全球各地,每年都有数以千计的网络攻击事件被发现和公布,绝大多数的网络攻击事件都是利用企业未及时修复的漏洞进行攻击。全球各领域漏洞提交数量持续上涨,而0day漏洞正变得愈发常见,企业漏洞安全管理工作量与日俱增。
(近半年CNNVD漏洞新增数量统计图)
企业未及时修复漏洞的原因除人员不足与技术难题外,常有难以分辨需解决什么漏洞、需按何种流程处理等症结。归根结底,很多企业缺乏一套完整、有效的漏洞生命周期管理体系与漏洞管理系统,未能落实定期评估与漏洞修补工作;未能梳理自身资产和业务;无法直观了解到漏洞所影响的资产范围及修复进度;不能保证对企业重要资产的及时修补,也不能规避信息流转所带来的风险。
企业规模越大,资产数量、漏洞数量、脆弱性问题也更多,汇总成大量的风险数据,迫切需要一个能够对接上下游,在固定平台上对接所有第三方平台实时同步信息,能够进行统一管理,通过标准化流程操作,降低安全人员时间成本,提升企业修复漏洞效率的产品。
基于上述企业的实际痛点与需求,依托斗象科技旗下漏洞盒子平台多年来对政府、企业的安全服务经验和超过30万枚漏洞的处理管理经验积聚,漏洞盒子VMS(Vulnerability Management System) ,一款集漏洞收集,漏洞数据清洗和生命周期管理,漏洞态势统计为一体的管理系统,兼容各行业中小型企业与大体量企业的漏洞管理系统应运而生。
一、资产管理方面
Before | After |
域名系统作为互联网关键基础设施,是互联网访问的第一环节,域名服务故障通常会造成大面积的网络中断,严重程度远大于单个应用系统故障,重要性不容忽视。主机上域名对应的资产五花八门,每类应用对应的进程和端口也不同。一般大一些的厂商都有几百个域名,再加上CNMAE记录,大约有上千子域名。但其中,也不是所有的子域名都能对外访问,如果还是依靠人工简单核查处理,还需导入XLS进行排序整理去获取厂商常用的IP段,这将很难准确发现问题。
使用VMS漏洞管理系统之前,该客户在资产管理方面使用多个漏扫设备,只能通过第三方系统单独管理。没有整体的资产的风险评估,也无法统一管理资产信息,无法保证把可控范围的安全威胁降到最低。除此之外,用户具有对现有资产并不明确,对未知资产并未及时管理,对值得关注的IP和域名疏于追踪,对存在恶意行为的主机放松警惕等行为。
Now | Future |
首先,VMS能够自动关联具有漏洞的相关资产。通过资产梳理能够快速准确的发现在互联网暴露的资产分布情况及安全现状,提高客户对暴露资产、未知资产的可管可控能力。通过对资产属性的分布统计了解当前资产分布类型、活跃情况;通过对漏洞修复状态的跟踪、统计、量化分析;以及通过对资产漏洞趋势监控了解资产脆弱性情况。
其次,对资产的梳理定位,利用组织及业务架构等不同资产组分类方式,绑定具体资产负责人员,以资产视角追踪、显示漏洞修复成果,能够直观的展示当前资产漏洞管理工作的成效,能够减少因漏洞定位工作带来的漏洞响应时间的消耗,提高漏洞应急响应效率,推动漏洞管理积极有效的进行。
接入VMS漏洞管理系统之后,客户仅需在一个系统上,可对多渠道资产信息进行管理,能够将受影响的资产风险量化,管理者能够实时追踪到漏洞修复与安全威胁进度,免去大量时间与人工成本。
二、人员管理方面
Before | After |
使用VMS之前,该客户分支机构数量庞大,内部人员通过邮件形式进行审核,效率低下、流程混乱,人员上报的漏洞行迹不方便管理与追踪。又因同时使用多个系统,各系统间无法共享待办事务而形成信息孤岛,各板块、多系统常常重复工作,人员维护成本高,效率差,不能及时评估可能构成的威胁,预计潜在威胁的影响和后果。
此外,使用扫描器获取版本信息常有错误或者不准确所带来的漏洞误报问题,还需通过一些技术或者人工手段去修正误报,这往往是限制漏洞管理工作推广的重要因素,也是漏洞管理中最为繁重工作。
Now | Future |
在使用VMS后的漏洞修复工作中,该系统把企业内部各部门或子公司做为一个漏洞修复统计对象,通过定期对修复成果进行统计,如修复漏洞数、修复漏洞耗时、修复漏洞成功率等,在漏洞管理平台做统一展示、企业内部定期通报甚至或者引入绩效体系,利用漏洞修复量化的理念来提高漏洞修复人员的积极性。同时利用漏洞修复量化的方式使得企业管理者能清楚的了解当前漏洞管理状况,为漏洞管理的决策工作提供更好的依据。
在VMS系统中,客户通过角色分组用户设置不同权限,有效解决企业成员不同权限的查看与操作问题,清除划分部门负责范围,各司其职,大幅提升协作效率。VMS支持多种数据源,通过API传输可实现无侵入对接;能够将不同的格式通过ETL自动转换成标准格式。管理者能够提高效率,同时规避信息流转所带来的风险。
三、漏洞管理方面
Before | After |
此前,该企业客户在安全维护与漏洞修复工作中,安全人员常会使用到多种第三方扫漏工具,这些工具都是零散的状态存在,且使用的数据系统截然不同,没有形成一个完整的漏洞管理体系,即使是专业人员在实施漏洞修复时也需要丰富的经验支持。这些难题无疑增加了安全人员在安全维护、漏洞修复时的压力。
此外,个别研发团队对于应用源代码安全风险意识不足,或是在开发时直接引用开源代码模块,对其模块是否存在安全漏洞隐患的问题不了解造成新的安全风险。
Now | Future |
如今,引入的VMS系统不仅能够与多个安全设备对接漏洞数据,建立各企业平台适用的标准进行统一管理,进而确保各外接系统间相关业务数据的一致性,还能够更加清晰、有效、便捷的管理漏洞,节省用户繁琐的手工测试和常用漏洞的搜索工作,提升工作的效率,减轻了人员繁琐的工作。此外,标准化审核流程,有效降低安全人员的时间成本。同时支持审核流程自定义,灵活应变企业审核场景,全面提升安全部门处理漏洞效率。
VMS漏洞管理系统适配管理人员和安全人员都能直观看懂的可视化窗口,方便直观地查看当前漏洞管理进度,同时快速梳理系统资产数据,帮助安全人员快速进行数据分析处理。所有的漏洞数据与架构、权限关联,用户查看漏洞数据的可视范围取决于帐号所属的角色权限与架构所属资产。
VMS自带专业的漏洞修复知识库,一方面为运维人员提供一个全面、权威和有效的漏洞修复指导方案库;另一方面保证漏洞修复工作能更有效进行,减少漏洞修复的失败率。
VMS系统还支持企业直接在后台系统提交漏洞或外接SRC平台收取白帽提交的漏洞和测试机构使用API导入的漏洞,将各平台漏洞汇聚一处,大大提升漏洞管理效率。
漏洞管理是安全项目的基础,只有全面了解自家网络上都有些什么,才能有的放矢;只有比攻击者更早掌握自己网络安全漏洞并且做好防御工作,才能有效地避免由于攻击造成的损失。
斗象科技创立于2014年,是国内领先的创新型互联网安全服务和解决方案提供商,旗下品牌包括互联网安全新媒体——FreeBuf,互联网安全测试服务平台——漏洞盒子,全息智能安全监测与数据分析产品——网藤风险感知。
作为以技术创新驱动的网络安全提供商,斗象科技的产品及服务已被全球领先企业和顶级投资者认可,拥有近500家核心客户,在金融、互联网、物联网、政府、教育等行业推出了优质服务和创新产品解决方案,是国家互联网应急中心(CNCERT)“省级支撑单位”、国家信息安全漏洞共享平台(CNVD)“漏洞报送突出贡献单位”、国家测评中心“二级支撑单位”、2018年度上海市网络安全工作 “先进支持单位”,也是国家信息技术安全研究中心、公安部第三研究所等国家级行业机构的关键技术支撑单位与重要合作伙伴,曾荣获2016年红鲱鱼全球科技创新100强,亚洲地区唯一上榜的安全企业。
斗象科技目前已在上海、北京、深圳、南京等多地设立分支机构。斗象科技团队中,超过70%的成员是网络安全、大数据、人工智能等领域的资深专家。
斗象科技官网:www.tophant.com
FreeBuf官网:www.freebuf.com
漏洞盒子官网:www.vulbox.com
网藤风险感知官网:www.riskivy.com
联系电话:400-156-9866
Email:mkt@tophant.com