漏洞管理解决方案目录CONTENTS01漏洞管理问题和误区04方案优势02漏洞情报的引入03漏洞管理方案目录•专业性强•长期持续•工作量大、复杂度高管理漏洞(VM)Garner2015.11.17《AGuidanceFrameworkforDevelopingandImplementingVulnerabilityManagement》Gartner的漏洞管理阶段定义•阶段1:定义计划和目标•定义管理的范围、流程、方法。•阶段2:漏洞评估•确定扫描目标、范围•确定设备部署等评估模型•执行漏洞评估流程•阶段3:漏洞修补•确定修补过程•重扫和验证•持续监控•度量漏洞管理的过程现实的漏洞管理工作•购买安全厂商扫描器•定期全网扫描•几十、上百页的报告现实中漏洞管理对修复工作的意义有限社交平台改变了漏洞利用传播的模式•借助各大社区、社交平台,个别漏洞消息的传播速度惊人,关注度变得极高•漏洞关注度,极大的缩短了漏洞利用工具出现的时间•传播和关注度也极大提升了攻击发生的速度•早上披露的漏洞,到下午可能已经有了利用代码,到了晚上很多攻击可能已经发生。漏洞管理工作中总会遇到各种问题不知道•漏洞爆发怎么第一时间获知,该怎么应对?不愿意•问题很复杂,处理很麻烦•报告大量漏洞,都是真实存在的?•从哪先开始?•该准备什么?•修复漏洞会不会影响业务运行?不会•非专业人士,怎么操作来修复漏洞?•怎样提高修复效率?不了解•运维人员的处理是否准确、全面?•如何评价运维人员的效率没依据•运维过程能否再改进•运维人员的处理过程是否能再改进?漏洞修复漏洞分析漏洞发现运维人员修补审核漏洞评估安全要求基准管理人员不清楚•整体安全情况如何?•业内其它组织安全情况如何?漏洞管理工作的误区漏洞管理=购买漏洞扫描产品•漏洞管理是人、流程和技术的结合•需要组织或企业适合自身实际情况自发建立•漏洞管理需要度量各个环节的工作,持续优化达到最佳•漏洞利用的周期越来越短•定期扫描能够作为基本的日常漏洞管理•还需要建立重大漏洞的应急响应机制•漏洞修复是在保证业务系统正常运行基础上的•漏洞修复要以优先修复风险最高的漏洞为原则•暂时无法修复的漏洞需要有替代防护方案漏洞管理=定期漏洞扫描漏洞修复=按扫描报告挨个打补丁漏洞情报的引入2016年威胁情报成为热点能做到这些步骤,这些(风险)就不会发生在你身上……建立风险和威胁管理计划……——RSA2016“TheFirst12AnHour-by-HourBreakdownofaThreatActorInsideYourEnvironment”好的情报系统建立智能的模型智能的模型给出明智的决定明智的决定带来更好的安全实践更好的安全实践提高看待风险的视角这些,就是高效率的、成功的安全管理过程——RSA2016“BridgingtheGapBetweenThreatIntelligenceandRiskManagement”许多组织虽然有成熟的评估流程能够有效的发现漏洞,但是潜在风险、漏洞影响的分析,修补优先顺序、修补过程管理,缺仍然面临挑战。…………(风险管理)促使漏洞管理成功并且有效。但是风险管理缺乏实践,经常与业务目标偏离方向——Gartner“ThreatandVulnerabilityManagementPrimerfor2016”漏洞披露情报•第一时间了解重要漏洞出现•快速应急:•补丁修补•使用防护设备漏洞情报驱动漏洞管理漏洞披露1漏洞利用2漏洞热度3漏洞利用情报•了解是否已经有利用代码•决定是否提高漏洞修补优先级漏洞热度情报•了解漏洞关注度和影响范围•决定是否提高漏洞修补优先级在漏洞攻防之战中,漏洞情报最大程度减小漏洞暴露时间窗•漏洞情报驱动漏洞管理人员快速应急响应•漏洞情报指导漏洞修补工作知己知彼威胁情报的应用改变了传统的漏洞管理方式GarterGartner总结各个厂商的新的思路,提出威胁和漏洞管理(TVM)的概念,将成为后续漏洞管理市场的发展趋势。推出TVM的国际厂商Nopsec(绿盟科技投资)Kenna12Feet(Merge.io)RiskSense国际动态Nopsec方案中引入了漏洞情报的概念,从企业和组织外部收集漏洞相关的情报,包括跟踪最新漏洞的发布,跟踪社区中人们对某个漏洞的关注程度,跟踪漏洞攻击代码是否出现。漏洞情报能让用户及时了解新发生的漏洞事件,并根据情报来调整漏洞风险的计算,对于漏洞从哪里开始修复,给出更有效的建议,VRM方案把“怎么发现漏洞-”变成了“怎么解决漏洞”。漏洞管理方案•快速响应•基于漏洞威胁情报•快速预警漏洞威胁•快速定位威胁范围•有序推进•基于漏洞威胁的漏洞评级•给出漏洞修复优先级建议•优先修补风险高的漏洞最快降低风险•优化管理•量化管理规范流程•跟踪漏洞管理全过程•对比内部外部经验数据,持续改进规范流程漏洞管理(TVM)概念快速响应有序推进优化管理TVM传统产品漏洞库更新漏洞检测风险报告漏洞修复审核及报告漏洞管理方案日常运维漏洞提交利用代码出现厂商获知厂商补丁发布补丁安装完成情报本地资产漏洞管理漏洞披露情报漏洞热度情报资产持续监控漏洞预警本地漏洞漏洞修补优先级资产情报高级漏洞修补方案漏洞管理全过程支持工单驱动快速响应优化管理有序修补过程评估漏洞修复方案社区同业漏洞管理水平数据优化建议大检查入网检查应急响应资产稽查TVM全景分析报告0Day攻击漏洞暴露时间窗持续攻击漏洞时间窗跟踪漏洞管理方案价值漏洞全过程管控基于威胁的漏洞管理基于情报的应急响应①可视化资产管理②漏洞全过程跟踪分析③风险运维工作可量化④灵活的第三方流程接口①基于威胁的多维度(热度、Poc、恶意软件)风险评级②基于业务的优先级处置建议③大数据关联分析接口①基于情报的风险预警②基于资产的风险预警③“检测”与“防护”结合漏洞管理平台实现方案漏洞情报漏洞事件情报漏洞优先级情报绿盟云端服务网站扫描引擎系统配置检查引擎系统扫描引擎硬件设备虚拟化镜像集群引擎多种形态引擎适配客户网络环境本地TVM运营平台资产持续监控漏洞风险预警漏洞风险优先级分析建议漏洞修复方案共享TV漏洞分析引擎漏洞全过程管控和优化分析绿盟云端运营专家绿盟服务团队情报合作伙伴及修复方案共享用户用户管理员用户运维人员重点从漏洞管理流程,变为快速发现和响应基于漏洞情报服务和本地资产感知应用场景——应急响应绿盟漏洞威胁情报TVM客户运维人员绿盟漏洞应急响应机制漏洞处理情报获取情报收集漏洞通知、修复方案其它通道•漏洞事件发生•全网漏洞影响地图•漏洞社区热度•漏洞行业影响•确定本地漏洞影响范围•精确漏洞预警•收到预警信息•确定影响范围和优先级•确定修复方案•完成修补入网检查保证上线系统满足合规要求能使漏洞修复工作成本降到最低应用场景——入网检查客户业务部门TVM客户运维人员执行检查,给出审核意见提起系统上线审核其它线下申请方式审核工单客户安全管理员批准上线①②③④⑤批准上线批准上线应用场景——日常运维绿盟漏洞威胁情报TVM客户运维人员漏洞修复,任务关闭漏洞工单、修复方案•监控漏洞事件发生•全网漏洞影响地图•漏洞社区热度•漏洞行业影响•资产持续监控•日常漏洞扫描和预警•漏洞风险优先级建议•漏洞修复流程管理客户安全管理员制定管理基准要求应用场景——安全大检查客户安全管理员TVM客户运维人员漏洞检查和处置下发大检查任务任务工单安全风险整体评估漏洞扫描漏洞分析达到合规要求完成任务漏洞修复应用场景——资产稽查绿盟威胁情报中心(NTI)TVMWVSS漏扫资产库BVSRSASWSM资产库云端企业内网查询返回结果公网资产基本暴露面稽查内网资产稽查资产持续监控方案优势解决方案——情报驱动绿盟威胁情报系统•微软每月漏洞日披露的漏洞•CVE披露的漏洞•漏洞紧急事件•乌云等其它漏洞平台披露的漏洞资产属性防护设施绿盟漏洞社区•厂商安全专家•白帽子•有经验的运维人员•行业内其他用户绿盟威胁情报系统•哪些漏洞热度最高•哪些漏洞有Poc•哪些行业有攻击案例漏洞情报:真正会影响到的系统威胁情报:漏洞修补优先顺序修补方案:精选安全修补建议预警重要资产23451方案收集平台缩短漏洞修复时间窗漏洞披露漏洞扫描漏洞修补优先级方案修补或防护修补效果确认漏洞出现漏洞可检查可修复安全运维人员开始扫描和修复系统厂商发布补丁漏洞披露安全厂商发布插件升级包漏洞披露升级周期等待用户扫描周期等待漏洞扫描漏洞修补优先级方案修补或防护修补效果确认漏洞出现人发现漏洞可检查可修复人发现以前加入漏洞情报漏洞披露漏洞扫描修补或防护修补效果确认漏洞出现漏洞可检查可修复人发现方案确定加入威胁情报方案确定修补完毕方案确定修补完毕修补完毕漏洞披露漏洞扫描修补或防护修补效果确认漏洞出现漏洞可检查可修复人发现方案确定参考漏洞社区修补完毕跟踪漏洞时间窗,避免漏洞被遗忘时间过长。时间窗跟踪漏洞发现操作员确认修补完成修补确认发现漏洞列表资产时间窗3天12天5天超时预警修补优先级建议分类•漏洞利用复杂度•漏洞有攻击代码•漏洞影响严重•平台和应用重要性•风险更多的资产组•防护手段•社交媒体收关注度更高•行业案例•修复后可降低业务风险最多的漏洞漏洞自身外部威胁业务环境分优先级的漏洞列表因素运维人员效果漏洞社区多个管理员间针对某个漏洞进行沟通对漏洞的点评,去除敏感信息,匿名分享至云端。•绿盟安全专家•绿盟认证白帽子•行业内运维人员(绿盟产品用户)公共社区入口行业社区入口•白帽子•安全运维人员•其他用户互联网用户行业用户TVM企业内部管理平台社区功能互联网用户间公开讨论绿盟运营专家•修复方法验证•修复方法精选推荐解决方案——漏洞运维管理全过程管控工单发现漏洞工单发现漏洞工单发现漏洞工单工作流分析修复跟踪审核评估推送到运维人员运维人员确认、修复、忽略、无法修复等状态更新1.对修复后的效果评估2.对修复过程评价与业内管理水平对比,找到可改进环节基准改进•触发工单:•定期扫描、漏洞预警情报、资产变动扫描•漏洞管理过程跟踪•跟踪管理人员收到漏洞、确认漏洞、修复、报告等各环节,并度量•管理过程改进建议•对过程度量数据分析,找到改进环节•与行业平均风险等级对比•漏洞数量•整体风险评分•与行业漏洞管理水平对比•工单处理效率•漏洞修补成功率过程评价谢谢!漏洞管理如何解决问题基准要求漏洞发现风险分析漏洞修补修复审核过程评估内部对比外部对比结合情报漏洞预警风险评级多维度校正漏洞修补优先级建议有效的漏洞修补方案漏洞全过程跟踪漏洞全过程分析和优化建议漏洞情报收集分析客户漏洞管理业务流程方案功能支撑方案技术支撑漏洞修复方案行业漏洞管理水平数据分析管理要求基准快速响应有序推进优化管理基准目标