freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

漏洞管理之自动化(Automation)
  • 关注
漏洞管理之自动化(Automation)
2020-08-10 13:24:43

 

01 漏洞管理从来就不是一件容易的事

 

漏洞管理始终是安全从业者无法回避的话题,我们一谈到漏洞管理就头大,而随着大数据、云计算、物联网相关领域的推进,导致因漏洞出现的安全问题日渐严重,企业漏洞管理问题避无可避,已无路可退。

 

Gartner同样看到了漏洞管理的重要性在2019年11月份推出了最新的漏洞管理框架,给各大企业提供了一棵救命稻草,该框架分为五大过程一个前提,五大过程分别为“评估(漏洞检测)→分析(优先级确认)→处置(修复)→验证(重新评估)→改进(策略优化)”。而前提指的是在执行五大过程前先要做好准备工作,构建组织架构,定岗定责以保障漏洞管理五大过程的有序执行。不难看出漏洞管理是一个企业级问题,其涉及多个组织的协同合作,并且需要企业高层支持,才能将漏洞管理做到更好。

 

preview

图 1 漏洞管理框架

 

02 漏洞管理的最后一公里

 

Gartner框架很完善,但如何落地成为了老大难问题,好的是由于“护网行动”的大力推进,在国内漏洞管理中的前期准备阶段已经基本落实,剩余的五大阶段如何实施是目前安全厂商需要考虑的问题,而传统的漏洞扫描产品已经无法跟上漏洞管理的脚步,已经远远滞后于当前客户的实际需求。

  

从五大阶段来看,大部分漏洞管理产品还停留在第一个评估阶段,而分析、处置、验证、改进四大阶段均为涉及,但近两年漏洞数量的激增导致企业漏洞管理难度不断增大,安全管理员拿着上百页的扫描结果只能望洋兴叹,仅将最重要的几个业务系统进行简单处置从而草草了事,而众多系统漏洞只能弃之不顾,木桶短板层出不穷。

 

“漏洞管理的最后一公里”我们面临了哪些问题,小编经过和甲方客户的多方访谈,总结了以下几点:

 

 

1.人手不够,有心无力,仅能将极少的业务系统进行修复;

2.突发事件,难以应对,出现重大漏洞事件不知该如何应对;

3.缺乏体系,沟通繁琐,没有构建管理流程,通过邮件的沟通太过滞后;

4.修复完成,缺少验证,修复完成不代表修复成功,验证环节不可缺失;

5.考核机制,难以建立,邮件驱动的修复任务,难以统计难以跟踪;

 

众多问题的出现,漏洞管理究竟该何去何从?

 

03 漏洞管理的演化趋势

 

以上问题促使着漏洞管理朝着新的方向发展,我们需要通过更加自动化的手段简化漏洞管理工作,将“人、技术、流程 ”融为一体,彻底解决当前漏洞管理面临的窘境。

 

随着SOAR的兴起,自动化漏洞管理不在是一种概念,它能将漏洞管理从被动推进变为主动抑制,帮助安全从业者简化“评估→分析→处置→验证”四大阶段,降低人员参与度,减轻人员重复劳动的压力。

 

小编简单列举了两个SOAR在漏洞管理中的应用场景:

 

漏洞应急预案(Usecase)

近几年漏洞问题频发,当出现重大漏洞威胁时,企业和黑客间拼的就是速度,速度越快给企业造成的损失越小,而通过自动化方式能够第一时间完成应急预案的制定和执行。

preview

 

图 2 自动化漏洞应急预案(Usecase)

 

通过剧本编排能够及时完成重大预警的应急处置流程,具体流程如下:

 

 

1.建立定时的情报获取任务(主动拉取/被动接收);

2.判断是否存在最新情报;

3.获取情报检测侧规则;

4.人工确认情报和规则信息(可选);

5.创建扫描任务;

6.获取扫描任务结果;

7.发送消息通知(钉钉/微信等);

 

 

以上就是通过自动化完成的应急响应的简化流程,整个环节如果纯人工操作则需要5分钟或以上,而通过SOAR的赋能则1分钟即可完成;

 

漏洞修复(Usecase)

众所周知漏洞管理中最复杂的部分是“修复”工作,如何将修复通过自动化手段进行驱动,是未来漏洞管理需要解决的重要问题。

preview

图 3 自动化漏洞修复流程

 

通过剧本编排能够自动化完成漏洞修复过程,具体流程如下:

 

 

1.创建扫描任务;

2.获取扫描结果;

3.发送消息通知;

4.人工确认(可选);

5.创建修复任务(实验环境);

6.获取修复结果(实验环境);

7.发送消息通知;

8.人工确认(必选);

9.创建修复任务(生产环境);

10.获取修复结果(生产环境);

11.发送消息通知;

 

以上就是通过自动化完成的漏洞评估→漏洞修复的简化流程,整个环节如果纯人工操作则需要30分钟或以上,而通过SOAR的赋能则5分钟即可完成所有过程,极大的缩减了人力成本。

 

04 漏洞管理自动化的未来

 

通过以上两个案例不难看出漏洞管理的自动化趋势势不可挡,通过流程的自动化编排将漏洞修复变为由“人”重度参与工作,改为由“机器”参与,将人从漏洞管理工作中彻底解脱。

 

虽然以上只是两个较为简单的案例,但是我们能够看到自动化编排在漏洞管理中的应用前景,华云安灵洞·威胁与漏洞管理平台,是首个将SOAR理念应用到漏洞管理过程中的产品,将“人、技术、流程”进行了全场景全方位打通,将漏洞管理一个复杂的事情,变得简单。

 

华云安正在以自动化协同的理念应对未来的安全管理问题,通过“人机协同”使安全管理变得更高效,更落地。

 

 

# 漏洞管理 # soar
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者