在Gartner的观点中,漏洞管理是不能被产品替代的,需要企业或者组织建议适合自身实际情况的安全流程,加以工具进行双管齐下。 市场上现有的多数漏洞扫描产品,只能做到漏洞管理流程中的漏洞扫描一个环节的工作,可以称之为漏洞评估产品。漏洞评估产品只是管理流程中的一个环节,它应该包括对设备、系统层面的漏洞发现, Web站点等应用层面的漏洞发现,同时也要能够人工操作层面的配置错误和疏忽。 而漏洞管理流程同时还需要完善的管理制度,自动化IT安全管理平台,执行制度的人,等共同支撑流程的运转,目前市场上充当管理平台角色的一般是大而全的SOC系统或SIEM,应用复杂缺少针对性。
目 录
计算机漏洞又名脆弱性,是计算机系统包括硬件,软件,协议设计和实现上存在不足以致缺陷,漏洞已成为当今网络安全中最最重要的因素和不可忽视的弱点。
尽管各行业的漏洞管理工作已经开展多年,在风险管理工作中,漏洞管理能够防患于未然,是投入和效果比最高的管理环节,已经得到各行业充分认识和广泛的基础建设和实践。但随着攻防技术和IT架构的的发展及变化,传统的漏洞管理面临越来越多的挑战。
从整个互联网来看,漏洞已经成为当前IT领域的热门话题之一。首先,漏洞传播速度高速化。 借助各大社区、社交平台,漏洞的传播速度惊人,漏洞利用代码传播速度极快,对使用者的技术要求更低,其次,数量越来越多。五花八门的应用,海量的数据及暴露面,技术在持续发展,应用在大面积推广,大量的漏洞正在影响着每一个企业的数据安全;最后,漏洞利用不再是少数专业技术人员的专宠。随着漏洞利用带来的庞大利益,越来越多的人投身于漏洞研究,越来越多的漏洞利用脚本被开发应用,普通人不需要具备专业知识,就可以造成十足的破坏力。
对企业来说,甚至很多企业,组织的安全主管都有这样的疑问,内部已经制定了漏洞管理制度,有专人负责漏洞扫描和修补,但实际情况是,出现紧急发生的漏洞还是手忙脚乱,仍然是疲于应付不断发现的漏洞,在接受上级单位检查的时候总是被发现存在漏洞,甚至是高危漏洞,问题主要原因为以下几点:
Ø 漏洞修复工作推进困难
Ø 漏洞管理流程缺乏量化指标
Ø 漏洞发现迟缓
Ø 漏洞修复状态难以确认
很多企业,甚至技术人员混淆了漏洞管理工作和漏洞评估,审计产品的概念和作用,误以为购买漏洞扫描产品就能解决所有安全问题。
在Gartner的观点中,漏洞管理是不能被产品替代的,需要企业或者组织建议适合自身实际情况的安全流程,加以工具进行双管齐下。
市场上现有的多数漏洞扫描产品,只能做到漏洞管理流程中的漏洞扫描一个环节的工作,可以称之为漏洞评估产品。漏洞评估产品只是管理流程中的一个环节,它应该包括对设备、系统层面的漏洞发现, Web站点等应用层面的漏洞发现,同时也要能够人工操作层面的配置错误和疏忽。
而漏洞管理流程同时还需要完善的管理制度,自动化IT安全管理平台,执行制度的人,等共同支撑流程的运转,目前市场上充当管理平台角色的一般是大而全的SOC系统或SIEM,应用复杂缺少针对性。
主要表现在以下两个方面:
企业漏洞运维投入资源有限
实际上漏洞的数量非常局巨大,如果按照纯人工计算,要实现有效的安全运维需要非常高昂的人工成本,这些高昂的成本往往 是企业难以负担也不愿负担的。
信息获取困难
安全攻防知识体系包括很多内容,一个合格的安全人员不但需要了解最新的安全情报和技术,具备深厚的安全专业技术功底,往往也需要对业务有这深刻的了解。在实际工作中,无论是安全情报,还是业务知识,以及深厚的技术和经验,这些信息的获取都是非常困难的。
资产脆弱性扫描平台由首页、扫描任务、资产管理、基础数据、处置中心、报告和管理中心组成。
首页主要展示系统的总体数据,包括扫描任务总数量、资产总数量、漏洞数量、系统资源监控、风险趋势图、新增漏洞信息等。
脆弱性扫描基于大数据信息情报积累,提供自适应智能的检测规则,实现全面的脆弱性风险评估。扫描任务列表包括常规扫描、和弱口令检测。
动态资产监控根据自主常态扫描实时监控资产变化,包括子域名、IP、端口、服务、web组件等。创建一个动态资产组,可根据资产组创建时指定的条件,自动筛选符合条件的相关资产,并且随着扫描和漏评估的结果动态变化。
基础数据方便用户查看系统扫描出来的所有漏洞数据。
处置中心方便用户做漏洞的例外排除。
报告主要展现了用户创建的所有报告列表。
管理的目标是保障系统的性能和可用性;保障数据的完整性;保护系统的安全;即可保障该系统的运行。
工具能用于临时在Web页面使用ping / traceroute / route 检查管理控制台所在主机的网络状态。
脆弱性扫描包含:
1、资产发现:在资产发现扫描中,扫描引擎通过使用 ICMP ECHO请求或发送 TCP数据包到一个或多个端口,可以在有效的端口扫描中发现设备。响应这些数据包的系统被标记为处于活动状态,并将被加入随后的扫描阶段。
2、服务发现:在服务发现阶段,扫描引擎将详绘出在活动资产中运行的网络服务。可调节服务发现以启用或禁用 传输控制协议(TCP)和用户数据报协议(UDP)端口扫描。您可以指定扫描哪些端口,包括默认端口列表或所有可能的端口(1-65535)。另外,您可以改变 TCP 端口扫描的方法,而使用全连接、半开放(SYN)扫描或其他变体。
3、资产清点:一旦系统了解带有活动资产和服务的网络布局,便可以执行资产清点以确定许多系统部分的配置:操作系统类型和版本(例如微软 Windows 7 SP1)、系统配置、硬件类型(例如思科 2621)、服务类型和版本(例如 Apache2.0.54)、服务配置、已安装的软件(例如 Mozilla Firefox 66.0.5)、软件配置等信息。
4、漏洞评估:在漏洞评估阶段,系统将扫描活动的设备以查找已知漏洞。漏洞评估既支持基于开放网络端口服务的检测,也支持基于SMB、SSH、WinRM等协议的登录扫描检测,可得到更加精确的漏洞评估结果。
5、资产管理:360资产脆弱性扫描平台的资产管理可以基于灵活的条件进行配置。资产组分为两种类型,一种是静态资产组,包含的资产需要显式的添加对应IP地址或主机名;另一种是动态资产组,可根据资产组创建时指定的条件,自动筛选符合条件的相关资产,并且随着扫描和评估的结果动态变化。
动态资产监控包含:
1、资产组:资产组又分为动态资产组和静态资产组。静态资产组,包含的资产需要显式的添加对应IP地址或主机名;动态资产组,用户可以根据需要自定义资产组,并根据匹配规则来灵活扫描。例如可以定义只扫描某个指定网段内的 Windows 主机,并且能通过循环检测发现资产的变化。
匹配规则可以是复合的规则,例如根据资产的操作系统类型、已存在漏洞的评分、存在某个CVE编号的漏洞等。通过多个规则来筛选指定范围的资产以建立动态资产组,符合筛选条件的资产会随着资产发现扫描及漏洞评估扫描结果动态变化。同时又可以针对动态资产组做特定的扫描评估操作等。
管理包含:
用户配置:用户管理页面显示所有用户列表,并且可以进行新建、禁用、启用用户操作。创建用户时也可以同时指定该用户有权限访问的扫描任务和资产组。
系统配置:登录配置页面可配置的项是系统的登录策略,包括登录次数、会话超时时间及密码长度限制等。系统服务设置页面首先可以禁用启用当前系统的 SSH 服务,或者手动与指定的时间服务器同步时间。这些操作也可以直接在操作系统上完成。证书替换页面替换现有证书,增强环境中的安全性。当系统安装完成,通过浏览器打开时,系统会默认分配一个VMware自带的证书,而这种证书在Web控制台登录会显示不安全状态。用户可以替换现有证书以增强环境中的安全性。邮件配置即配置邮件服务器。邮件服务器是一种用来负责电子邮件收发管理的设备。它比网络上的免费邮箱更安全和高效。LDAP配置对参数进行配置并启用,配置完成之后点击测试,查看是否正确后保存。
产品信息:产品信息页面显示当前系统的版本信息,授权许可相关信息等。还可以在该页面进行在线或离线产品更新,包括漏洞库及产品更新。并且可以对数据库进行升级及备份。
处置中心包含:
漏洞排除:漏洞排除页面展示了所有用户所提交的漏洞例外排除选项,管理员用户可以在该页面进行漏洞例外审查。
基础数据包含:
漏洞数据:漏洞数据页面展示了用户发起扫描任务所扫描出来的所有漏洞信息,用户可自定义查看漏洞详情,是否对漏洞进行例外排除、自定义漏洞等级以及上传漏洞。
报告包含:
报告管理:报告管理页面展示了用户所创建的所有报告详情,用户可自定义查看下载或者删除报告。
工具包括:
弱口令检测:弱口令检测可以用于对常见协议的弱密码进行基于字典的破解。系统内置了默认的字典。
网络工具:网络测试功能用于临时在Web页面使用ping / traceroute / route 检查管理控制台所在主机的网络状态。