閉環(huán)處理企業(yè)安全脆弱性

引言：企業(yè)的信息安全管理是一項管理與技術結(jié)合的工作，著重側(cè)重其中一方最后往往收效甚微，因此在安全脆弱性管理這樣的工作中也要充分考慮管理層面的可落地性，并逐步思考完善系統(tǒng)化的管理方法。

隨著企業(yè)信息化程度的提升，大中型企業(yè)擁有大量的IT系統(tǒng)，企業(yè)關鍵的信息資產(chǎn)也正是分布在這其中。來自企業(yè)外部的攻擊日新月異，深入企業(yè)內(nèi)部逐步入侵核心資產(chǎn)的攻擊模式越來越多。企業(yè)信息安全的防護逐漸向兩個分支發(fā)展：一支緊盯攻擊者、跟蹤其行動路線、推理其使用工具、確定攻擊動機，是對攻擊者的研究；一支著重內(nèi)部安全風險的檢測、加固、防御，是對防御者的研究。而本文將要探討的就是后者，如何能將企業(yè)內(nèi)部的安全風險快速準確的檢測出來并且閉環(huán)處理。

當前，檢測安全脆弱性的系統(tǒng)及工具都日趨成熟，其細分產(chǎn)品類型也非常龐大，安全管理人員在使用這些檢測工具時，面臨了如下問題：檢測結(jié)果在各個工具中導致展示維度各不相同；脆弱性無法統(tǒng)一展示：脆弱性整改工作繁瑣：整改工作的整個流程沒有系統(tǒng)支持：不斷產(chǎn)生的問題和不及時的響應導致管理錯亂。

解決方案

要解決當前脆弱性管控工作中的問題，要完成以下要點：

1.統(tǒng)一展示入口、統(tǒng)一下發(fā)工作、統(tǒng)一處理入口；

2.企業(yè)組織的各個結(jié)點上的各個檢查專題都可以隨意組合；

3.要展示安全脆弱性“現(xiàn)狀”，即“當前”存在的“問題列表”；

4.任務結(jié)果實時更新表要含有所有任務結(jié)果的信息，且需要去重的、實時更新過的，展示內(nèi)容需要篩選；

5.統(tǒng)一檢查任務的管理。避免“重復”檢查；

6.檢查結(jié)果要簡潔明了,避免一些復雜的檢查狀態(tài)帶來的結(jié)果混淆；

7.結(jié)果是衡量脆弱性的唯一標準,不會因檢查項的問題去撤銷對問題設備的判斷，也不會因為現(xiàn)網(wǎng)實際整改困難，而取消整改提示。

系統(tǒng)設計

1.整體流程設計

為實現(xiàn)解決方案中描述的方法，需要對系統(tǒng)做整體上的流程設計，分析關鍵的參與人員、閉環(huán)處理過程中的數(shù)據(jù)流向。

系統(tǒng)化過程中的關鍵環(huán)節(jié)：

總負責的管理者啟動或者一般管理者啟動任務檢查；

角色鑒權(quán)，判斷檢查的數(shù)據(jù)權(quán)限和崗位權(quán)限適用的檢查范圍；

在眾多的檢查任務中，選擇本次所要進行的檢查專題；

將檢查結(jié)果按設備更新到實時更新表中，這樣保證了在任務完成一部分的情況下，仍有效輸出檢查結(jié)果，并且使用戶時刻都能看到最新的脆弱性結(jié)果；

將結(jié)果按照組織結(jié)構(gòu)進行分發(fā)；

生成更為詳細的脆弱性明細表；

安全接口人查看自己組織下的安全問題，進行線下整改；

在整改過程中隨時可自定義任務進行“復查”；

整改報告作為設備脆弱性結(jié)果的一部分更新到實時更新表中；

匯總所有檢查任務結(jié)果呈現(xiàn)給安全管理負責人。

分析結(jié)果變更歷史對比檢查結(jié)果，得出整改工作的成效。

2.工作角色

安全管理員：具有各專項能力（基線配置、弱口令、防火墻策略、URPF、系統(tǒng)漏洞、內(nèi)網(wǎng)Web漏洞、外網(wǎng)Web漏洞）自查、復查和統(tǒng)一檢查權(quán)限；查看各專項能力的問題明細、問題出現(xiàn)次數(shù)、整改情況等權(quán)限；查詢權(quán)限內(nèi)系統(tǒng)未連通設備明細、設備問題明細和問題匯總權(quán)限；按“開始時間與結(jié)束時間”、“檢查的組織范圍”、“檢查類型”條件增刪改快照和查詢快照組織系統(tǒng)的問題整改情況。

安全接口人：各專項能力（基線配置、弱口令、防火墻策略、URPF、系統(tǒng)漏洞、內(nèi)外網(wǎng)Web漏洞）自查、復查和統(tǒng)一檢查權(quán)限；查看各專項能力的問題明細、整改情況等和進行整改情況報備權(quán)限；查詢權(quán)限內(nèi)系統(tǒng)未連通設備明細、設備的問題明細和問題匯總權(quán)限。

3.綜合調(diào)度

連通率、基線、弱口令、防火墻策略核查、URPF、系統(tǒng)漏掃等任務的統(tǒng)一自動調(diào)度包括了執(zhí)行順序、執(zhí)行優(yōu)先級、各組件內(nèi)部任務的自動協(xié)調(diào)。任務的狀態(tài)應集中展示在綜合調(diào)度上，任務是否啟動、啟動后執(zhí)行中的任務狀態(tài)、中斷行為的展示。

執(zhí)行任務過程中，任務下發(fā)人若因系統(tǒng)占用或發(fā)現(xiàn)錯誤情況可能需要終止綜合任務，此時各模塊產(chǎn)生的報告和結(jié)果文件已完成的部分需要更新和記錄。插入任務則需要系統(tǒng)后臺設置好各模塊的執(zhí)行優(yōu)先級，對當前正執(zhí)行的任務采取掛起操作。

綜合調(diào)度任務涉及到各個脆弱性系統(tǒng)模塊的整合，下發(fā)后執(zhí)行過程中必然存在任務執(zhí)行異常，異常需要任務下發(fā)人通過各種異常信息提示聯(lián)系到能夠處理的人。那么調(diào)度系統(tǒng)一方面要提供異常情況的預判能力，另一方面提供異常處理的建議，類似于資源連通性測試時產(chǎn)生網(wǎng)絡不通、資源未接入等情況的錯誤信息提示。

模板自適應，當使用任務模板時，系統(tǒng)對模板中選定的設備所在的組織結(jié)構(gòu)進行實時查詢，對比模板，若發(fā)現(xiàn)新增或已下線設備的情況，直接更新為實時的資源列表，若此前模板并未覆蓋全部資源而是個別資源的話，應提示所選資源發(fā)生變動，同時更新為最新情況。

4.整改流程

綜合檢查完成后，生成的檢查結(jié)果應分發(fā)給各安全接口人，讓其參與整改，并反饋整改完成項與未完成項，未完成項需填寫誤報和無法整改的備注。整改三種狀態(tài)：已整改、無法整改、誤報。

檢查結(jié)果的生成過程中，按照組織結(jié)構(gòu)維度進行組裝。

在報告按照組織結(jié)構(gòu)輸出后，還需要對應到組織的安全接口人，用以在安全接口人登錄后在其待辦中顯示。待辦中需有詳實的待整改設備列表，清楚展示設備存在哪幾類問題、每類問題個數(shù)、問題的詳細信息等。

因檢查結(jié)果實時更新，對專項檢查來說整改率是項考察組織側(cè)日常安全工作開展的重要指標，但整改周期長時，對組織的評價很難通過歷史時間判斷其整改的最終效果。當前漏洞數(shù)里有專項檢查后官方發(fā)布的新漏洞或因系統(tǒng)配置導致新增的漏洞，因此：整改率“必須是“一個比較過的結(jié)果，而非單純的數(shù)字計算，例如1月0個漏洞，2月 A、B、C、D4個漏洞，3月 5日查看時B、C、D、E4個漏洞，那么2月整改率是25%。關于誤報，是參與到整改率的計算中，被認為是”已處理的“、”非遺留的“項，在計算時分子和分母中都有”誤報項“參與計算。

對安全接口人來說，收到檢查結(jié)果后，應按結(jié)果對權(quán)限下設備進行整改，整改完成后報送一個“整改完成”的結(jié)果即可，但整改過程中會遇到兩種情況誤報和無法整改，如遇需添加整改備注。誤報：由于檢查項或檢查方式不適用于檢查設備，造成的檢查結(jié)果錯誤。無法整改：因設備處關鍵系統(tǒng)，不允許宕機等原因無法完成漏洞修補的情況。組織安全接口人會根據(jù)實際情況在報送整改時，追加誤報和無法整改兩種情況的備注。整改備注包括正常整改內(nèi)容的備注、誤報情況、無法整改等三方面內(nèi)容，執(zhí)行一次任務后，之后的復查結(jié)果（界面展示和報告）上會一直標識整改備注（誤報和無法整改）。

5.綜合呈現(xiàn)

檢查結(jié)果包含多種檢查的報告整合，且需要按照不同維度展現(xiàn)并預置其可查看的權(quán)限，功能相對復雜因此作為單獨模塊表述。

系統(tǒng)中的這張匯總表處于動態(tài)加載狀態(tài)，一旦有某項任務執(zhí)行導致了結(jié)果的變動，此表都需要更新。

為支持后續(xù)的分析、展示、標識乃至未來的評分，檢查結(jié)果都需要進行統(tǒng)一的標準化處理以滿足變更、擴展、關系對應等要求。

展示內(nèi)容需按照“任務”作為基本線條來展示，“任務”表示了用戶對某個例行或?qū)ｍ棛z查的計劃，任務是由“開始時間與結(jié)束時間”、“檢查的組織范圍”、“檢查專題的范圍”三個要素構(gòu)成。

綜合調(diào)度檢查后，輸出的內(nèi)容龐雜，應提供簡便易讀的最終輸出物報表和視圖。

通過多次檢查后，會出現(xiàn)某些組織在某項指標上一直存在問題，例如系統(tǒng)資源上存在漏洞，經(jīng)過3次檢查漏洞依然存在，這除了誤報和無法整改還可能由于安全接口人消極處理導致，因此對此類問題應輸出相應的展示及報表。展示內(nèi)容包括了該問題被檢查出的歷史任務列表、整改備注、整改后消除不達標項的時間。

總結(jié)

該方法從實際工作場景出發(fā)，將工作入口、工作成果做統(tǒng)一的處理，最終令脆弱性處理工作符合使用習慣和工作需要。這種基于工作場景的創(chuàng)新具有創(chuàng)新意義。

按照本文提供的方法進行脆弱性管理將使脆弱性管理工作得心應手，符合參與各方的工作需求和使用體驗，告別繁瑣復雜、令人疑惑的管理流程和呈現(xiàn)結(jié)果。