分布式闭环漏洞风险评估管理解决方案

分布式闭环漏洞风险评估管理解决方案目录1.背景介绍32.部署拓扑图33.部署描述43.1.民航管理控制中心43.2.各机场部署43.3.自动化渗透测试（漏洞验证）44.发现者功能描述64.1.采取全面风险管理方法64.2.从广泛部署中得以验证，提供以下核心功能65.长矛功能描述95.1.攻击测试：领先于别人之前测试您组织的防护能力95.2.安全风险验证：了解哪些情况会带来真正的风险106.闭环风险管理116.1.深度集成的安全评估系统116.2.工作原理117.与国内同类产品的比较127.1.扫描覆盖面的差距127.2.扫描能力的差距137.3.其他一些影响使用感受的差距138.成功案例151. 背景介绍分布式闭环漏洞风险评估管理系统适用于大中型分布式网络环境，实现分布部署集中管理，通过分角色、分引擎功能既可以各分支机构独立管理使用又可以实现控制中心对各分支的全面监督管理。系统具有很强的兼容性，可以部署在物理机上也可以部署在虚拟环境；并且可以通过自动化渗透测试系统进行漏洞验证，对整个大网络环境进行更高效的风险评估、管理、跟踪。系统可以与各种信息系统进行集成，例如日志系统、SIEM系统、TICKET系统、大数据分析等等。通过这套系统，安全管理人员、运维人员可以更好的分工合作，实现对整个IT环境的风险可视，在最短的时间内发现、验证、补救、跟踪各种漏洞风险。2. 部署拓扑图3. 部署描述3.1. 民航管理控制中心在民航管理中心内部部署一套“发现者”，通过互联网对下面各机场的网站进行漏扫扫描，并生成各种报告（如审计报告、补救报告、PCI合规报告等等，多达十几种报告）。该套系统的主要使用人员为民航管理控制中心的管理用户、测评运维人员和北京办公区的领导与相关用户。可以进行定时自动或手工扫描，因此可以通过在控制中心和各机场的防火墙上按时间设定防火墙策略的有效期，以保证端口开放安全。在未对防火墙等进行权限配置的情况下，该扫描主要对象为各机场的网站系统和对应的web服务器。3.2. 各机场部署在各个机场部署一套“发现者”，具体的部署方式按各机场的网络结构、设备数量等情况而定。主要实现对各机场除主要实现对包括web服务器在内的全部IT资产，如数据库服务器、应用服务器、各终端等进行漏洞扫描和管理。该套系统的主要使用人员为各机场的管理用户、测评运维人员。3.3. 联动扫描在民航管理控制中心和机场均部署了发现者，且机场的防火墙开放了对应端口或通过VPN等方式连接机场内网的情况下。民航管理控制中心可以将各机场的发现者视为下属的扫描引擎，主动发起漏洞扫描，实现由上而下的，深层全面的漏洞扫描与管理。（如下图）3.4. 自动化渗透测试（漏洞验证）在中心及各机场部署长矛实现自动化漏洞验证。完成漏洞扫描之后需要对漏洞的风险进行验证，传统的手工验证费时费力还容易出错，因此使用自动化渗透测试工具进行漏洞验证是最好的选择。4. 发现者功能描述发现者是一款安全风险智能解决方案，它能够前摄性地为整个安全风险管理周期提供支持，包括发现、检测、验证、风险分类、影响分析、报告和消减风险。发现者企业版专为拥有大型网络和虚拟化基础设施部署的企业而设计，这些企业对可扩展性、性能、可定制性以及部署灵活性的要求极为严格，发现者企业版能帮助它们有效改善风险态势。4.1. 采取全面风险管理方法发现者推动安全风险智能信息收集，为您制定更有效的安全决策提供深入的洞察力。1、100%侦察您的IT基础设施彻底扫描IPv4和IPv6网络的物理和虚拟环境中的数据库、应用程序、网络应用和网络设备，以确保您了解存在的所有安全风险。发现您的IT资产，全面了解您的IT资产。2、准确理解您真正存在的风险发现者利用持续的物理和虚拟资产发现关于恶意软件和漏洞利用的相关信息，为您提供对于最重大风险的深入了解。发现者的漏洞库数量为超过5万个，是全球漏洞库数量最大的漏洞管理工具。3、迅速准确地确定安全风险的优先级侦察发现成千上万个安全风险，利用RealRisk和170+个过滤器，发现者可以有效地为您的补救措施进行优先顺序排列。4.2. 从广泛部署中得以验证，提供以下核心功能无与伦比的统一安全风险侦察广度-通过对大量平台中的网络、操作系统、应用程序、网络应用和数据库进行超过13万项安全风险检测，可以扫描超过5万种安全风险。不间断的更新-自动提供更新，无需用户干预。在24小时内及时提供“微软周二补丁日”发布的更新，以随时掌握不断变化的各种威胁的最新动态。RealRisk-通过合并漏洞利用程序曝光、恶意软件曝光和临时风险评分，以及CVSS分数等相关信息，清晰了解每个独特环境的实际风险。全面的合规和政策检查-检查您的系统是否符合组织或监管政策要求，例如PCI。强大的安全配置评估-集中管理和修改您的策略，轻松检测您的环境中的不安全配置。查看策略模板，报告对各项条例和审计方针的合规情况（例如CISbaseline）。向导型逐步补救计划-轻松创建并自动分配短期、可实践的分步骤补救计划，以帮助IT团队专注于降低对您的企业有重要影响的风险。虚拟资产的持续发现-与VMware中心的原生整合，让发现者能够提供对所有虚拟资产的实时可见性，以及对于这些资产的威胁暴露的深入了解。创建和管理动态组-管理员可以根据自定义风险策略或其他标准对资产进行分组，进而跟踪和流程化补救措施。稳健的预定义和可定制报告与模板-通过利用数十项可直接使用的报告和查看执行模板获得对于您安全态势的即时了解。联机创建更多种类报告，或者从社区报告模板库中直接添加。对风险态势变化的深入了解-借助包含资产和已发现的安全风险、恶意软件和漏洞利用程序曝光、漏洞严重性以及已发现的安全风险时间长度在内的关键趋势来轻松地跟踪您的安全态势和变化。端到端的企业工作流支持-管理和帮助对端到端的安全风险管理周期进行自动化升级，包括智能发现、风险监测、测试和验证，以及可实施的报告和补救措施。利用审批和逐步升级来有效管理例外情况和越权政策。强大的分角色管理-支持对地理或组织上分散的网络环境进行集中管理，提供基于角色访问授权的管理和报告，并可以整合AD、Kerbos或任何一种LDAP兼容目录管理系统。广泛的整合能力-发现者以预建集成和基于XML的开放式API为基础，可以与许多第三方安全、合规和风险管理解决方案进行整合，例如ArcSight,Splunk,solarwinds,RSA,Symantec。开箱即用的长矛集成-配合长矛为您提供远程扫描控制、漏洞利用程序识别（安全风险验证）。5. 长矛功能描述5.1. 攻击测试：领先于别人之前测试您组织的防护能力IT安全部门几乎花费他们所有的时间来建设和维护防护系统来保护他们的数据。往往只有企业在被攻击之后才会发现哪里是他们的真正弱点。渗透测试通过模拟现实世界的真实攻击来识别组织单位安全防护的弱点。长矛帮助组织进行渗透测试，例如使用攻击模块、密码审计、Web应用攻击测试、发动基于社会工程学的攻击等。自动化渗透测试工具-长矛渗透测试的事实标准：长矛基于拥有20万用户和贡献者的Metasploit项目，这也就使长矛成了攻击测试的事实标准。安全研究者们新开发的攻击方法经常会写成一个长矛模块，因此长矛用户立即可以使用这些模块。长矛的攻击方法和载荷都通过实验室和真实环境的测试验证。Windows,RedHat,Ubuntu,KaliLinux：选择您喜欢的平台进行攻击测试，不要把您自己限制于Windows平台。在KaliLinux上可以把来自其他工具的输出导入到长矛的数据库。灵活、开放平台：您可以编写您自己的攻击代码和模块，然后把它们导入到长矛，从而进行适合您自己环境的攻击测试。长矛是基于开源框架，使用脚本语言Ruby开发，保证对软件对您组织的透明性。高扩展性：在一个项目中可以评估多达1万台主机的安全性。安全控制测试：使用长矛的MetaModules测试您的安全控制有效性，使用后渗透模块进行内网审计评估在遭受攻击后会存在哪些数据泄露风险。这些功能模块可以大大简化复杂的任务例如密码测试或子网划分有效性测试等。友好授权：安装次数和测试IP数量没有限制，例如您可以安装在笔记本电脑上也可以部署在云中。5.2. 安全风险验证：了解哪些情况会带来真正的风险漏洞扫描器可以扫描安装的软件以及所存在的漏洞，但它并不能确定这些漏洞是否会给您特定的网络环境带来真正的风险。这可能会比较危险或没有作用因为IT部门需要在相同的优先级的情况下修补所有漏洞。风险验证帮助您确定是否一个漏洞会给您的环境带来高风险。它专注于那些已知公开攻击方法的漏洞，通过这些攻击方法即使不具有丰富经验的攻击者也可以轻松进入您的网络。长矛专业版简化和加速风险验证，对安全风险验证过程进行逐步指导。结果可以返回给发现者，发现者可以利用这些结果生成报告，并对漏洞进行等级划分后生成非常详细的补救计划。闭环的安全评估系统是安全风险验证的最佳解决方案：闭环解决方案：提供闭环的安全评估系统，返回的成功验证信息和安全风险例外可以安全风险管理系统中进行报告生成、补救计划生成、趋势分析。抓取现有的扫描数据：不同于其他解决方案需要手工把XML数据进行导入导出操作，长矛可以直接从发现者中抓取现有的扫描数据。6. 闭环风险管理传统的漏洞扫描器可以评估您网络系统中安装的软件系统和其可能存在的漏洞，但并不能确定这些漏洞是否会给贵组织造成风险。这不仅仅是效率不高的问题，而且可能会在IT安全部门花大量时间补救那些并不会造成真正风险的安全问题的同时使您的组织处于容易被攻击的危险之中。安全评估系统可以通过确认一个安全隐患在您组织中的特定IT环境下是否可被渗透攻击来帮助您识别致命的安全风险。通过专注于存在已知的公开的可渗透攻击方式（甚至是并不具有丰富经验的攻击者都可以使用的简单方法）的防护漏洞，您可以轻松的进行行动优先级划分，从而可以快速处理那些真正会带来风险的安全问题。6.1. 深度集成的安全评估系统由发现者与长矛组成的闭环安全评估系统。这两者的深度集成使安全评估系统的工作流程变的简单，并给用户带来更高效的风险优先级划分，使您可以有更多的时间来定位真正的威胁。6.2. 工作原理不象其它的解决方案需要手工进行XML格式数据的导入导出，侦察扫描结果通过API自动的从发现者导入到长矛。通过长矛的简单安全风险验证向导可以安全地在您的网络中模拟攻击，从而识别哪些安全隐患是可以真正被攻击的。验证结果自动的推回到发现者进行和理和报表生成。使用发现者轻松地对被证明可被攻击的IT资产进行分组和进行被救优先级划分，自动地把那些不可被攻击的安全隐患设置成例外。7. 与国内同类产品的比较7.1. 扫描覆盖面的差距扫描覆盖面上的差距是最直观、最明显的，本次对比的其他几款产品，与发现者均有一定的差距，基本上都只能保证扫描最基本的包括操作系统、网络设备和数据库，对于其他如中间件、Web、工业控制软件和虚拟机大多不能提供有效的支持。另外，根据近两年的数据分析，对客户端的攻击比例上升迅速，已经接近对服务器的攻击数量。因此，发现者加强了针对客户端的终端安全扫描。相较于传统的服务器扫描，增加了对客户端操作系统（例如Win8）和常见应用软件（例如iTunes）的漏洞扫描。目前其他漏扫产品还不具备针对终端安全扫描建立的漏洞库，也没有进行专门的优化。发现者绿盟启明星辰天融信操作系统扫描网络设备扫描数据库扫描中间件扫描应用扫描Web扫描注：单独产品工业控制软件扫描注：单独产品实时虚拟机扫描终端安全扫描7.2. 扫描能力的差距扫描能力决定一个漏扫产品成果的可用性，其他方面做的再好，不能发现实际存在的问题也就失去其应有的作用和价值。直接影响扫描能力的，就是漏洞库的数量与检查项的数量。同时，详细的分类可用让扫描更具有针对性，对不同的设备、软件采用不同的扫描、探测方法，是效率与效果的保证。更新是一个安全产品的灵魂，接收最新的安全动态，比黑客更早一步发现问题，修复问题，才是进行漏洞扫描的意义所在。下表列举了一些作为一款漏扫产品最基础也是最终要的指标对比：发现者绿盟启明星辰天融信漏洞库40000条10000条2500种6000条漏洞分类184个分类7大类30多种32类25种扫描/处理策略159个近50类超过15种约23种检查项110000个检查项目3000个检查项目1100种更新每周两周两周每周7.3. 其他一些影响使用感受的差距即使是功能点类似，但是在实现上和实际使用中，往往也会有较明显的差距。例如：发现者是一个产品，其他厂商都是多个产品以绿盟为例，绿盟在扫描覆盖面上相对较全，但是他并不是在一个产品上实现的，绿盟目前涉及漏洞扫描、管理的产品目前有4款，分别有不同的功能侧重点，如下表：产品名称简述远程安全评估系统对系统漏洞、配置隐患、应用漏洞、弱口令、运行状态等进行检测安全配置核查系统对操作系统、网络设备、数据库、中间件、虚拟化平台等近50类设备及系统的安全配置加固建议工控漏洞扫描系统针对工业控制系统中所特有的设备/系统（如SCADA、DCS、PLC等）进行漏洞扫描Web应用漏洞扫描系统检测Web应用系统潜在的各种漏洞与之相比，发现者一套产品可以涵盖并超过绿盟4款产品覆盖的内容，且在虚拟设备、云资产的支持上有无可比拟的优势。并且整体采购费用更低（较绿盟四套产品的总价格），而且功能更全面、更强大，扫描效果更好，更关键的是可以生成覆盖全IT资产的综合报告，反应整体的安全态势，真正帮助用户了解自己网络系统的状态。再举个例子：任何一个漏扫产品都有报告生成的功能，但是报告的质量、可用性相差甚远。发现者内置了专利技术的RealRisk评分系统，结合多种世界标准和专家库，可以结合业务环境提高风险评估和补救措施的精确性，给出优先补救报告；并且通过内置的漏洞处理策略库， 生成详细的补救措施说明，清楚的告诉IT团队如何减少最大的风险。同时，根据用户实际使用场景