安全运营之漏洞管理

简介: 20世纪七八十年代,早期黑客的出现和第一个计算机病毒的产生,软件漏洞逐渐引起人们的关注。在各种产品、主机、网络和复杂信息系统中,安全漏洞以不同形式存在,而且数量逐年增加,利用漏洞造成的各类安全事件层出不穷。攻击行为或网络安全事件的发生正越来越多地受到利益驱动的影响,这种“黑色产业链”的兴起,导致越来越多的网络终端受害,大量机密信息被窃取,敏感数据信息在互联网上传播,并在黑市中待价而沽。工业控制领域以及新技术新应用的安全漏洞,特别是基础核心系统的安全漏洞已经成为危害国家经济和发展安全的重要因素。在安全运营过程中一个最重要的工作就是漏洞管理。

1947年冯·诺依曼建立计算机系统结构理论时认为,计算机系统也有天生的类似基因的缺陷,也可能在使用和发展过程中产生意想不到的问题。20世纪七八十年代,早期黑客的出现和第一个计算机病毒的产生,软件漏洞逐渐引起人们的关注。在各种产品、主机、网络和复杂信息系统中,安全漏洞以不同形式存在,而且数量逐年增加,利用漏洞造成的各类安全事件层出不穷。攻击行为或网络安全事件的发生正越来越多地受到利益驱动的影响,这种“黑色产业链”的兴起,导致越来越多的网络终端受害,大量机密信息被窃取,敏感数据信息在互联网上传播,并在黑市中待价而沽。工业控制领域以及新技术新应用的安全漏洞,特别是基础核心系统的安全漏洞已经成为危害国家经济和发展安全的重要因素。在安全运营过程中一个最重要的工作就是漏洞管理。

一、什么是安全漏洞

安全漏洞(Vulnerability)也被称为脆弱性
根据国标-信息安全技术-安全漏洞标识与描述规范[GB/T 28458-2012]对安全漏洞的定义,安全漏洞是计算机信息系统在需求、设计、实现、配置运行等过程中,有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行,危害信息产品或系统及信息的安全属性。

有时漏洞也被称作错误( Error)、缺陷 ( Fault)、 弱点( Weakness )或是故障( Failure )等,这些术语很容易引起混淆。在许多情况下,人们习惯于将错误、缺陷、弱点都简单地称为漏洞。需要指出的是,严格地说,错误、缺陷、弱点和故障并不等于漏洞。错误、缺陷和弱点是产生漏洞的条件,漏洞被利用后必然会破坏安全属性,但不一定能引起产品或系统故障。

二、安全漏洞标识与描述

以下为国标-信息安全技术-安全漏洞标识与描述规范[GB/T 28458-2012] 对安全漏洞标识与描述的定义:
安全漏洞描述项包括标识号、名称、发布时间、发布单位、类别、等级、影响系统等必须的描述项,并可更具需要扩充(但不限于)相关编号、利用方法、解决方案建议、其他描述等描述项。
安全漏洞描述

标识号
CVD-YYYY-NNNNNN格式为标识号。CVD为Common V ulnerabilities Description 的缩写;YYYY为4位十进制数字,表示产生本安全漏洞的年份;NNNNNN为6位十进制数字,表示当年内产生的安全漏洞的序号。
名称
安全漏洞标题,概括性描述安全漏洞信息的短语,例如InternetExplorer8.0缓冲区溢出漏洞。
发布时间
安全漏洞信息发布日期。
发布单位
发布安全漏洞的单位全称。
类别
安全漏洞所属分类,说明安全漏洞分类归属的信息。
等级
安全漏洞危害级别,说明安全漏洞能够造成的危害程度。
影响系统
安全漏洞所影响系统的信息,例如厂商、产品名称和版本号等。
相关编号
安全漏洞的其他相关编号,例如Bugtraq编号、CVE编号等。
利用方法
安全漏洞利用的方法,例如安全漏洞攻击方案或利用代码。
解决方案建议
安全漏洞的解决方案,例如补丁信息等。
其他描述
安全漏洞描述需要说明的其他相关信息,例如安全漏洞产生的具体原因。

三、安全漏洞的分类分级

分类

网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行划分,分类如下:
安全漏洞分类

分级

网络安全漏洞分级是指采用分级的方式对网络安全漏洞潜在危害的程度进行描述,包括技术分级
和综合分级两种分级方式,每种方式均分为超危(严重)、高危、中危和低危四个等级,具体内容如下:
超危(严重):漏洞可以非常容易地对目标对象造成特别严重后果;
高危:漏洞可以容易地对目标对象造成严重后果;
中危:漏洞可以对目标对象造成一般后果,或者比较困难地对目标造成严重后果;
低危:漏洞可以对目标对象造成轻微后果,或者比较困难地对目标对象造成一般严重后果,或
者非常困难地对目标对象造成严重后果。

四、安全漏洞的生命周期

依据信息安全漏洞从产生到消亡的整个过程,信息安全漏洞生命周期分以下几个阶段:
a)漏洞的发现:通过人工或者自动的方法分析、挖掘漏洞的过程,并且该漏洞可以被验证和重现。
b)漏洞的利用:利用漏洞对计算机信息系统的保密性、完整性和可用性造成损害的过程。
c)漏洞的修复:通过补丁、升级版本或配置策略等对漏洞进行修补的过程,使得该漏洞不能够被
恶意主体所利用。
d)漏洞的公开:通过公开渠道(如网站、邮件列表等)公布漏洞信息的过程。

五、安全漏洞的闭环管理

根据漏洞生命周期中漏洞所处的不同状态,将漏洞管理行为对应为预防收集消减发布等活动。
漏洞生命周期

预防是指通过各种安全手段提高信息系统的安全水平,避免漏洞的产生和恶意利用。
收集是针对已发现的漏洞进行信息的及时跟踪与获取。
消减是指在漏洞被发现后积极采取补救措施,最大限度减少漏洞带来的损失。
发布是指在遵循一定的发布策略的前提下,对漏洞及其修复信息进行发布。
用户、厂商和漏洞管理组织可以根据漏洞的状态及管理活动建立符合自身特点的漏洞处理策略和处理流程。
对于企业组织安全运营来说可以参考以下漏洞处理流程:
漏洞处理流程

发现漏洞

一般由渗透测试工程师通过漏洞扫描工具或渗透测试发现系统漏洞,提交渗透测试报告。由安全工程师进行漏洞验证,确定系统漏洞是否真实存在。

漏洞录入

在漏洞验证完成后,安全工程师需要根据企业内部的漏洞等级划分标准,将存在的漏洞录入漏洞管理系统。

漏洞分发

漏洞管理系统根据漏洞所影响的业务系统、主机IP等匹配到系统负责部门和修复人。通知系统负责人进行修复加固等。

漏洞跟进及修复

根据漏洞等级设定的时效性,设置修复计划时间,漏洞复验时间,在漏洞管理系统中进行管理和跟进。漏洞修复人修复完成后提交安全工程师进行漏洞复验,验证漏洞是否确实已经修复。如果漏洞在目前的技术条件下确实无法修复,提交系统负责进行风险确认,采取其他规避风险的措施,如调整访控策略、下线等。

漏洞修复周期

漏洞修复周期,包括漏洞的验证、评估、分发、复验、修复和关闭的各个环节。漏洞的修复周期,会根据漏洞等级确定。
参考如下:

漏洞等级 漏洞确认时间 漏洞修复时间
超危(严重) 12小时 24小时
高危 24小时 3*24小时
中危 36小时 7*24小时
低危 72小时 14*24小时

漏洞数据分析

对于漏洞管理整个流程来说,漏洞缓解或已解决后,关闭工单不是最终的目的,需要对漏洞数据进行分析,持续运营,可以从以下几个方面考虑:
1)统计一段时间内,外网系统出现的次数最多的Top10漏洞排名,分析漏洞出现的原因;
如外网系统中出现多次SQL注入漏洞,可以检查WAF的规则库是否及时更新?规则是否生效?此外网系统是否在WAF的防护之内?对外的系统为何不做严格的字符过滤机制等。
2)统计一段时间内,自主开发系统中漏洞数量最多的Top10系统排名,分析造成的原因;
如弱口令次数过多,是安全意识宣传不够?研发人员不重视?
3)哪些供应商的开发的系统漏洞数量最多?分析存在的原因;
是否需要约谈供应商沟通,是安全开发能力的问题,还是研发安全意识不够?
4)哪些框架被利用造成的漏洞过多?
是情报问题?还是应急响应机制的原因?是否可以替换为其他框架?


参考资料
信息安全技术 安全漏洞分类 GBT 33561-2017
信息安全技术 安全漏洞标识与描述规范 GB∕T 28458-2012
信息安全技术 安全漏洞等级划分指南 GB∕T 30279-2013
信息安全技术 信息安全漏洞管理规范 GB/T 30276-2013
安惞《浅谈企业内部安全漏洞的运营(一):规范化》

博客地址:http://xiejava.ishareread.com/

目录
相关文章
|
7月前
|
运维 监控 安全
什么是基于风险的漏洞管理RBVM及其优势
RBVM(Risk-based Vulnerability Management)是基于风险的漏洞管理,RBVM方法不是简单地修补所有漏洞,而是关注那些实际可利用的、对组织构成风险的漏洞。这种方法通过分析内部资产、攻击者活动以及威胁情报馈送(特别是漏洞情报),来确定哪些漏洞是需要优先处理的。是一种更加智能化和策略性的方法来识别、评估、优先级排序和修复组织中的安全漏洞。
119 3
什么是基于风险的漏洞管理RBVM及其优势
|
10月前
|
运维 监控 安全
安全运营之安全加固和运维
安全运营是一个将技术、流程和人有机结合的复杂系统工程,通过对已有安全产品、工具和服务产出的数据进行有效的分析,持续输出价值,解决安全问题,以确保网络安全为最终目标。
455 0
|
10月前
|
安全 测试技术 网络安全
安全运营之安全检查和测试
安全运营是一个将技术、流程和人有机结合的复杂系统工程,通过对已有安全产品、工具和服务产出的数据进行有效的分析,持续输出价值,解决安全问题,以确保网络安全为最终目标。 安全检查和测试是确保系统、设备或环境安全的重要手段,是安全运营基础工作的一部分。
86 0
|
人工智能 供应链 安全
Marvelous!【首批】云鲨RASP通过研发运营安全工具能力评估
随着数字化的推进,软件应用服务正在潜移默化的改变着生活的各个方面,渗透到各个行业和领域,其自身的安全问题也愈发成为业界关注的焦点。通过自动化安全平台、工具,将安全融入软件服务的全生命周期,适应当前的开发模式是业界共识,也是实现研发运营安全的必要途径。运行时应用程序自我保护(RASP)工具可注入到应用程序中,与应用程序融为一体,进行实时监测、阻断攻击,使程序自身拥有自保护的能力。
235 0
Marvelous!【首批】云鲨RASP通过研发运营安全工具能力评估
|
监控 云计算
【IT运营】MITRE :IT服务管理
【IT运营】MITRE :IT服务管理
|
监控 安全 网络安全
网络安全运营工作浅谈(二)
网络安全运营工作浅谈(二)
|
运维 安全 Linux
99%运维人员都忽略的服务器安全问题
服务器安全是 IT 行业一个老生常谈的问题了,每年的护网行动,企业内部的安全培训都在提醒每个程序员处理好服务器安全问题已变得刻不容缓
|
数据挖掘
重点人员动态管控预警系统开发方案,情报研判分析平台建设
重点人员动态管控预警系统开发方案运用新一代信息技术和智能化大数据分析,统一构建重点人员管控系统。将辖区内的各类重点人员的基本信息统一采集录入,更新,统一汇总分析研判,分类采取管控措施。
658 0
|
数据采集 算法 数据可视化
情报研判分析系统平台建设,重点人员动态管控系统开发
情报研判系统以信息导侦、科技强侦为指导思想,针对毒-品犯罪集团化、网络化、智能化的特征,利用信息技术手段整合、共享、收集、深挖、跟踪、分析各类情报线索、为缉毒侦查破案提供及时、准确的情报支持,有效打击毒-品犯罪。
310 0
|
SQL 安全 Java
网站漏洞修复之代码安全审计的解决方案站系统构建
在很多网站系统构建的一开始,最注重的就是网站程序代码的安全,我们SINE安全对甲方网站公司部署过很多的网站安全系统,之前有一些网站设计公司对于每个项目都会由专人去负责开发与设计,并与甲方网站公司进行沟通,每个技术的开发水平都不一样,有些网站技术有着十几年的开发经验,有的技术可能只有三四年的开发经验,所以开发出来的网站也都会有网站漏洞,比如:SQL注入漏洞,XSS跨站漏洞,远程命令执行漏洞,CSRF劫持漏洞,远程包含文件漏洞。
149 0
网站漏洞修复之代码安全审计的解决方案站系统构建

热门文章

最新文章