和能力,而且工作量巨大。真正需要紧急修补的漏洞被淹没在大量漏洞报告内容中,安全人员仅能通过自身经验判断哪些漏洞需要先修补,缺乏依据,修补时间要求难以量化。此外,安全厂商提供的漏洞修补建议,往往需要根据实际情况进行调整,在安全需求和业务稳定性之间发生冲突时,无论是安全厂商还是安全管理人员,如何修补漏洞都是一件非常困难的事情。
第四,漏洞管理服务化转型。突破安全技术运维的局限,从对安全设备、系统的运维支撑,过渡到关注漏洞服务的有效交付,通过流程目标、活动、角色确保服务管控和测量。
2、项目特点和功能
2.1 SecOps介绍
随着移动业务互联网和内外部客户的安全要求越来越高,网络安全运维需要传统运维在各方面进行转变,原有对专业的横向、纵向分层运维模式,已不能满足安全高效、灵活及价值导向的要求,需要构建集中化安全服务平台,促进安全运维部门从成本中心向价值中心转型,从NOC向SOC转型,从技术导向向服务导向转型,全方位提升安全管理水平,对安全管理体系进行重构。
SecOps是一个框架,借助安全服务、安全能力及4P(人员(People)、流程/制度(Process)、产品(Product)、合作伙伴(Partner))的有效结合,为信息安全管理落地提供保障,通过安全与运维二者协同工作来满足内部客户和外部客户的安全需求。
图1 SecOps安全运维管理
安全能力以服务的形式为客户创造价值,安全服务通过4P在组织能进行更有效的落地,同时,安全服务在应用生命周期的不同阶段被调用。
图2 安全服务应用于应用生命周期的不同阶段
2.2 项目特点
本项目基于SecOps的思想,结合组织内部漏洞管理现状,提出一套完整漏洞管理思路并付诸实践。同时开发漏洞管理服务模块,依托平台将漏洞管理能力以服务的形式对外部开放,充分调动IT人员、业务维护人员参与漏洞管理,在组织内部取得良好的应用效果。
3、安全漏洞管理
3.1 安全漏洞管理的基本思路
漏洞管理的基本思路,分为以下三步:
(1) 确定资产安全等级。
根据“安全风险模型”对纳入安全漏洞管理的相关资产进行安全定级。影响定级的因素主要包含资产重要性(承载的业务及数据重要性)、面临安全风险大小(是否允许外网访问,存在外部攻击风险)两个方面。
(2) 确定漏洞整改优先级。
根据漏洞资产重要性、风险值、易利用程度等方面对漏洞整改优先级进行确定。
(3) 分步治理,长期运营。
确立漏洞修复计划,优先对安全等级高的业务系统资产中整改优先级高的漏洞进行整改加固;针对不同安全等级资产设定不同的安全漏洞复查周期。
3.2 安全漏洞管理策略
(1)分级分域管理
分级分域管理,主要针对不同安全域的资产划分资产重要性,设置资产权重,目的就是为了对资产权重高的资产做重点管理。例如:某部门划分了DMZ区、办公区、核心系统区。DMZ区的资产主要为了提供互联网服务,那么这部分资产面临的威胁主要来自于互联网的攻击,虽然DMZ区部署有各类安全设备但从保护业务安全性的角度考虑,一旦被非法攻击直接影响业务生产,因此DMZ区的资产权重应该为最高。核心系统区安全策略复杂,且严格控制其他安全域的访问控制,因此核心系统区的资产权重相对较低。办公区的多数为个人使用终端各类敏感数据较多,一旦被非法攻击影响较大,因此办公区的权重介于DMZ与核心系统区之间。假设权重分为1~5分,那么DMZ的权重分为5,办公区的权重为4,核心系统区的权重为3。通俗来说,权重的划分主要依据相关安全域资产一旦被非法攻击之后的影响程度。如下图所示:
图3 安全资产权重
(2)根据安全漏洞性质管理策略
对于具体漏洞的管理可分为两个维度来综合管理,一是漏洞的可利用情况,二是漏洞类型(版本漏洞还是逻辑漏洞)。可用性验证,需要通过手工或者第三方工具来验证漏洞是否真实可以利用。版本验证,可通过漏洞扫描报告中对目标资产的探测信息进行分析,分析是否利用端口探测发现的安全漏洞,还是通过软件版本探测发现的安全漏洞。
验证完漏洞的性质就需要对漏洞在安全加固中处于一个什么样的级别进行划分,例如:可利用的原理扫描漏洞,这类漏洞属于风险级别较高的漏洞,在安全加固过程中需要优先进行加固。例如:不可利用的版本扫描,这类漏洞风险级别较低,在安全加固过程中可酌情加固或者无需加固。
漏洞的性质管理,需要在日常安全运维过程中,做大量的漏洞样本测试,为了提升漏洞管理效率,还需要形成安全加固经验库。一旦系统中再出相同的安全漏洞便可在加固经验库中搜索结果、引用结果。同时对于安全漏洞的验证、管理专业性要求较高,因此经验的累计必不可少。如下图所示:
图4 漏洞经验库
(3)基于漏洞生存环境的管理策略
相同的漏洞在不同的环境(操作系统和应用)中,是否有影响,影响程度可能存在很大不同,需要结合生产环境中操作系统和应用的实际情况确定漏洞的影响。我们基于长期的漏洞整改经验积累知识库,对生产环境中最常见的系统(Rhel,Suse等)和应用(Open ssh,Open ssl,NTP等)搭建漏洞整改知识库,有效解决了漏洞管理和整改落地问题。
图5 漏洞管理知识库
3.3 安全漏洞管理实施方案
根据漏洞管理“长期治理,分步运营”的方针,对内部漏洞依据以下实施方案实施漏洞治理,解决存量漏洞问题。同时逐步积累漏洞经验库,做好漏洞管理平台,为后续漏洞服务提供基础。
图6 漏洞管理全流程
(1)安全漏洞发现
安全扫描主要是通过评估工具,以本地扫描的方式对评估范围内的系统和网络进行安全扫描,从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号、口令等安全对象存在的安全风险、漏洞和威胁。扫描器的扫描原理可以分为两类。
原理扫描。基于针对单个漏洞利用/检查插件,构造漏洞检测/利用包后发送到目标主机,如果目标主机返回漏洞存在的预期结果,则报出该漏洞。
版本扫描。基于探测到的端口banner信息,匹配扫描器漏洞库中该版本组件存在的漏洞直接报出。常见有绝大部分的Web组件漏洞(Apache、Tomcat、Nginx、Weblogic、Websphere、PHP等)、SSH漏洞、Oracle漏洞、FTP漏洞。
多扫描器联合扫描。通过综合多个扫描器扫描结果比对合并,归一化入库,提高漏洞发现的准确率,降低漏报率。
(2)安全漏洞分析
(1)漏洞整体多维度分析:
表1 漏洞多维度分析
(2)漏洞验证:
对原理性扫描采取手工辅助测试的方式,结合实际的网络和应用环境判断漏洞的存在和实际影响。
对版本扫描根据资产中的系统版本号和实际应用版本号,结合漏洞库及操作系统官方的技术支持综合对漏洞在特定操作中的实际影响进行判定。
(3)漏洞分级:
根据漏洞的可利用情况,漏洞自身类型(版本漏洞还是逻辑漏洞)、漏洞所在资产的重要性和漏洞所在资产的安全域将漏洞分为高、中和低三级。高危和中危漏洞优先整改。
表2 一种漏洞影响分级方法
一种基于网络安全域和验证的漏洞影响分类,入库管理。通过现有的漏洞管理平台,可以直接将每一次的扫描结果导入到漏洞管理平台中,形成直观的扫描结果,并且可以对历史数据进行对比和分析,方便进行漏洞的跟踪和管理,效果图如下。
图7 漏洞管理平台
图8 平台化统一管理
根据项目进度,实时统计汇总各部门数据,并提供可视化数据,以方便项目过程管理及漏洞管理与监控,并根据要求输出内容。
图9 数据分析
(3)安全加固
加固流程:
根据定级优先加固高危优先级的资产。资产顺序确定后,建议按照下面的流程进行。
图10 安全加固方案分析流程
- 不必要的服务,如SMB、WINS、finger服务、rexec服务等。如果确认此类服务为不需要的服务,可通过直接关闭服务的形式进行整改。
- 对于一些版本较低的组件,在不影响正常业务的情况建议升级到最新版本。
- 安全操作系统补丁(如原理扫描扫描出来的部分操作系统漏洞)。
- 必须开放的业务端口,通常是WEB服务。此类服务存在漏洞时,可根据具体情况进行加固。如不可利用的中间件版本漏洞可通过隐藏版本解决,可利用的中间件漏洞,则必须进行相应升级(升级后也需要隐藏版本)。
- 只和特定服务器交互的服务端口如数据库端口(Oracle、MySQL、SQL Server、DB2、SYBASE、Redis等)、SSH、RDP以及需要使用的SMB、SNMP等服务可通过主机/网络防火墙限定允许访问端口的IP地址范围。
加固操作流程:
基于安全服务的思路,我们将安全组、IT部和业务部组成漏洞管理团队,制定漏洞管理流程,明确各专业分工。
- 安全部根据选定的资产梳理加固建议。
- IT部根据加固建议给出实施方案。
- 安全部,业务部,IT部联合评审方案。
- 方案通过后由业务部和IT部共同确定加固时间并实施加固。
- 加固后安全部实施复扫确认。
漏洞整改的工作流程及责任划分如下表:
表3 漏洞整改工作责任表
(4)漏洞知识库
- 依托扫描器的漏洞库,直接将日常的扫描报告导入漏洞管理平台,形成基本的漏洞知识库,涵盖所有本地已扫描出的安全漏洞。
- 根据长期的漏洞分析和整改过程中积累的漏洞对不同版本操作系统的实际影响,逐步形成知识库。
- 对日常安全运维过程中大量的漏洞样本测试,形成安全加固经验库。对于已经评审通过并实际可行的安全加固实施方案,我们会录入漏洞管理平台,形成安全加固经验库,一旦系统中再出相同的安全漏洞便可在加固经验库中搜索结果、引用结果。
如下图所示:
图11 漏洞知识库
在基本漏洞库的基础上,如果出现最新的漏洞,直接进行针对性扫描,将最新漏洞和扫描结果纳入知识库。
除此之外,根据漏洞管理工作出现的一些误报情况,可根据项目实施过程中积累的加固经验,通过操作系统版本、应用版本信息、漏洞影响范围等信息,完善录入的资产信息和漏洞知识库,更精确的定位到漏洞影响的资产范围,批量排除部分误报。
4、安全漏洞服务
依托漏洞管理团队、漏洞管理流程和平台及工具,结合SecOps思想提供安全漏洞服务。初步在内部开展应用试点如下。
1)资产所有者可以通过漏洞管理平台开展自服务,查询归属个人当前的未整改漏洞数和漏洞情况,开展自主扫描检测,并发起加固工单通知相关人员。
图12 漏洞管理平台
2)安全管理者可以根据管理需要定期统计未整改漏洞,发起整改工单通知资产所有者。对新通报的漏洞可以开展批量检测并工单通知相关人员。
图13 待办工单管理
5、主要创新点
- 建立基于全生命周期漏洞管理体系,探索出一套完善的漏洞管理方法。
- 引入SecOps安全运维思路,将已有的漏洞管理体系形成服务,依托漏洞服务平台服务内外部客户,探索安全能力输出,促使安全专业从成本中心向价值中心转变。
- 积累宝贵漏洞知识库,为安全漏洞服务进一步增添价值。
- 赞助本站
- 微信扫一扫
-
- 加入Q群
- QQ扫一扫
-
评论