甲方安全之企业安全自动化工具SeMF分享

* 本文作者:FallenAngels,本文属FreeBuf原创奖励计划,未经许可禁止转载

前言:

上一篇文章《“传说中”的甲方安全》发布已经半年的时间,文章结尾说开源自建的安全管理平台,但是一直跳票。我澄清一下,跟领导PK败了,所以原始版本是不让开源的,用了半年时间,我这边新写了一套企业安全管理框架(SecurityManageFramwork),简称SeMF,相对于原始版本,各有优劣吧,原始版本功能较多,但是整个系统高度定制化,通用性较小;新版本的话功能较少,但从设计开始考虑到不同企业的需求,权限和功能定制化不需要改代码,后台更改变量就可以实现。也说不清哪个更好用,目前已经开源,供各位小伙伴们试用,后续会根据反馈的信息添加功能。

项目地址:https://gitee.com/gy071089/SecurityManageFramwork

项目介绍:

企业内网安全管理平台,包含资产管理,漏洞管理,账号管理,知识库管、安全扫描自动化功能模块,可用于企业内部的安全管理制度落地。 本平台旨在帮助安全人员少,业务线繁杂,周期巡检困难,自动化程度低的企业,更好的实现企业内部的安全管理。

功能模块:

SeMF总共有资产管理、网络映射、漏洞管理、任务管理、报表中心、知识共享、用户管理七个通用模块。用于企业安全建设的第一阶段,以下为该系统的结构图和主页面

1. 资产管理

资产是安全管理的核心,看过好多企业安全管理的文章,基本上第一部分都是公司资产的梳理,确认需要管理的资产并进行资产分级。能看懂代码的就会发现,我们的安全管理平台核心就是资产,其他几个模块都是围绕资产进行扩展的。

该模块的话实现了高度可扩展,可通过管理地址 ip:port/semf/ 对系统内的资产分类,信息归属以及资产属性进行自定义设置,即便不会开发,也可根据自己公司的实际情况进行自定义。确保需要管理的资产不会遗漏。如下图所示定义资产类型,以及资产类型关联属性。该页面仅超级管理员可访问,访问地址也可进行变更。(系统中数据初始化时定义了部分资产和属性,用户可自行修改)

设置完成后我们在系统的资产管理界面如下包含资产增删查改、审批,端口扫描,周期巡检(需要添加扫描器)等功能,直接上图,篇幅受限,这里仅显示部分吧:

2. 网络映射

这一部分单独划分完全是工作需要,我相信大部分公司服务器对外开放都有记录信息收集不难,这个模块与日志分析功能(被阉割了)配套使用的,避免在安全分析中分不清各系统之间的关联产生操作失误,吃过亏。放在1.0版本的里是为了让大家在资产收集过程中一起梳理以下,防止以后二次梳理,反正后边也要用。安全人员可以通过这个页面点击查看所有信息。截图如下:

3. 任务管理

这个模块主要是用于安全扫描的自动化和周期巡检的,目前仅加入了Nessus扫描器,预留AWVS,MobSF两款扫描器,后续会陆续开放,如果需要其他扫描器对接的话可以提交issue,记得提供API文档啊。

这个模块的话不仅可以简介操作Nessus,还可以同步已经创建的任务结果,很实用啊,不需要为了采集数据重新扫描;另一方面,它自带漏洞过滤模块,在后台设置需要过滤的漏洞,比如一些需要降级或者扫描器整改方案不够详细的漏洞。扫描结果同步时会自动更新过滤,扫描报告不需要人工分析了。(说实话,原始版本中包含了系统层,Web应用,移动应用和自建扫描器的周期巡检,但是家里没有测试环境,就没有添加,只留了Nessus,各位大佬可根据自己公司的情况进行添加)

4. 漏洞管理

这个模块就是身在甲方的我最需要的模块,也是这个平台的起点,(想当年,面对N多个业务系统,每次上百各安全漏洞,对每个漏洞修复跟进和复查 ,着实心累,好不容易修复了,研发给回滚了,都是泪啊),这个模块的话能看到当前所有资产的漏洞和相关信息,便于跟进,待修复漏洞一目了然,而且给业务部门自己建账号的话,他们只能看到自己的漏洞,还算比较实用吧。(我们公司安全,运维,业务各自有账号,这样的话漏洞直接三方看,基本上不会出现你推我,我退你的情况,漏洞不会修的话,我们知识库很全的,具体到操作哪条命令,而且回滚被发现了,直接漏洞重现,很醒目,妈妈再也不用担心我累吐血了,话题貌似跑歪了)

该模块的话,安全管理拥有完全的控制权限,普通用户仅能选择修复还是忽略,权限控制还是比较完善的。

漏洞管理的话第二大亮点就是同步了CNVD漏洞库,目前的话同步了2万多条漏洞信息,可实现本地查询,当然,漏洞信息管理员是可以改的,效果图如下:

5. 报表中心

这个模块的话我只写了资产分类,漏洞分类、分级,高危漏洞统计,近期安全态势等,会开发的童鞋可自己添加,参照我给的图写就行,反正饼图、柱状图,折线图都有了;看不懂代码的话可以加群或者项目下留言,需求多的话我就加上。看图

6. 知识共享

这个模块可以说是我最喜欢的模块,也是我为什么博客文章很少的原因(刚到公司的时候我自信满满,然后遇到了什么都不懂的业务人员被教做人,简单的问题都要我写个操作指南,具体到执行哪条命令,简直折磨人,我的大好青春就这么白白浪费),系统建成后,直接跟修复指南上传跟漏洞管理,你要是再不会修,那只能找你领导说说了

还有就是如果知识库发表的时候分类是通告类的,会主动给所有用户发送提醒,提醒查看,适用于安全预警和周期巡检。没啥可看的,直接上图,支持富文本:

7. 用户管理

这个模块的话主要是给不会开发的同学准备的,因为不同公司的组织和人员职责不一样,寻找RBAC原则,用户角色和权限可以通过后台自定义,不用动代码也可以调整,当然,这个系统里的信息都很隐私,所有账户加了各审批(默认禁用注册,需要管理员添加信息,然后发邮件给用户,用户才能注册)

整个系统阉割了 日志分析、任务管理以及流程管理上的模块,因为这些东西和公司系统依赖比较高,就不开源了,等我找到替代方案,再完善,有建议的小伙伴可以找我联系。

* 本文作者:FallenAngels,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-06-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏xingoo, 一个梦想做发明家的程序员

【插件开发】—— 1 Eclipse插件开发导盲

在真正接触eclipse插件开发一个月后,对插件的开发过程以及技术要求,也有了一定的了解。遥想之前像无头苍蝇一样乱撞乱学,真心觉得浪费了不少时间。这里就总结...

41990
来自专栏FreeBuf

渗透网络投票系统解析投票骗局

今天没加班确实无聊,晚上女朋友在研究投票,看了一眼感觉十有八九是骗局。自从上次研究投票后身边一大堆找刷票的,也尝试了几种系统,感觉大部分都有漏洞或是bug(对于...

32580
来自专栏企鹅号快讯

Go 语言如何去解决 Web 开发人员面临的众多问题?

坦白的说,我的团队非常厌恶我对 Go 语言传道的方式,每当我们团队的代码库出现问题时,他们希望我用一种更委婉的方式提出。 我学会的第一门编程语言是 PHP,这是...

346100
来自专栏FreeBuf

研究人员发明“完美”数据外泄方法

来自以色列SafeBreach公司的研究人员对隐蔽数据外泄方法进行了广泛的分析,并且发明了他们心目中“完美” 的方法。 SafeBreach的研究人员从2015...

19960
来自专栏跨界架构师

分布式系统关注点——「负载均衡」到底该如何实施?

        前面两篇《分布式系统关注点——初识「高可用」》、《分布式系统关注点——仅需这一篇,吃透「负载均衡」妥妥的》看完后,相信大家对实现高可用的思路和负...

15210
来自专栏北京马哥教育

做Linux背锅2年,我总结了这六类好习惯和30个血的教训

一、线上操作规范 1.测试使用 当初学习Linux的使用,从基础到服务到集群,都是在虚拟机做的,虽然老师告诉我们跟真机没有什么差别,可是对真实环境的渴望日渐上升...

442120
来自专栏服务端技术杂谈

[硅谷热门公司技术巡礼]:UBER数据大迁徙

想象一下如果你必须在几个星期内迁移数以亿计的数据和100多个服务项目,同时还要保持UBER被几百万的乘客正常使用,这是多么艰巨的任务啊!而以下这个故事就是关于数...

30270
来自专栏程序你好

如何保证你的智能手机安全和私密,手机安全需要做到的事

近十年以来,智能手机的应用越来广泛,各种流行的App层出不穷,可以说iPhone这样的智能手机已经彻底改变了我们的生活和行为习惯。请允许我指出一个显而易见的事实...

10220
来自专栏Vamei实验室

Linux简介与厂商版本

1. Linux简介 Linux可以有狭义和广义两种定义。狭义来说,Linux实际上指Linux kernel (内核)。内核负责管理硬件,并为上层应用提供接口...

26490
来自专栏沃趣科技

备份重于一切:远离“Gitlab删库事件”,QBackup是你的最佳选择!

作者简介:孙朝阳 沃趣科技高级产品经理。 案发现场: Gitlab删库事件回顾 Gitlab是大家很熟悉的开源Git代码托管工具,国内公司大多使用社区版自行搭...

38680

扫码关注云+社区

领取腾讯云代金券