业务维护抓狂1号
漏洞整改报告如同天书,谁来帮我解读?
漏洞越扫越多,到底该如何整改?
业务维护抓狂2号
业务维护抓狂3号
oracle,apache漏洞这么多,升级风险大,该如何处置?
你是不是有同样的烦恼?
看到主题含漏洞的邮件就没有打开的欲望
然而每月总有那么几天
漏洞邮件风雨无阻
不是不想整改
而是
不要急不要怕
安全管理员传话过来了
现已备好了一桌漏洞管理的盛宴
要邀请大家品尝
先稍微耽误几分钟来说说这漏洞
kēng
漏洞
漏洞,用行内的话儿说就是脆弱性,漏洞对于资产(软硬件的组合体)如同疾病对于人体,人体庞大复杂导致出故障的可能性大且种类复杂,那么运行上万行代码的软硬件资产同样也会有很多漏洞。其特点有:
不管你有没有发现或知不知道,漏洞其实就在那儿
变更常常带来新的漏洞
有的漏洞如暴风骤雨,会让你直接挂掉或者明显受伤(直接获取系统权限或者信息泄露)。而有的漏洞则如绵绵细雨悄无声息,需要借助其他条件并长时间利用才能生效。
01
为什么漏洞难管理
安全问题绕不开漏洞!随着网络开放、业务系统不断IT化,系统漏洞也层出不穷,漏洞修复不及时,从而导致系统脆弱性增加和网络安全风险敞口不断增大,极易导致服务器被控制、篡改、敏感信息泄露和拒绝服务等重大网络安全事件的发生。
漏洞扫描一般采用带外检测,实际误报率较高,根据统计,扫描全省XW资产,总漏洞在XW以上,同时又没有根据企业实际影响情况进行优先级划分,使漏洞整改阶段修复效率低,收到漏洞整改通知的维护人员常常无从下手。
02
漏洞管理方案
主菜1、基于软件版本进行管理
基于我们的多厂家、CT&IT共存、竖井式平台和云平台长期共存的资产环境,不可能因为安全漏洞扫描器的高误报率而摒弃,完全依托IT软件版本管理解决漏洞问题又会导致覆盖率和管理动力不足。因此唯有安全管理和IT&CT治理结合,才是有效的漏洞管理之道。
引入漏洞库
软件扫描器本身具备漏洞库,而实际IT&CT运维落地时也具备一套版本管理库,需要将二者结合起来共同定义漏洞是否存在,解决误报问题。
依据IT运维侧各系统发行版本的实际影响情况,结合扫描漏洞信息给出精确加固方案和版本信息。未来,在云和NFV时代,可以和IT运维深度结合,定制专用扫描器用于漏洞检测。漏洞库包含以“漏洞名称-CVE-操作系统版本-加固版本”四元组为核心的漏洞版本库,以及以”漏洞名称-CVE-操作系统版本-不受影响“四元组为核心的漏洞白名单。
原始的扫描报告经过漏洞版本库和漏洞白名单的过滤,可精准获取现网中实际存在的漏洞,以及准确的版本升级标准,并反向推动应用版本标准化的工作。
主菜2、漏洞分级
由于在传统的漏洞管理过程中,扫描漏洞数量过于庞大,不可能全部修复。俗话说打蛇打七寸,根据“二八”原则,通过漏洞分级,使用较少的运维成本解决大部分的高危风险漏洞,实现漏洞的分级治理。
制定漏洞定级标准:依据攻击利用条件(本地/远程、利用复杂度、利用所需权限、用户交互)、漏洞影响范围、利用后导致的影响不同,结合企业资产现状,整理并分析了100余条极高危漏洞
常态化治理:根据漏洞定级标准,梳理出极高危漏洞清单,优先加固极高危漏洞,开展常态化治理和漏洞监控。
序号
漏洞名称
危险等级
1
Apache Struts2 Jakarta Multipart parser任意代码执行漏洞(S2-045)(CVE-2017-5638)
极高危
2
WebLogic Commons Collections组件反序列化漏洞(CVE-2015-4852)
极高危
3
Microsoft Windows SMB 远程代码执行漏洞(CVE-2017-0143)(MS17-010)
极高危
03
应用成果
通过应用漏洞库和扫描流程优化,漏洞误报率可降低至接近零。以最近一次例行扫描结果为例,共扫描资产X个,存在高中危漏洞X个,漏洞库过滤误报X+个,过滤误报51%。
17年1-12月累计发现并整改X个极高危漏洞,基本肃清现网已知资产的极高危漏洞
结合安全服务平台,漏洞管理实现可视化和服务化,后续计划支持一键修复功能。
维护人员淡定1号
这么复杂的报告其实很简单,极高危先修复以后按照服务平台告诉的资产对应的精确修复版本修复即可。
原来我这几百个漏洞只要升级十多台台服务器的版本就可以搞定!
维护人员淡定2号
维护人员淡定3号
原来oracle等漏洞对应的服务器就这么几台,通过打XXPSU也可以,或者考虑做ACL等等。
领取专属 10元无门槛券
私享最新 技术干货