“牛”转乾坤的新年里,风险管理仍是各企业心头急,默默许下小期盼:
老板:“花在风险管理上的每fen钱,都让企业安全有fen真保障。”
安全运维人员:“打工人还能有什么小心愿?告别八爪鱼般的风险运维,高效拿捏。”
老板&员工:“他/我做的安全工作能被可视化衡量就更好了。”
一份漏洞管理高效运维秘籍奉上,不练的用户现在就可移步了。(baba别走)
秘籍一:心法为上
智能风险检测准确&无害
招式是武功的形在,有醇厚内力的才是真高手。内力虚空的花拳绣腿,逢弱敌勉强,遇强敌必惨败。武功内力来源于心法修炼,风险管理中应沉淀修炼的心法是什么呢?
技术创新下的自动化风险检测,智能&自动化是需反复打磨的心法口诀。
检测准确
根据扫描目标指纹特征,智能动态调度需要启动的插件,结合随机森林算法、语义分析和漏洞利用链知识图谱模型,全方位、多维度的探测目标资产风险点;有效、准确地检测系统服务漏洞和Web漏洞。借助安全研究团队的雄厚力量,搭建完善的漏洞应急响应流程,保证nday漏洞应急的时效性。检测效率方可整体得以提升。
业务无害
市面上因删库、宕机 、爬虫误操作等造成的损害不在少数,那如何保障业务无害呢?POC由具有丰富实战攻击经验和安全实力的团队自研打磨,经专业人员 review,确保无害。
(而类似存储型 XSS,在验证的过程中会插入一些脏数据,是无法避免的 – 高人不说暗话)
无害表现:
1. 探测 delete、drop 类型的 sql 注入漏洞时
可验证漏洞,但不添加类似把用户信息删掉的 payload;
2.探测部分可能影响原有服务正常运行的漏洞时(如 DOS类漏洞)
不会直接通过漏洞本身进行检测,而是通过服务版本、报错信息、文件特征等多维度来判断漏洞存在;
3.探测文件上传类的漏洞时
在探测过程中上传的文件,探测完成后会自动删除,不会在服务器留下大量垃圾文件。
4.以探测weblogic xmldecoder 反序列化为例
通过研究漏洞细节和补丁情况,针对当前漏洞的修复模式构造一个只用于检测漏洞是否存在的payload,并根据回显报错、反连等模式最终确定漏洞是否存在,使用的 payload 应是完全没有攻击性的。
心法修炼忌急于求成,“太急”(勉强合规)走火入魔是常事;风险检测对业务无害是至关重要的前提。
秘籍二:太极归一
信息碎片被整合
在有智能风险检测准确&无害心法护航之下,如何将碎片化的风险信息科学整合是高效运维修炼的第二层境界。
资产覆盖全|采集数据源多样通用
针对实际业务场景中的多样数据源,可以提供多种通用的资产获取解析方案。
1)已知资产|主动对资产信息详情和关联关系进行识别
对内网或互联网资产进行主机IP、服务端口、Web站点、域名信息的识别,并从资产归属域、IP归属地、设备类型、设备品牌、服务应用、web框架组件、CDN、WAF等多维度对资产进行解析,最终为企业梳理一张资产网。
2)未知资产|多种被动采集方案
无论是企业的客户端、服务器还是中间链路,能提供各种被动采集方案,可采集的资产源可以是流量、日志文件、消息队列等,最终无死角实现企业资产的全面监控和覆盖。
不受流量来源格式约束的通用被动流量解析模式,可满足不同企业各种流量格式扫描的需求,能够提供通用流量接收接口:客户端的流量、服务器端的流量、交换机镜像的流量、日志服务器的日志文件、其他信息采集方式(kafka、rabbitmq等)采集的资产信息,均可通过通用接口接入系统内部,最终解析成域名、服务、Web站点等,在资产管理模块进行展示;流量中的请求和服务端口可直接用于进行漏洞检测。
资产安全分析模型|科学量化风险
面临海量、碎片化资产风险信息时,科学、量化风险是高效运维的点睛之笔。
资产安全分析模型应从哪几个维度进行权重计算呢?
- 资产重要性
- 资产脆弱性与威胁
- 资产安全措施
针对资产间的业务关联关系、资产变更情况、风险各维度信息,系统会对资产整体安全性和资产威胁运营成果进行量化评估,从资产价值、资产脆弱性和资产威胁,资产安全措施等维度,最终给出资产风险处置的优先级;运营人员可以根据资产的优先级,以最高的效率处理资产风险点,处理过程中,可借助系统进行安全巡检、处理归档、风险复测、风险工单下发、风险整合,最终完成风险处置的闭环流程。
| 资产重要性分析 | 根据资产所处业务区域,实际关联的业务系统重要性等进行分析 |
| 资产脆弱性分析 | 从资产完整度、可用性等维度来对资产进行整体评估 |
| 资产风险影响程度分析 | 基于资产的风险及确信程度,对资产权重进行分析 |
| 资产安全措施分析 | 根据分析资产是否采取防御措施进行分析 |
| 资产关联关系分析 | 域名、主机IP、端口服务、web站点之间的关联关系分析 |
| 资产变更分析 | 对资产的新增、变更进行监控、标记,对资产生命周期进行追踪 |
秘籍三:环环相扣
闭环管理
高手之高,在于与敌对阵中招数环环相扣,无绽可破。
在发现漏洞的同时,对漏洞的高效管理,必然应该提供切合用户痛点的闭环管理方案:
- 风险确信度量化:根据漏洞验证方法,为漏洞的确信度进行分值量化,辅助客户判断漏洞处理的优先级
- 验证原理补充:根据漏洞整改需求,方便客户补充完善基于自己业务场景的漏洞验证原理和方法,使得漏洞在业务侧更具说服力
- 漏洞信息自定义:便于企业根据自己业务需求,为漏洞定级、修改整治方案等相关信息
- 不同来源漏洞整合:提供不同来源的漏洞整合标准,实现不同来源漏洞信息的自动融合
- 漏洞生命周期管理:支持跟踪一个漏洞从发现到处理的日志,辅助整个闭环链路的管理
- 资产归属,定人定岗定区域:
- 每个资产均实现与实际的人进行关联,从业务视角,划分问题区域,进行业务切割处理,最终做到资产有据可寻、有人可查。整个风险处置过程,系统会从资产安全性提升和资产风险处理效率的维度对安全运营工作进行量化评估。最终在系统业务上完成资产风险管理、资产风险检测、报告管理、漏洞知识库管理等,清晰展示资产风险分析数据和安全运营工作数据分析,整体评估对资产风险数据治理的成果。(老板&运维打工人心愿得以双满足!)
真武林高手在此,心愿实现
洞鉴(X-Ray)安全评估系统
资产识别与漏洞验证 ,
以攻击者视角精准评估系统安全风险
高效运维秘籍,你练会了么?
发表评论
您还未登录,请先登录。
登录