【SDL最初实践】安全响应

“ 漏洞总是在不断的涌现，即使是前面的各项安全活动中均已达标，产品在上线后依旧会面临新增漏洞的攻击。对于安全风险的警觉和发现能力以及渠道，需要逐步建立并完善、运营。”

01

—

安全目标

在传统软件开发生命周期中，与技术相关的最后一阶段是响应，微软在该阶段所推崇的安全活动为执行事件响应计划。在实际落地时，可针对响应的渠道进行扩展，比如从漏洞预警信息监测、从SRC接收到产品相关的漏洞信息等入手；也可将被动式接收产品漏洞信息，转变为每季度进行漏洞扫描，主动发现已上线产品的漏洞并进行安全响应。

对于已发生的信息安全事件，则需要按照预先设定好的应急响应手册进行事件处置，此处不做展开。

02

—

安全活动

在安全响应阶段，安全活动主要围绕安全事件响应、季度漏洞扫描、安全威胁预警开展。

1）安全事件响应

此处的安全事件响应较为狭义，主要是指产品由于存在安全漏洞或缺陷导致的被攻击、业务受影响等事件的应急处置。发现的手段除了直接监测产品异常、安全设备上的攻击类告警，还有从SRC、POC等平台上接收到的漏洞。

2）季度漏洞扫描

在线产品的定期漏洞扫描十分有必要，可持续发现产品中由于功能变更、扫描描器规则更新等带来的新漏洞。较为常见的做法是黑盒扫描，选择合适的时间使用商业或自研的扫描器对目标系统进行扫描。通常会有一些比较棘手的问题，比如非登录扫描发现较少有价值的漏洞，登录扫描实现起来难度不小且很可能对线上环境带来脏数据、造成服务中断等影响。

3）安全威胁预警

针对公司产品的技术架构、第三方组件名称与版本、使用的框架等资产信息进行有效的漏洞预警，可以将该部分的安全变为主动。通过对CVE漏洞、CNVD漏洞库、国内外安全公司的安全风险通告监测，适时发现相关的漏洞信息以作出相应措施。

03

—

安全实践

1）对外接收漏洞响应

目前绝大多数非自主发现的漏洞都来源于SRC，由此见得SRC作为企业对外接收漏洞渠道的重要程度与必要性。在接收到漏洞并进行处理时，有几项工作需要注意：

• 漏洞响应时间：这是对安全人员的SLA要求，针对不同风险等级的漏洞设置不一样的处置时间，处置动作包括：验证漏洞、同步漏洞至漏洞管理系统、指定漏洞修复人、推动漏洞修复等。

• 漏洞修复时间：根据漏洞的不同风险等级制定完成修复时间，此处的修复由于是生产环境中，所以会比安全测试阶段发现漏洞要求修复的时间短。自漏洞响应开始计时：

• 漏洞复盘工作：通过漏洞信息反推至日常的安全工作中，主要体现在安全测试、安全防护、安全运营三方面： ①安全测试：是否经过安全测试才上线、安全测试时为什么没有发现、漏洞扫描器规则是否有覆盖 ②安全防护：漏洞地址是否在安全资产管理平台、是否有检测到白帽子的payload ③安全运营：经过综合分析后对漏洞进行定级，并判断作为安全事件进行通报

2）线上系统漏洞扫描不足与坑点

生产环境的定期巡检扫描，可以解决工具能力级别的安全漏洞，避免被白帽子提交简单的漏洞及被监管单位进行扫描时通报。同时，还面临着扫描效果的挑战与带来线上安全事故的风险。需要不断完善扫描器规则，并在扫描前做好相关人员的知会工作。

• 扫描效果：定期的扫描工作可能由于扫描规则没有新增、安全防护等因素导致难以发现漏洞。针对扫描规则方面，可以通过不断新增扫描规则进行完善，若是商业漏扫，则可以通过交叉使用不同的扫描器进行加强；对于安全防护，可以在防护设备上设置白名单或通过内网进行扫描，既需要在开启防护策略时扫描，也需要畅通无阻无防护状态下的扫描。
• 安全风险：线上环境的功能设计不合理、业务逻辑不合常规等问题，很可能导致扫描器工作时，产生大量的垃圾数据或直接造成系统功能受影响甚至不可用。在扫描前，邮件通知到资产责任人、ops、安全设备管理人员是必要的步骤，以便于正确处理扫描产生的恶意流量与发生事故后第一时间能恢复。

3）漏洞预警渠道与处置机制

关于漏洞的预警，需要在了解公司资产的情况下开展才能全面、高效、准确基础上，进行评估后再启动内部的预警与处置。

• 资产管理：普遍存在的难题之一，但是对于漏洞预警方面不得不去面对这个刺头，唯有把它当做日常工作开展才会有好的结果。借用领导的一句话“平时多流汗，应急少流血”
• 漏洞渠道：常见的漏洞渠道有Twitter、CVE漏洞平台、CNVD漏洞平台、奇安信cert等，自动化的监测并告警到相关责任人，及时响应并作出预判。
• 处置流程：通常包括接收预警、评估影响、启动预警、漏洞跟进、验证总结等流程。其中，评估影响范围与漏洞跟进较为难做，涉及到很多因素，比如资产所处网络环境（内/外网）、资产的重要程度（核心/一般资产）、预警漏洞的风险等级（高危/中危/低危）、利用难易程度（难/简单）、找不到漏洞修复责任人等。
• 启动预警：根据漏洞的影响评估结论，对内部发布公告或邮件通知，其内容可包括漏洞描述、风险等级、影响范围（版本）、处置建议、参考链接。

04

—

持续优化

作为SDL的最后一环节，不再是具体到某一个产品针对性的开展安全活动，而是通用的、常规进行安全运营。漏洞预警处置中的漏洞推修落实情况，一直是公认头疼的事情。先不说漏洞是否在不影响生产环境下完美修复，就连存在漏洞的资产有哪些可能都梳理不全，这也反映出资产安全管理、漏洞管理的痛点，属于较为综合类的难题。介入安全运营的思路，把能发现的资产先推修，持续地发现问题并把能发现的问题都解决，终将迎来不菲的成绩。