漏洞管理解决方案-绿盟科技

漏洞管理解决方案 目录 CONTENTS 01 漏洞管理问题和误区 04 方案优势 02 漏洞情报的引入 03 漏洞管理方案 目录 专业性强 长期持续 工作量大、复杂度高 管理漏洞（VM） Garner 2015.11.17 A Guidance Framework for Developing and Implementing Vulnerability Management Gartner的漏洞管理阶段定义 阶段1：定义计划和目标 定义管理的范围、流程、方法。 阶段2：漏洞评估 确定扫描目标、范围 确定设备部署等评估模型 执行漏洞评估流程 阶段3：漏洞修补 确定修补过程 重扫和验证 持续监控 度量漏洞管理的过程 现实的漏洞管理工作 购买安全厂商扫描器 定期全网扫描 几十、上百页的报告 现实中漏洞管理对修复工作的意义有限 社交平台改变了漏洞利用传播的模式 借助各大社区、社交平台，个别漏洞消息的传播速度惊人，关注度变得极高 漏洞关注度，极大的缩短了漏洞利用工具出现的时间 传播和关注度也极大提升了攻击发生的速度 早上披露的漏洞，到下午可能已经有了利用代码，到了晚上很多攻击可能已经发生。 漏洞管理工作中总会遇到各种问题 不知道 漏洞爆发怎么第一时间获知， 该怎么应对？ 不愿意 问题很复杂，处理很麻烦 报告大量漏洞，都是真实存在的？ 从哪先开始？ 该准备什么？ 修复漏洞会不会影响业务运行？ 不会 非专业人士，怎么操作来修 复漏洞？ 怎样提高修复效率？ 不了解 运维人员的处理是否准确、 全面？ 如何评价运维人员的效率 没依据 运维过程能否再改进 运维人员的处理过程是否 能再改进？ 漏洞修复 漏洞分析 漏洞发现 运维人员 修补审核 漏洞评估 安全要求基准 管理人员 不清楚 整体安全情况如何？ 业内其它组织安全情况如何？ 漏洞管理工作的误区 漏洞管理漏洞管理 购买漏洞扫描产品购买漏洞扫描产品 漏洞管理是人、流程和技术的结合 需要组织或企业适合自身实际情况自发建立 漏洞管理需要度量各个环节的工作，持续优化达到最佳 漏洞利用的周期越来越短 定期扫描能够作为基本的日常漏洞管理 还需要建立重大漏洞的应急响应机制 漏洞修复是在保证业务系统正常运行基础上的 漏洞修复要以优先修复风险最高的漏洞为原则 暂时无法修复的漏洞需要有替代防护方案 漏洞管理漏洞管理 定期漏洞扫描定期漏洞扫描 漏洞修复漏洞修复 按扫描报告挨个打补丁按扫描报告挨个打补丁 漏洞情报的引入 2016年威胁情报成为热点 能做到这些步骤，这些（风险）就不会发生在你身上 建立风险和威胁管理计划建立风险和威胁管理计划 RSA 2016 “The First 12 An Hour-by-Hour Breakdown of a Threat Actor Inside Your Environment” 好的情报系统建立智能的模型 智能的模型给出明智的决定 明智的决定带来更好的安全实践 更好的安全实践提高看待风险的视角 这些，就是高效率的、成功的安全管理过程 RSA 2016 “Bridging the Gap Between Threat Intelligence and Risk Management” 许多组织虽然有成熟的评估流程能够有效的发现漏洞，但是潜在风 险、漏洞影响的分析，修补优先顺序、修补过程管理，缺仍然面临 挑战。（风险管理）促使漏洞管理成功并且有效。但是风险 管理缺乏实践，经常与业务目标偏离方向 Gartner“Threat and Vulnerability Management Primer for 2016 ” 漏洞披露情报 第一时间了解重要漏 洞出现 快速应急： 补丁修补 使用防护设备 漏洞情报驱动漏洞管理 漏洞披露 1 漏洞利用 2 漏洞热度 3 漏洞利用情报 了解是否已经有利用 代码 决定是否提高漏洞修 补优先级 漏洞热度情报 了解漏洞关注度和影 响范围 决定是否提高漏洞修 补优先级 在漏洞攻防之战中，漏洞情报最大程度减小漏洞暴露时间窗 漏洞情报驱动漏洞管理人员快速应急响应 漏洞情报指导漏洞修补工作知己知彼 威胁情报的应用改变了传统的漏洞管理方式 Garter Gartner总结各个厂商的新的思路，提出威胁和漏洞 管理（TVM）的概念，将成为后续漏洞管理市场的 发展趋势。 推出TVM的国际厂商 Nopsec（绿盟科技投资） Kenna 12Feet (Merge.io) RiskSense 国际动态 Nopsec 方案中引入了漏洞情报的概念，从企业和组织外部收集漏洞相关 的情报，包括跟踪最新漏洞的发布，跟踪社区中人们对某个漏洞的关注 程度，跟踪漏洞攻击代码是否出现。漏洞情报能让用户及时了解新发生 的漏洞事件，并根据情报来调整漏洞风险的计算，对于漏洞从哪里开始 修复，给出更有效的建议，VRM方案把“怎么发现漏洞-”变成了“怎么 解决漏洞”。 漏洞管理方案 快速响应 基于漏洞威胁情报 快速预警漏洞威胁 快速定位威胁范围 有序推进 基于漏洞威胁的漏洞评级 给出漏洞修复优先级建议 优先修补风险高的漏洞最快降低风险 优化管理 量化管理规范流程 跟踪漏洞管理全过程 对比内部外部经验数据，持续改进规范流程 漏洞管理（TVM）概念 快速 响应 有序推进 优化 管理 TVM 传统产品 漏洞库 更新 漏洞检 测 风险报 告 漏洞修 复 审核及 报告 漏洞管理方案 日常日常 运维运维 漏洞提交 利用代码 出现 厂商获知 厂商补丁 发布 补丁安装 完成 情报情报 本地本地 资产资产 漏洞漏洞 管理管理 漏洞披露情报漏洞披露情报 漏洞热度情报漏洞热度情报 资产持续监控资产持续监控 漏洞预警漏洞预警 本地本地 漏洞漏洞 漏洞修补优先级漏洞修补优先级 资产情报资产情报 高级漏洞修补高级漏洞修补方案方案 漏洞管理全过程支持漏洞管理全过程支持 工单驱动工单驱动 快速响应快速响应 优化管理优化管理 有序修补有序修补 过程评估过程评估 漏洞修复方案社区漏洞修复方案社区 同业漏洞管理水平数据同业漏洞管理水平数据 优化建议优化建议 大检大检 查查 入网入网 检查检查 应急应急 响应响应 资产资产 稽查稽查 TVM 全景全景 分析分析 报告报告 0Day攻击 漏洞暴露时间窗 持续攻击 漏洞时间窗跟踪漏洞时间窗跟踪 漏洞管理方案价值 漏洞全过程管控漏洞全过程管控 基于威胁的漏洞管理基于威胁的漏洞管理 基于情报的应急响应基于情报的应急响应 可视化资产管理 漏洞全过程跟踪分析 风险运维工作可量化 灵活的第三方流程接口 基于威胁的多维度（热度、Poc、恶意 软件）风险评级 基于业务的优先级处置建议 大数据关联分析接口 基于情报的风险预警 基于资产的风险预警 “检测”与“防护”结合 漏洞管理平台实现方案 漏洞情报 漏洞事件情报 漏洞优先级情报 绿盟云端服务 网站扫描引擎网站扫描引擎 系统配置系统配置 检查引擎检查引擎 系统扫描引擎系统扫描引擎 硬件设备 虚拟化镜像 集群引擎 多种形态引擎适配客户网络环境 本地TVM运营平台 资产 持续监控 漏洞风险 预警 漏洞风险 优先级 分析建议 漏洞修复 方案共享 TV漏洞 分析引擎 漏洞全过程管控和优化分析 绿盟云端运营专家 绿盟服务团队 情报合作伙伴 及修复方案共享用户 用户管理员 用户运维人员 重点从漏洞管理流程，变为快速发现和响应 基于漏洞情报服务和本地资产感知 应用场景应急响应 绿盟漏洞 威胁情报 TVM 客户 运维人员 绿盟漏洞 应急响应 机制 漏洞处理漏洞处理 情 报 获 取 情 报 获 取 情报收集情报收集 漏洞通知、修复方案漏洞通知、修复方案 其 它 通 道 其 它 通 道 漏洞事件发生 全网漏洞影响地图 漏洞社区热度 漏洞行业影响 确定本地漏洞影响范围 精确漏洞预警 收到预警信息 确定影响范围和优先级 确定修复方案 完成修补 入网检查保证上线系统满足合规要求 能使漏洞修复工作成本降到最低 应用场景入网检查 客户业务 部门 TVM 客户 运维人员 执行检查，给出审核意见执行检查，给出审核意见 提 起 系 统 提 起 系 统 上 线 审 核 上 线 审 核 其它线下申请方式其它线下申请方式 审核工单审核工单 客户安全 管理员 批准上线批准上线 批批 准准 上上 线线 批准上线批准上线 应用场景日常运维 绿盟漏洞 威胁情报 TVM 客户 运维人员 漏漏 洞洞 修修 复复 ， 任任 务务 关关 闭闭 漏漏 洞洞 工工 单单 、 修修 复复 方方 案案 监控漏洞事件发生 全网漏洞影响地图 漏洞社区热度 漏洞行业影响 资产持续监控 日常漏洞扫描和预警 漏洞风险优先级建议 漏洞修复流程管理 客户安全 管理员 制定管理基准要求制定管理基准要求 应用场景安全大检查 客户 安全管理员 TVM 客户 运维人员 漏洞检查和处置漏洞检查和处置 下 发 大 检 下 发 大 检 查 任 务 查 任 务 任务工单任务工单 安 全 风 险 安 全 风 险 整 体 评 估 整 体 评 估 漏洞扫描 漏洞分析 达到合规要求 完成任务 漏洞修复 应用场景资产稽查 绿盟威胁情报中心（NTI） TVM WVSS 漏扫 资产库 BVS RSAS WSM 资产库 云 端 企 业 内 网 查 询 返 回 结 果 公网资产基本暴露面稽查 内网资产稽查 资产持续监控 方案优势 解决方案情报驱动 绿盟威胁情报系统绿盟威胁情报系统 微软每月漏洞日披露的漏洞 CVE披露的漏洞 漏洞紧急事件 乌云等其它漏洞平台披露的漏洞 资产属性 防护设施 绿盟漏洞社区绿盟漏洞社区 厂商安全专家 白帽子 有经验的运维人员 行业内其他用户 绿盟威胁情报系统绿盟威胁情报系统 哪些漏洞热度最高 哪些漏洞有Poc 哪些行业有攻击案例 漏洞情报： 真正会影响到的系统 威胁情报： 漏洞修补优先顺序 修补方案： 精选安全修补建议 预警 重要资产 2 3 4 5 1 方案收集平台 缩短漏洞修复时间窗 漏洞披露 漏洞扫描 漏洞修补优先级方 案 修补或防护 修补效果确认 漏洞出现 漏洞可检查 可修复 安全运维人员开始扫描和修 复 系统厂商发 布补丁 漏洞披露 安全厂商发 布插件升级 包 漏洞披露 升级周期等待 用户扫描周期等待 漏洞扫描 漏洞修补优先级 方案 修补或防护 修补效果确认 漏洞出现 人发现人发现 漏洞可检查 可修复 人发现人发现 以前以前 加入漏洞情报加入漏洞情报 漏洞披露 漏洞扫描 修补或防护 修补效果确认 漏洞出现 漏洞可检查 可修复 人发现人发现 方案确定方案确定 加入威胁情报加入威胁情报 方案确定方案确定 修补完毕修补完毕 方案确定方案确定 修补完毕修补完毕 修补完毕修补完毕 漏洞披露 漏洞扫描 修补或防护 修补效果确认 漏洞出现 漏洞可检查 可修复 人发现人发现 方案确定方案确定 参考漏洞社区参考漏洞社区 修补完毕修补完毕 跟踪漏洞时间窗，避免漏洞被遗忘时间过长。 时间窗跟踪 漏洞发现 操作员确认 修补完成 修补确认 发现漏洞列表 资产 时间窗 3天 12天 5天 超时预警 修补优先级建议 分类 漏洞利用复杂度 漏洞有攻击代码 漏洞影响严重 平台和应用重要性 风险更多的资产组 防护手段 社交媒体收关注度更高 行业案例 修复后可降低业务风险最多的漏洞 漏洞自身 外部威胁 业务环境 分优先级的漏洞列表 因素 运维人员 效果 漏洞社区 多个管理员间针对某个漏 洞进行沟通 对漏洞的点评，去除敏感信 息，匿名分享至云端。 绿盟安全专家 绿盟认证白帽子 行业内运维人员（绿盟产品用户） 公共社区入口 行业社区入口 白帽子 安全运维人员 其他用户 互联网用户 行业用户 TVM企业内部管理平台 社区功能 互联网用户间公 开讨论 绿盟运营专家 修复方法验证 修复方法精选推荐 解决方案漏洞运维管理全过程管控 工单 发现漏洞 工单 发现漏洞 工单 发现漏洞 工单工单 工作流工作流 分析修复跟踪分析修复跟踪 审核评估审核评估 推送到运维人员 运维人员确认、修复、 忽略、无法修复等状态 更新 1.对修复后的 效果评估 2.对修复过程 评价 与业内管理 水平对比， 找到可改进 环节 基准改进基准改进 触发工单： 定期扫描、漏洞预警情报、资产变 动扫描 漏洞管理过程跟踪 跟踪管理人员收到漏洞、确认漏洞 、修复、报告等各环节，并度量 管理过程改进建议 对过程度量数据分析，找到改进环 节 与行业平均风险等级对比 漏洞数