随着企业安全架构的逐年升级和完善,网络安全工作逐渐进入深度化、运营化的阶段,风险管理在安全工作中的重要性愈加突出,如何持续有效地治理高危漏洞、高危弱口令、高危端口暴露等风险成为关键基础设施网络安全运营者所需面对的棘手课题。
在管理上,由于监管检查周期化和内容长期化,业务和员工从短期承压变为长期承压,无法再延续突击作业的方式应对;其次,运动式的工作成果转化率有限,通过突击培训的安全意识无法长效提升人员的网络安全判断力。
在技术上,由于当下 IT 环境多样化、资产类型多元化、风险来源复杂化,风险的可见性数量和质量都无法保障;另一方面,由于风险可见性的不足,排查措施的识别能力、覆盖能力和验证能力都不足以支撑有效的排查需求。
将传统风险管理程序转变为持续威胁暴露面管理可以作为企业持续风险管理的重要思路。
01
战略规划一致
经过企业高层沟通,制定风险管理关联企业发展战略,其次进行业务沟通,将风险管理关联至业务健康,最终以具体结果为导向制定与业务相匹配的指标。
02
业务关联明确
提升风险响应敏捷度,首先需建立业务安全响应组,让不同业务单元CTEM单独流转起来,将安全指标反馈到业务价值上。
03
应用更完整的威胁暴露面管理程序
04
构建统一风险视图
长亭“两高一弱”
排查整体方案
第一步
获取漏洞情报信息,漏洞知识库搭建
建立企业内部漏洞知识库,至少包括漏洞库、自定义POC以及自定义指纹,逐渐完善成符合企业自身情况的知识库,优化漏洞管理体系。
漏洞库
详细描述漏洞类型、漏洞详情、漏洞危害以及详细的漏洞修复方案,其中漏洞修复方案需要投入精力逐个进行漏洞研究给出详细整改步骤,方便未来快速完成漏洞整改。
自定义POC
自定义POC:根据企业自身的资产类型以及突发事件持续积累自定义POC,详细补充漏洞等级、漏洞描述以及POC脚本。
自定义指纹
根据企业自身资产类型进行持续补充,覆盖指纹名称、厂商、资产类别以及详细描述等信息。
第二步
判断信息,优先级排序,适当降级处理
为实现对海量漏洞的高效处置并优化处置优先级,需对扫描所得或监管部门通知整改的漏洞进行定级,进而针对不同等级的漏洞设定漏洞响应、规避防范以及整改修复的时间。
第三步
搭建检测能力,保证技术覆盖完整度
01
数据中台
整套体系的运转需要一个大数据平台,将资产+漏洞+安全运营进行结合,不能将注意力仅仅聚焦在漏洞本身,需要根据漏洞所相关的资产类型以及资产所在区域的安全防护能力进行综合考量,最终输出综合态的风险估值。
02
互联网暴露面扫描(ASM)
在互联网侧7*24小时对外网暴露资产进行收集以及安全评估,将对外提供服务的域名、IP、端口等信息进行收敛,并将数据发送到数据中台进行汇总。
03
内网扫描器
覆盖全局所有网络区域进行漏洞评估,可实现常态化、应急等场景的漏洞评估工作,具备主机扫描、WEB扫描以及容器扫描能力。并具备自定义POC、指纹以及弱口令字典能力,实现一体化扫描效果,并将数据发送到数据中台进行汇总。
04
主机HIDS
可采集主机基础IP、端口、进程、启动项、内核、应用等信息,并可对主机的webshell、反弹shell、恶意文件、命令审计、暴力破解等防线进行检测,并将数据发送到数据中台进行汇总。
第四步
执行安全加固&验证
执行有效的安全加固动作,包括不限于隔离、补丁升级、实施定向的安全策略等,应结合具体情况选择最适合的安全加固方式。在完成加固后,需实施有效的验证动作,实施的安全策略也要及时验证,确保风险治理完成。
方案优势
01
资产全面梳理
云图(Cloud Atlas)暴露面管理运营平台能够以企业主体、业务系统关键词等线索为种子,融合30+高质量数据源,结合模拟真实攻击者的打点方式,通过线索推导、资产关联等方式自动化盘点和发现资产。通过持续监控外部资产暴露情况,掌握上下线与变更状态,主动发现边缘资产、影子资产、高仿资产,保障资产信息没有遗漏,从而实现外部边界资产统一纳管,为两高一弱的资产提供可靠可信的互联网资产清单准备。
02
漏洞知识库全面覆盖
长亭目前已全面完成互联网高危及内网高危漏洞的知识库构建,包含名称、原理、影响产品、描述、版本、危害、修复建议、 POC 。
03
多维度构建必修风险清单
云图 (Cloud Atlas)基于实战攻击经验,参考是否可导致服务器失陷、是否可导致敏感数据泄露、是否可导致系统拒绝服务等多个维度,构建了从实战角度下的必修风险清单。截止目前,云图 (Cloud Atlas)支持的PoC数量超过6000+,高危弱口令检测策略240+,从行业性监管角度看,目前也已经完全覆盖两高一弱清单,包括994个外网漏洞和1056个内网漏洞。
申请试用,请点击“阅读原文”?
?发表于:中国 北京
