一、法律法规下的漏洞管理要求
漏洞是网络攻防的战略性资源。
近年美国颁布了一系列有关漏洞披露管理的相关规定和法案,其对漏洞的披露管理十分严格谨慎。不难看出,美国早已将漏洞视为网络军火进行挖掘收集和严格管控。作为在漏洞管理链条中扮演重要角色的网络安全企业,也应利用自身安全技术和人才优势,在漏洞的挖掘、修复和处置中发挥更加重要的作用,提高国家和社会网络安全防护水平。
1.1 国内法规要求
目前国内存在的部分关于漏洞的管理规定:
2019年6月1日:工信部《网络安全漏洞管理规定(征求意见稿)》已更新
2021年7月12日:工信部、国家互联网信息办公室、公安部《网络产品安全漏洞管理规定》 2021年9月1日起施行
2013年12月31日:国标 |《GB/T 30276-2013 信息安全技术 信息安全漏洞管理规范》已作废
2020年11月19日:国标 |《GB∕T 30276-2020 信息安全技术 网络安全漏洞管理规范》
1.1.1 《网络产品安全漏洞管理规定》出台的目的和意义是什么?
主要目的是维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序、充满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。
1.1.2 全国信息安全标准化技术委员会《GB∕T 30276-2020 信息安全技术 网络安全漏洞管理规范》的职责
网络安全漏洞管理流程各阶段(包括漏洞发现和报告、接收、验证、处置、发布、跟踪等)的管理流程、管理要求以及证实方法。
1.2 《网络产品安全漏洞管理规定》解读
分为三类管理对象,对于企业来说就是网络运营者:
1.2.1 《网络产品安全漏洞管理规定》确认了两类主体责任
不管是网络产品提供者还是网络运营者,应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,且留存漏洞接收日志不少于6个月。
网络产品提供者:
接收:应当建立健全网络安全产品安全漏洞信息接收渠道并保持畅通,留存漏洞接收日志不少于6个月。
发现或者获知所提供网络产品存在安全漏洞后:
验证:应当立即采取措施并组织对安全漏洞进行验证评估,应当立即通知上游相关产品的提供者。
报送:应当2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
修补:应当及时组织对漏洞进行修补,应当及时将漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
网络运营者:
接收:应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存漏洞接收日志不少于6个月。
修补:发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
1.2.2 《网络产品安全漏洞管理规定》鼓励企业自行建立安全漏洞奖励机制
规定的:
第六条:鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。
第七条:鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
影响:
白帽子是我国互联网行业中一股不可忽视的技术力量,目前大部分网络安全产品提供者都有自己的安全应急响应部门(SRC),这些公司部门每年会有漏洞提交者的奖励大会,相等于悬赏外部“白帽”,帮助其提升产品的安全性。而本次发布的《规定》则从政策法规层面进一步明确了网络漏洞规范化管理,规范了网络产品漏洞的处理和生命周期流程,禁止利用漏洞从事不法活动。
《规定》也鼓励了安全生态圈内各主体发挥自身优势,动员企业和社会组织自建漏洞管理平台并规范化地参与和开展漏洞的发现、收集、发布等相关工作。
规定的发布对从事漏洞平台运营和漏洞全生命周期管理平台研发的企业,也会产生积极的影响。
1.2.3 《网络产品安全漏洞管理规定》发布要求
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
(八)法律法规的其他相关规定。
1.2.4 《网络产品安全漏洞管理规定》漏洞收集平台要求
(一)从事网络产品安全漏洞发现、收集的组织,应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布行为。
(二)网络产品安全漏洞收集平台需要向工信部备案,工信部及时向公安部、国家互联网信息办公室通报后,在将备案通过的漏洞收集平台予以公布。
(三)鼓励机构的安全漏洞收集平向四大平台:工信部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。
1.2.5《网络产品安全漏洞管理规定》相关处罚
(一)网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理。
(二)网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
(三)违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理
(四)利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理。
二、真实场景下漏洞管理痛点
网络安全漏洞的数量将呈几何数量级增长,随着等级保护2.0的推进,《网络产品安全漏洞管理规定》的发布。漏洞管理作为网络安全防护中最基础,最重要的一个环节时刻不能放松。
2.1 企业面临额主要安全风险
近年来,随着互联网的快速发展,用于实现各种联网交互功能网络产品的应用范围也愈发广泛,但其软硬件漏洞引发的安全问题也随之而来。中国国家信息安全漏洞库CNNVD统计显示,截至6月30日,2021年上半年CNNVD针对中国互联网所采集的漏洞总量已达9639个,平均每月数量达1607个。
根据公安部前两年HW行动总结12项重大安全问题之一是:漏洞修复速度慢
无论是从权威机构Gartner的调研结果,还是从公安部护网行动总结的直观感受中,已知安全漏洞但发现与补救不力是出现安全事故的主要原因。已知漏洞是主要风险!及时发现并修补关键漏洞,最重要增强全面的检测能力和高效的漏洞闭环管理能力。
2.2 真实漏洞生命周期痛点
19年以前东航应用漏洞生命周期已经形成闭环管理,但是大量工作都依赖人工或线下完成较为繁琐,在在漏洞检测阶段安全人员通过单点安全设备扫描和通过人工渗透测试进行漏洞检测。存在诸多的痛点:
2.2.1 漏洞检测阶段痛点
1、内、外网资产庞大、漏洞扫描困难
2、需要人工编写测试脚本、大量人工持续干预完成测试
2.2.2 漏洞评级阶段痛点
检测出漏洞后手工根据国际CVSS漏洞评分标准的10项参数计算漏洞风险级别,制定修复期限。
2.2.3 编写报告阶段痛点
安全人员需要繁琐重复编写大量的解决方案和漏洞测试报告
2.2.4 资产识别阶段痛点
漏洞报告编写完成后需要通过多次的渠道查询资产信息,包括电话/邮件咨询方式,问询项目组、主机、网络部资产所属确认资产负责人,产生大量资产沟通邮件和电话,资产确认及时性和准确性困难,导致增加人工成本。
2.2.5 漏洞复测阶段痛点
项目检测过程中大量的信息收集邮件沟通和漏洞跟踪流程,导致问题解决异常复杂化,大量消耗信息安全人员的精力和时间。另外一方面,通过邮件发布漏洞到项目经理,后需要大量通过电话\微信\邮件深入沟通修复方案,项目方修复好后告知漏洞修复完成进行漏洞复测,直至漏洞关闭。
有数据记录,18年单个信息安全人员漏洞修复及复测沟通邮件就多达1200多封。
2.2.6 漏洞入库阶段痛点
1、无法量化漏洞产生的风险、无法精细化漏洞运营
2、检测过的漏洞数据存储在Excel文本,对于超期未修复的漏洞标黄,人工对漏洞进行追踪修复,每周统计形成信息安全测试周报。
3、比如说根据应用层漏洞的种类设计对历史的漏洞和修复建议知识进行沉淀、产出一些安全培训资料、也无法对每个部门甚至每个人员的安全认识度进行统计。
三、漏洞管理的五个阶段
对照这五个阶段可以看出,大多数企业往往处于成熟度的第二个或者第三个阶段,没有建设漏洞管理系统以前的状态直至建设完成平台以后最终目标达到减少企业的安全风险水平。
四、东航漏洞管理平台实践探索
技术层面:漏洞管理平台负责管理公司所有安全漏洞,实现了漏洞全生命周期的线上跟踪与处理,保障漏洞处理流程的可跟踪、维护和高效执行,可视化、量化漏洞风险,支撑漏洞管理和运营工作的开展,将企业的漏洞和安全经验有效积累和沉淀下来,形成企业自己的安全知识库;
管理层面:漏洞管理规定和分子公司安全联络员机制,通过这两个安全管理制度定义和明确了漏洞整体处理流程、漏洞等级评估依据、漏洞修复时长和对应的信息安全联络员等;
运营层面:在运营层面,定义和明确漏洞运营指标、采取专人负责,从多个维度实现漏洞风险的量化和可视化,通过持续的漏洞运营使整个漏洞处理流程形成闭环。
4.1 东航漏洞管理平台实践探索-持续安全扫描运营流程
解决资产分散量大的问题:
东航集团及下属分子公司十几家,互联网出口及内网专线情况较为复杂,资产总量多达十万级别以上。我们通过内、外网分别部署资产测绘节点,实现集团总管子公司覆盖的架构,API联动各类主机、WEB漏扫设备,可分别设定周、月自动化定时扫描任务,对漏洞和资产指纹进行识别,各类数据均自动化同步到漏洞管理系统进行集中管理。
资产和组织架构对接:
同时我们对接了东航核心数据中心机房CMDB的资产信息和集团人员组织架构信息,可以做到生产数据中心服务器可随时定位到人员的组织架构和归属。在外网发布新的域名及端口的情况下可以通过API自动打入到漏洞管理系统的资产模块中,资产模块对每个周新增的资产均有不同颜色的标记提醒。
实现高危应急扫描:
在HW或一些高危漏洞发布预警阶段,如可寻到POC可直接编写脚本或更新分布式漏扫工具,通过覆盖所有资产的单端口高危服务进行快速的覆盖扫描检测,大大减少Nday或0day的危害性。
态势感知系统脆弱性实践:
在企业的态势感知系统中,我们将漏洞管理中的漏洞部分作为资产的脆弱性实施输送到态势感知中,我们发现在一些真是的HW案例中如触发一些漏洞的payload的,资产也实则存在这漏洞即可快速启动应急流程对事件进行应急处置。
4.2 东航漏洞管理平台实践探索-实现平台化漏洞全生命周期跟踪
东航安全漏洞管理平台基于漏洞全生命周期建立,整个漏洞修复流程过程可以分为五个阶段,在这过程中一旦漏洞状态发生变化,系统都会自动触发邮件提醒给相关方。
待审核状态:
通过漏扫、黑盒检测、渗透测试提交等各渠道API或线上提交,进入待审核队列,信息安全专家收到邮件通知对漏洞进行二次确认及审核、定级。
已确认状态:
对应资产负责人(抄送部门领导+安全联络员)在收到新漏洞提醒邮件后,可以登录漏洞管理平台查看漏洞详情和进行漏洞修复排期评估工作。
漏洞修复阶段:
此时将进入漏洞修复阶段,资产负责人可以根据实际情况进行修复,报告也可导出pdf等形式给研发修复。
此阶段如发现该漏洞风险可控,则可在线发起接受风险,接受风险则需直管领导邮件或书面审批上传。
此阶段如发现该资产归属有误,可直接发起资产上报,转到新资产负责人手中。
漏洞复测中阶段:
当漏洞修复完成,由资产负责人在漏洞管理平台发起”提交复测”,这时系统会安全专家发送提醒邮件。安全专家在收到信息后进行漏洞验证,确认漏洞是否被正确修复。
如果验证通过,漏洞提交人可以在漏洞管理平台点击”修复完成”按钮,这时漏洞会自动进入下一阶段;如果验证未通过,可以点击”重新修复”按钮,漏洞自动退回至上一阶段。
漏洞关闭阶段:
漏洞完成阶段,可直接选择“同步知识库”按钮,将漏洞详细的修复建议同步到该漏洞类型知识库,后直接点击关闭按钮,则入库结束。
4.3 东航漏洞管理平台实践探索-六大核心功能模块
该平台实现了六大核心功能模块,分别是资产管理、漏洞管理、漏洞统计、个人中心、任务管理、漏洞知识库
漏洞管理功能:漏洞全生命周期管理基本功能外,还包含漏洞等级(嵌入CVSS 3.0向量计算器)、漏洞来源、类型管理和漏洞内外网超期时间管理等。
漏洞统计:漏洞统计从多个维度实现了漏洞态势的量化和可视化,可直接导出相关图表清单。
个人中心:漏洞相关待办事项直接明了一目了然
任务管理:是专门为项目上线安全检测的特色功能,对于非敏捷项目,项目经理可直接通过漏洞管理提测,自动读取git和svn代码仓库源代码审计扫描,结果自动回取关联项目,安全专家审核通过后,即可自动发布项目上线安全检测报告。
漏洞知识库:漏洞修复方案和技术沉淀。
资产管理模块
资产管理:核心功能包含资产的添加、编辑、删除、资产列表等功能,并实现了资产关联对应部门、安全联络员和资产负责人等。我们通过对资产的主动资产监控和CMDB的API数据读取进行二次消费,可以关联资产的指纹和端口服务信息。
漏洞管理模块
漏洞管理:分为网站漏洞管理包括常见的主机漏洞和web层面的漏洞。在详细的系统界面中可以看到,只要资产关联到组织架构下后部门的安全联络员即可自动匹配到资产中,资产的申请人为第一负责人而安全联络员则是该部门的第二负责人,可以帮助信息安全人员分担很多的压力,例如每个周对超期的漏洞进行清零催促修复和内部点评跟踪。
4.4 东航漏洞管理平台实践探索-漏洞管理部分细节设计
漏洞提交界面:
漏洞提醒邮件:
项目上线安全测试通过报告:
4.5 东航漏洞管理平台实践探索-多维度漏态势监控与分析
通过对不同时间节点、不同组织架构下的漏洞数据概况统计分析,比如每个周和月的漏洞环比,安全专家的漏洞审核率、不同状态下的已处理漏洞统计、待处理漏洞统计等等。这些数据在每个周或者月度的安全数据分析中有非常重要的意义和价值。
1、在每个季度的时间内信息安全部根据漏洞类型排名Top 10,产出一份漏洞的修复培训方案和真是的漏洞场景案例组织研发部门一起进行培训。
2、每个漏洞类型的修复建议均在系统的知识库内容中体现,安全人员可随时维护更新。由于对接了一部分漏扫和安全设备,我们尽量支持多渠道的漏洞知识来源选择,为开发人员提供更加加便捷的修复体验。
3、对于不同角色的权限不同,可看见系统中该漏洞类型下的过往受影响历史漏洞,对于后期安全培训中真实案例材料收集增加便捷程度。
4.6 东航漏洞管理平台实践探索-多维度漏态势监控与分析
角色管理
五种角色:安全专家、安全联络员、部门领导、普通用户、管理员
安全专家:提交、管控漏洞、资产管理
安全联络员:查看、管理自己部门所有漏洞和资产
普通用户:查看管理自己负责资产和漏洞
架构账号管理
对接内部账号体系,自动同步认证架构和账号信息
安全管控:登录处对接企业微信消息平台验证码双因子
可封禁账号登录
个人中心
安全专家:可查看、审核、复测、超期和周月已处理的漏洞动态
安全联络员:可查看部门待修复、已超期和周月已处理的漏洞动态
普通用户:可查看自己待修复、已超期和周月已处理的漏洞动态
4.7 东航漏洞管理平台实践探索-漏洞管理平台价值
五、 写在最后
但是光有漏洞管理平台还不够,如果有平台但是大家都不用,那么平台的价值是体现不出来的。所以要想做好漏洞管理工作,需要通过技术、管理和运营三个层面共同协作,相互触进,缺一不可。
通过管理手段来明确和规范漏洞修复处理流程与安全联络员的职责;
通过技术手段来实现和保障漏洞处理流程的高效和落地执行,以及量化和可视化漏洞风险,
从技术维度支撑漏洞管理和运营工作的开展;
最后通过持续的漏洞运营来使整个漏洞处理流程形成完整闭环和不断优化漏洞处理整体流程,最终实现持续提升漏洞管理水平和能力的目的。