McAfeeVulnerabilityManagerPoCSoW(MVM测试计划).doc

Commercial-In-Confidence, Page 1, 25-1 月月-19 McAfee Vulnerability Manager 7.x 产品测试计划产品测试计划 McAfeeMcAfee（中国）（中国） Commercial-In-Confidence, Page 2, 25-1 月月-19 目录目录 1.测试概述测试概述3 1.1MCAFEE VULNERABILITY MANAGER 风险管理3 2.客户信息客户信息4 3.MCAFEE 和和 代理商联系方式代理商联系方式 5 4.MCAFEE 分工界面分工界面5 5.测试环境信息收集测试环境信息收集 .6 6.环境准备环境准备6 7.产品配置设备开箱上线产品配置设备开箱上线 7 8.FOUNDSTONE 的升级的升级 .14 8.1申请升级的用户名和密码14 8.2输入用户名和口令，完成升级.14 9.用户的创建和配置用户的创建和配置 .17 9.1GLOBAL ADMIN的创建 17 9.2创建用户和权限 18 10.资产的自动发现及录入资产的自动发现及录入21 10.1登陆 MCAFEE FOUNDSTONE.21 10.2资产的自动发现 21 10.3资产的录入23 10.4资产优先级定义 23 11.执行风险评估执行风险评估 25 12.威胁关联威胁关联29 13.安全风险监控和量化的风险等级安全风险监控和量化的风险等级30 14.弱点修补工作流管理弱点修补工作流管理31 15.报表管理报表管理33 16.功能评估功能评估37 17.产品评估需求及选择评估标准产品评估需求及选择评估标准.40 Commercial-In-Confidence, Page 3, 25-1 月月-19 1. 测试概述测试概述 平衡风险优先级是风险管理的关键所在。您能否确定可能危及业务的最严重威胁和关键漏洞？ 作为全面安全风 险管理解决方案的一个重要组件，McAfee Vulnerability Manager 能够轻松查找、评估和修补漏洞，从而使您能够保 护宝贵的资产并遵守相关法规及策略要求。 在 McAfee 的风险管理体系中，主要有 4 个组成部分，用户可以根据自身的环境并结合 McAfee 的风险管理模型建设 信息安全管理体系。 资产发现和资产的优先级划分、制定策略 在公司的网络中都有哪些资产，那些资产的威胁会严重影响到业 务系统? 定义可以接受的安全风险 根据资产威胁对业务系统影响程度及采用防护手段的投资去权衡该风险是否可以 接受的风险。 实施防护 如何进行安全风险的降低、预防及规避? 法律法规遵从性 如何准确判定您是否遵从了主要的法规？ Fig.1: McAfee 安全风险管理模型 1.1 McAfee Vulnerability Manager 风险管理风险管理 在 McAfee 的 SRM 风险管理体系中，Vulnerability Manager 是整个风险管理的核心，它能够准确的标识用户的资产， 并按照资产同业务系统的关联性对资产进行赋值。用户面临的风险是一个动态的过程，随着网络的系统、业务系统得 变化而变化。一个很小的系统漏洞能够导致业务系统中断，用户重要数据丢失，甚至于整个系统中断。 信息安全系统管理员要防护和降低企业的信息资产所面临的各种安全威胁和安全漏洞，如何判断各种资产的安全威胁 的重要性、哪些资产的优先级最高，那些威胁是必须防护的等，都需要管理员能够快速、准确的识别和防护。 一个成熟的安全风险管理软件应能够满足用户的如下需求： 1.提供企业信息资产的优先级、资产在业务系统重要程度信息； 2.准确识别企业信息资产所面临的威胁并关联资产的优先级信息； 3.提供完善的修补建议 Commercial-In-Confidence, Page 4, 25-1 月月-19 如下图所示，企业需要将其信息安全管理人员的精力及资金放在最重要的信息资产漏洞修补和威胁防护上。下图中资 产、漏洞和威胁的交叉区域就是企业需要重点防护的区域。如果企业没有一个按优先级划分的风险管理系统，如果没 有一个能够按优先级的漏洞管理系统，企业将面临安全风险的不断威胁。 Fig. 2: McAfee 基于优先级的风险管理模型 Vulnerability Manager 为企业的管理层和 IT 管理员提供一种安全风险管理手段, 是一个基于优先级的风险评估和管理 解决方案涵盖整个安全风险周期，包括从初始的安全策略制定到最终的法律法规遵从。通过该解决方案，企业会在以 下几方面受益： 基于优先级的方法能够让企业的 IT 管理人员关注在最重要资产的风险管理上； 通过自动扫描、集成企业工作流的和友好的管理界面能够极大的提高企业管理效率； 持续度量和增强防护能够满足企业安全策略、安全法规的要求，能够帮助企业降低安全风险。 Commercial-In-Confidence, Page 5, 25-1 月月-19 2. McAfee 分工界面分工界面 McAfee 及代理商工程师：: 提前准备测试设备，测试软件，测试许可等； 在测试环境配置测试设备； 现场讲解如何使用测试设备，如何配置扫描任务，如何生产扫描报告； 测试期间的接口人； 测试期间的测试计划变更及参与测试项目例会； 测试期结束后，协调测试设备下线； 测试报告总结。 3. 测试环境信息收集测试环境信息收集 测试 IP 地址范围 网内扫描还是网外（从互联网扫描内部开放的服务）或全部 企业内网络分布 最关心的业务系统和操作系统有哪些 目前企业是否有 ticket 管理系统 4. 环境准备环境准备 测试设备名称（Vulnerability Manager 名字） 组织名称 (如: 公司名，部门名) 测试设备 IP 地址分配 IP 地址 mask 默认网关 DNS IP 需要扫描的 IP 地址分布 Commercial-In-Confidence, Page 6, 25-1 月月-19 5. 产品配置产品配置 McAfee FoundStone 分为软、硬件分为软、硬件 2 种产品供应形式种产品供应形式，本次测试采用的是软件形式。本次测试采用的是软件形式。硬件使用的是 Intel 硬件 产品，经过特殊的安全加固和配置，确保其自身的绝对安全。 设备上线之前，请确保设备运转正常，能够正常进入 windows 2008 服务器，并且实现配置，如发现异常，则运 行自动恢复光盘，并完成新版本的升级，新版本升级过程如下： 1)点击安装文件，如果是进行版本升级，将会提示为升级过程，绝大多数配置可自动完成。 2)选择所需安装的 FoundStone 组件 Commercial-In-Confidence, Page 7, 25-1 月月-19 3)选择所需表单的通知形式，可根据企业情况自行选择。 4)选择对数据库的操作，是否使用原有数据库 Commercial-In-Confidence, Page 8, 25-1 月月-19 5)输入 FoundStone 的基本参数和密码口令 6)配置数据库的 sa 的口令密码 Commercial-In-Confidence, Page 9, 25-1 月月-19 7)最终完成安装过程 1)重启 foundstone，注册成功。 Commercial-In-Confidence, Page 10, 25-1 月月-19 所有所有 FoundStone 功能均须功能均须 license 完成之后进行配置，因此请注意，在测试之前一天完成完成之后进行配置，因此请注意，在测试之前一天完成 license 的准备和申的准备和申 请工作。请工作。 Commercial-In-Confidence, Page 11, 25-1 月月-19 6. FoundStone 的升级的升级 FoundStone 的核心功能是风险评估和管理，因此，对最新的威胁、漏洞以及资产信息的实时性要求很高，需要 实时在线，进行各个特征库的升级。 在 FoundStone 系统当中，一共有 5 个特征升级库： 安全威胁库； FoundStone 扫描模版库； 漏洞库； 语言包； FoundStone 软件升级； 在完成 FoundStone 升级的过程中，需要两个步骤： 6.1申请升级的用户名和密码申请升级的用户名和密码 FoundStone 的升级需要用户名和口令，因此，在实施和测试的前一天，也需要申请升级所需的用户名和口 令，同样是发送邮件到 ，提供客户的 grant number 以及用户名称，24 小时之内，将会收到 升级的用户名和口令。 6.2输入用户名和口令，完成升级输入用户名和口令，完成升级 输入用户名和口令，并完成升级，如下图所示： Commercial-In-Confidence, Page 12, 25-1 月月-19 Commercial-In-Confidence, Page 13, 25-1 月月-19 7. 用户的创建和配置用户的创建和配置 7.1Global admin 的创建的创建 在 FoundStone 设备上开启 FoundScan，设定 Global admin 的用户口令，需要按照强口令要求进行设置，默认 的口令为：Admin1234！，如下图所示： Commercial-In-Confidence, Page 14, 25-1 月月-19 7.2创建用户和权限创建用户和权限 1)通过 Global admin 权限进入 FoundScan 配置界面，如下所示： 2)创建管理组织 Commercial-In-Confidence, Page 15, 25-1 月月-19 3)输入需要评估的地址范围 4)创建用户名称和权限 Commercial-In-Confidence, Page 16, 25-1 月月-19 5)管理员权限配置 6)完成所有需要的组织和管理员的输入和配置 Commercial-In-Confidence, Page 17, 25-1 月月-19 8. 资产的自动发现及录入资产的自动发现及录入 8.1登陆登陆 McAfee FoundStone 通过管理客户端登陆 FoundStone 管理界面，在 IE 浏览器中输入 https:/FoundStoneIP 地址，在组织、管理员 和密码中输入正确的信息，完成登陆过程。 登陆完成之后，界面如下： 8.2资产的自动发现资产的自动发现 1)使用 McAfee Foundstone Auto-Discovery 被测试的对象，方法是启动 Auto-Discovery 进行被测试对象的自动发 现。在操作界面中，选“Scan-NewScan”，在下面的弹出窗口中选择“Use a FoundStone template”，选中 “Asset Discovery Scan”后点击“OK”， Commercial-In-Confidence, Page 18, 25-1 月月-19 2)然后在弹出的下列窗口中输入要自动发现的 IP 地址范围，点击 OK 即可以自动发现要扫描的对象，测试对象发现 过程中开启了 OS 识别功能。 8.3资产的录入资产的录入 当然，客户也可以通过 IP 地址直接输入资产列表，这比较适合已经有成熟资产管理的系统或网络环境。 Commercial-In-Confidence, Page 19, 25-1 月月-19 8.4资产优先级定义资产优先级定义 Foundstone Enterprise 具备网络资产管理功能，可提供使用者清查、追踪、管理客户网络上的资产，并依所需 以群组或单一系统的方式标示资产名称与定义资产重要性等参数，以作为后续安全评估时准确判定风险程度的分析依 据。 通过浏览器 Login 到 FoundStone Server，设定自动发现的资产的优先级。资产的优先级由太保确定。 资产优先级定义方法：选择“Manager - Asset”选择计算和该计算机的属性，选择“Owner”和重要性级别， 如下图： 设置完资产的优先级后，即可以开始进行弱点扫描任务。 Commercial-In-Confidence, Page 20, 25-1 月月-19 9. 执行风险评估执行风险评估 1)产生评估任务。 选择“Scan - New Scan”，选择“Use FoundStones Default Seeting”，在下列窗口输入扫描名字，点击 Asset，从资产列表里添加扫描对象： 选择扫描检测类型： 注意：注意： o根据企业情况，产生多个扫描任务，扫描类型为 Sans Top 20 扫描、全部弱点扫描检测等，可根据企业情 况自行选择； o全部扫描任务第一次完成后，配置评估的 Schedule，根据企业要求，设定风险评估周期。 Commercial-In-Confidence, Page 21, 25-1 月月-19 2)选择报表类型：选“html”报表： 3)下一步选择“Active”；“Immediately”后点击“OK”，即可进行扫描测试： Commercial-In-Confidence, Page 22, 25-1 月月-19 Commercial-In-Confidence, Page 23, 25-1 月月-19 10. 威胁关联威胁关联 使用威胁关联可以将当前的最新的威胁和计算机网络中检测到的安全弱点关联，快速获得威胁响应。 1）使用第一次的资产 Auto-Discovery 和第二次全部弱点检测产生 Threat Business Unit； 2）下载更新最新的 FoundStone 威胁更新； 3）配置产生“Test”Business Unit； 3）选择威胁进行关联 3）查看不同时间威胁发生的可能性、威胁影响的业务单元和威胁发生的平台。 还可以选择不同的弱点进行威胁关联，即时产生不同的威胁发生可能性和影响平台。 Commercial-In-Confidence, Page 24, 25-1 月月-19 11. 安全风险监控和量化的风险等级安全风险监控和量化的风险等级 FoundStone Scan Engine 是即时在线的设备，通过弱点扫描 Schedule 可以随时了解 IT 资产的弱点变化和安全 风险变化。 在 FoundStone 中通过 foundScore 来量化安全等级，FoundScore 越高，安全等级越高，当出现新的安全弱点或 新增有风险的 Services 时，FoundScore 值会降低，表示安全风险增加。 FoundStone 中的风险等级计算公式是：100 Foundscore * Threat Index，风险等级值越高，则表示安全风 险越大。 在实施中，我们设定弱点扫描“Server Assess”定时在每进行三次扫描评估，通过 Admin 的 Dashboard 中的 “每周平均 FoundScore” 来观察随时间变化的： o安全弱点变化情况 oRisk Level 的变化情况 Commercial-In-Confidence, Page 25, 25-1 月月-19 12. 弱点修补工作流管理弱点修补工作流管理 虽然 FoundStone 中包含了弱点修补的工作流管理，能够根据预先的定义，自动将检测到的弱点产生处理 Ticket，自动将邮件发送给相关的管理员，通知管理员进行修补，修补完后，管理员可以人工关闭该 ticket，也可 以由 FoundStone 自动关闭该 ticket。 规则的设定： 1）定义资产 Owner，在测试期间，所有被测计算机的资产 Owner 设定为相应管理员； 2）在 FoundStone 上配置邮件服务器配置，以实现当出现新的漏洞处理 Ticket 时通过邮件自动发送到管理员； 3）设置是选择“Manager - Remediation ”，点击“New Rule”，产生新的 ticket 自动相应规则，选择平台、 Ticket 处理期限、ticket 处理者等。 然后测试，在一次安全漏洞扫描完毕后，FoundStone 是否自动产生处理 Ticket，是否自动发送到 Ticket 处理 者，在 Ticket 所指定的安全漏洞修补完后，Ticket 是否能自动关闭。 Commercial-In-Confidence, Page 26, 25-1 月月-19 Commercial-In-Confidence, Page 27, 25-1 月月-19 13. 报表管理报表管理 FoundStone 的报表包含多个种类，其中可以进行自定义： 1)报表列表 2)修补表单 Commercial-In-Confidence, Page 28, 25-1 月月-19 3)威胁比对 4)风险曲线 5)漏洞等级 Commercial-In-Confidence, Page 29, 25-1 月月-19 6)漏洞时间变化曲线 7)资产状况 Commercial-In-Confidence, Page 30, 25-1 月月-19 8)资产漏洞状况 . Commercial-In-Confidence, Page 31, 25-1 月月-19 14. 功能评估功能评估 Vulnerability Manager Enterprise 是一个企业级的风险管理平台，是一款基于优先级的解决方案，可集成和简化大中 型企业的漏洞管理，并实现漏洞管理的自动化，从而降低来自漏洞和威胁的业务风险。 功能评估：功能评估： 准确性 - OS discovery, vulnerability scanning, false-positives rate, etc. 易用性 - Scheduling, multiple/parallel scans, invasive vs. non-invasive checks, etc. 层次化的软件架构 - Distributed architecture, Dashboard roll-up, global/divisional/detail view, etc. 基于角色的管理架构 - Roles-based access, segmented users, summary and drill-down details. 性能 - Scan speeds, scan tuning, multiple/parallel scans, start/stop/pause, etc. 更新漏洞库- Automatic procedure for adding new Vuln Checks and reporting. Notification, response, turnaround time, etc. 资产管理- Asset Discovery methodology customised OS prints for highest accuracy, and variable asset criticality classification. 威胁关联分析- Online updates of real time risks & correlation with most-critical Assets, with or without existing Vulnerability checks. 报告 - Enterprise wide reporting, summary and detailed views, search capabilities, trending, etc. 修补系统- Workflow system for assignment of Vulnerabilities & fixes. Monitoring, tracking & verification of fixes, output to 3rd party systems. 灵活性- Class Cs, Bs, & As. Scanning of large internal & external potential space. 基于 shell 的安全评估- Granular and accurate vulnerability information on UNIX-based systems and infrastructure devices such as routers and switches. Windows 安全评估 Registry checks using credentials for patch levels & policy compliance. Level of capability without client/agent software. Web 应用安全评估- Complete page/URL crawling, admin/authentication penetration testing, etc. 技术支持能力- Architecture, installation & deployment assistance. Ongoing technical support. 无线网络安全评估- Identification of wireless access points, security, configuration and rogue access points. Commercial-In-Confidence, Page 32, 25-1 月月-19 计划任务- S