浅谈安全漏洞管理平台建设思路

2020年国家信息安全漏洞共享平台（CNVD）共收录通用软硬件漏洞19964个，其中，高危漏洞6906个（占34.6%）、中危漏洞10633个（占53.3%）、低危漏洞2425个（占12.1%）。根据有关机构对近3000个组织进行的最新调查显示，与2019年相比未能及时修复漏洞导致给业务造成的损失增加了35%。。对于企业内部的安全负责人来说，如何做好漏洞管理是不能回避的话题：新的应用不断上线，老系统更新版本，伴随的是源源不断漏洞。那么漏洞管理平台建设为何在业内一直缺乏效果突出的实践案例。导致这样的情况的原因主要有以下5个方面：

漏洞输入来源多

安全管理工作最重要的一点，就是不断的发现自身弱点并不断补强，所以采用各种手段发现自身资产脆弱性部分，是至关重要的一环。随着企业安全建设的不断深入，漏洞发现的渠道变得越来越多。包括：漏洞情报公告、系统漏洞扫描器、web漏洞扫描器、代码审计系统、基线检查工具、POC漏洞验证脚本、人工渗透测试、甚至自建或第三方代管的SRC。这些庞大的漏洞输入数据，哪些对于企业资产具有“真实伤害”，哪些是“徒有其表”，没有进行评估与区分。

修复涉及人员多

整个漏洞安全管理的漏洞发现、漏洞接收、漏洞验证、漏洞修复、漏洞跟踪和验收等工作环节中，会有各个安全角色的人员参与。包括：主要安全负责人、内部安全管理团队、内部的产品研发团队、第三方安全厂商安全服务人员、以及第三方产品研发团队。与各个环节的人员沟通协调的工作相当复杂，消耗相当多的精力。

工作结果数据杂

在整个企业安全管理的过程中，安全漏洞管理是重要、复杂且繁琐的事情，漏洞录入、跟进、处理、修复、修复验证整个闭环流程期间，会出现无数的文档，包括漏洞说明文档、漏洞验证文档、漏洞修复建议文档、各类漏洞修复的过程文档、漏洞修复复测结果文档，更需要安全管理团队与各个环节的信息沟通。

对接厂商品牌多

漏洞挖掘的工作涉及的资产系统梳理多，覆盖的分支机构范围广，其中需要配合的安全服务厂商和人员众多，涉及到的专业设备类型庞大。对各类相关工作的管理繁杂，如何科学的评估厂商技术能力及服务支撑是否合适同样是一大难题。

安全管理平台多

市场上的漏洞管理平台千篇一律，产品重界面、轻效果，整个漏洞管理的流程大同小异，对于漏洞管理的痛点蜻蜓点水。并且，已有的SOC、SIEM等系统都需要大量的数据，这些系统大多数是围绕着流量、日志、告警为核心的平台，对于漏洞管理所涉及的多维度、多来源数据，对于漏洞响应处理所涉及的多机构、多层级流程，缺乏统一的管理平台进行系统的规划与运行，想要做到自动化调度更是空中楼阁。

在具体的漏洞管理平台建设工作中面临的远远不止上述难题，一款好的漏洞管理平台应该具备以下几个特征：统一化、实战化、自动化和智能化，用于应对上述的问题。

统一化

全面收录漏洞相关的数据，做到一个平台覆盖所有漏洞相关的数据。第一：资产视角审视漏洞能力，可以全方位的覆盖管辖资产，不遗漏任何可能存在的薄弱环节。将资产和漏洞数据对内部的统一安全管理平台开放，提供为统一安全管理平台输入资产和漏洞相关数据的能力；第二：可扩展的漏洞源接入，接受所有品牌和各种类型来源的漏洞数据，包括漏洞情报、漏洞扫描器、基线检测、代码审计、灰盒检测工具、风险评估、渗透测试、众测、企业SRC等数据。第三：“一中枢、多中心”架构，建设“一中枢、多中心”的统一漏洞管理平台，通过广泛的漏洞收集、攻击视角的漏洞评估和管理、持续的漏洞探测、自助式的漏洞修复和验证，推动漏洞的快速、精准、全面修复。第四，统一的响应管控中心，通过这个中心监控漏洞从产生到修复的全生命周期流程，并可以统一下发各类漏洞检测任务至漏洞扫描器、第三方服务商，形成更加高效的协作方式，提高效率、方便管理。

实战化

从实战的角度出发，进行漏洞评估、漏洞分析、漏洞修复决策等漏洞流程处置。第一，从红队（攻击）视角进行漏洞评估分析，对披露的漏洞进行攻击风险评估，对漏洞的真实影响进行攻击可能性排名，形成修复优先级评估模型，利用模型准确地确定哪些漏洞对我行资产构成最大的风险，得到漏洞修复优先级。第二，及时的1day漏洞响应能力，可快速通过资产台账各类指纹条件进行过滤，定位受影响资产，进行实战下的决策。第三，通过SAAS化的漏洞情报采集同步新漏洞的POC，对漏洞原理与利用方式进行分析，从实战角度漏洞分析漏洞利用引发的系统环境的特征，从而更加及时的应对新型漏洞。

自动化

具备各类漏洞响应任务的自动化调度、分发、流转与闭环。自动漏洞数据清洗：自动化的对异构漏洞数据进行标准化、归一化处理。自动标准化为符合行内使用的标准漏洞数据，同时还对多个扩展源输入，解决使用多源漏洞数据无法统一集中管理的问题。自动任务调度分发：自动化的制定计划任务的能力，可根据漏洞验证和修复节奏来制定计划任务，让漏洞修复任务更高效和便捷。自动处置流程闭环：通过漏洞生命周期的多个状态进行跟踪，并从资产自身的重要程度、联网情况、承载业务重要性进行处置流程的自动化管理，根据漏洞响应任务，提供自助式的基于POC的漏洞验证，快速完成自动化的漏洞生命周期闭环管理。

智能化

通过漏洞数据的深度挖掘，运用数据指标，建立进行防护优化、安全左移的支撑决策。第一：所有漏洞数据可以清晰的统计出，待验证、待修复、待验收等各项关键指标，也可以基于业务场景、系统管理部门、问题处置时长等各种维度统计漏洞各项数据，为漏洞管理提供参考。第二：整改角度的漏洞发生原因的分布，方便开发项目组查看应用分布，引导各级机构、项目组主动从源头整改，推动安全左移支撑。第三：资产数据、漏洞数据结合业务场景更加综合的分析得出哪些部分需要加强防御策略，基于业务重要性和漏洞严重性判断，调整安全防护策略的优先级。

一个好的平台可以让漏洞管理工作更加全面、便捷、高效，实现漏洞管理的全面化、自动化、持续化，真正做到漏洞的防患于未然。

作者 | 王语莫、陈鹏飞

视觉 | 谭 畅

统筹 | 邸雅楠

声明：本文来自中国光大银行科技创新实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。