千億級金融集團(tuán)“漏洞情報(bào)”深度運(yùn)營與自動(dòng)化實(shí)踐

漏洞信息作為威脅情報(bào)的重要組成部分,是安全團(tuán)隊(duì)制定防護(hù)策略、驗(yàn)證安全有效性的基礎(chǔ)依據(jù)。作為國內(nèi)大型股份制商業(yè)銀行之一,市值千億且躋身世界500強(qiáng)的企業(yè),安全團(tuán)隊(duì)對漏洞管理方面提出了更高的要求并著重解決以下問題:

如何最大化發(fā)揮漏洞情報(bào)的價(jià)值,提升主動(dòng)防御能力?金融集團(tuán)以斗象VIP漏洞情報(bào)生產(chǎn)運(yùn)營平臺(tái)(以下簡稱VIP平臺(tái))為地基,交出了一份「漏洞情報(bào)」深度運(yùn)營“高分答卷”。

一、聚焦3%漏洞:大浪淘沙,科學(xué)篩查

該集團(tuán)日常運(yùn)營中可能面臨來自硬件、軟件網(wǎng)絡(luò)、協(xié)議、加密算法等多個(gè)層面的海量的安全漏洞,安全團(tuán)隊(duì)疲于不停地排查漏洞、打補(bǔ)丁,試圖將影響降至最低。但據(jù)統(tǒng)計(jì),在所有披露的通用漏洞中大約有60%的漏洞被CVSS評為高危或者嚴(yán)重漏洞,而實(shí)際上最有可能被利用的漏洞占比不足3%。

斗象VIP平臺(tái)在CVSS V4基礎(chǔ)上,國內(nèi)率先引入“VPT漏洞優(yōu)先級評估系數(shù)”,其結(jié)合漏洞實(shí)際影響面、當(dāng)前攻防利用態(tài)勢、業(yè)界評價(jià)、監(jiān)管要求與修復(fù)方案水平等多要素,對漏洞風(fēng)險(xiǎn)值進(jìn)行科學(xué)加權(quán)計(jì)算,創(chuàng)建了一套更貼近用戶業(yè)務(wù)實(shí)際,反映真實(shí)安全威脅情況的TVPR漏洞評分體系,這一系統(tǒng)能夠更準(zhǔn)確地評估漏洞風(fēng)險(xiǎn)等級,為企業(yè)制定漏洞修復(fù)優(yōu)先級提供有效參考,讓企業(yè)核心精力聚焦在那3%最可能被利用的漏洞上。

TVPR漏洞評分參數(shù)

二、全盤漏掃一遍:從5天縮減到24小時(shí)

金融集團(tuán)擁有15個(gè)事業(yè)部,100+分子機(jī)構(gòu),各個(gè)組織系統(tǒng)中多存在交融和跨區(qū)域協(xié)同的情況,如此龐大且多樣化的業(yè)務(wù)系統(tǒng),面對突發(fā)漏洞,遭受攻擊的風(fēng)險(xiǎn)是不可估量的。傳統(tǒng)漏掃工具完成一遍掃描至少需要1個(gè)月,還得建立在漏洞利用鏈明確,具備可掃描性的前提下。以往該集團(tuán)至少也需要5天以上的排查周期才能有效定位漏洞情況,采用斗象VIP后一般可控制在24小時(shí)之內(nèi),即可完成對相關(guān)資產(chǎn)的排查和漏洞定位。

斗象VIP依托百萬級應(yīng)用和系統(tǒng)組件指紋庫,將漏洞情報(bào)中的涉及組件與企業(yè)資管平臺(tái)的資產(chǎn)指紋信息進(jìn)行自動(dòng)關(guān)聯(lián)。無需掃描即可精準(zhǔn)、迅速定位漏洞可能影響的具體范圍。

利用資產(chǎn)指紋信息進(jìn)行自動(dòng)關(guān)聯(lián)

面對監(jiān)管機(jī)構(gòu)發(fā)布的漏洞整改通知,集團(tuán)信息安全團(tuán)隊(duì)可以充分利用平臺(tái)的風(fēng)險(xiǎn)排查功能,先通過版本比對自動(dòng)化識別并劃定受漏洞威脅的實(shí)際資產(chǎn)邊界,接著向受影響的資產(chǎn)負(fù)責(zé)人下發(fā)排查單,資產(chǎn)負(fù)責(zé)人可利用斗象Osprey2 POC掃描引擎下發(fā)原理性掃描,進(jìn)一步驗(yàn)證漏洞有效性并反饋實(shí)際面臨的風(fēng)險(xiǎn)情況。這一系列操作,實(shí)現(xiàn)從發(fā)現(xiàn)漏洞、定位影響到確認(rèn)風(fēng)險(xiǎn)、反饋結(jié)果的全自動(dòng)化應(yīng)急響應(yīng)處置閉環(huán)。

利用Osprey2 POC掃描引擎下發(fā)

三、情報(bào)驅(qū)動(dòng)“訂閱式”巡航:可觀測、可運(yùn)營、可訂閱、可機(jī)讀

大量的靜態(tài)漏洞報(bào)告,讓該集團(tuán)安全人員應(yīng)接不暇,由于大部分漏洞報(bào)告都源于人工手動(dòng)出具的一次性報(bào)告,報(bào)告結(jié)果還需要人肉搬運(yùn)分析,評判漏洞的實(shí)際危害也需要多方驗(yàn)證,效率可想而知,一旦發(fā)布后想二次利用調(diào)用過程也很消耗精力。

斗象VIP平臺(tái)通過API接口訂閱服務(wù),能夠?qū)崿F(xiàn)多源原始情報(bào)數(shù)據(jù)的實(shí)時(shí)在線同步與持續(xù)更新管理運(yùn)營,特別針對漏洞主體信息進(jìn)行深度關(guān)聯(lián)分析,它整合了POC/EXP等關(guān)鍵利用信息,以及詳細(xì)的漏洞利用分析報(bào)告和完整的利用過程記錄,覆蓋多維度安全態(tài)勢。

另外,斗象VIP以通過 API接口無縫對接以Json格式輸出情報(bào)數(shù)據(jù),極大的增強(qiáng)了以其他系統(tǒng)如各類漏洞管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、漏掃系統(tǒng)集成構(gòu)建自動(dòng)化“機(jī)讀”能力。徹底顛覆了傳統(tǒng)依賴人工處理安全情報(bào)的工作模式。顯著提升了集團(tuán)對安全威脅的自動(dòng)化關(guān)聯(lián)分析能力和即時(shí)告警響應(yīng)效率,實(shí)現(xiàn)了企業(yè)安全防護(hù)工作的革命性升級。

四、情報(bào)聯(lián)動(dòng)主動(dòng)防御:漏洞暴露窗口的前置防護(hù)

在漏洞暴露窗口期,斗象VIP也為金融集團(tuán)提供了全方位,多元化的漏洞處置方案。不僅及時(shí)提供官方補(bǔ)丁信息,還內(nèi)置了IDS/IPS/熱補(bǔ)丁等修復(fù)措施,這些深度定制的防護(hù)規(guī)則可無縫嵌入集團(tuán)現(xiàn)有的各類安全設(shè)備,如Web應(yīng)用防火墻(WAF),實(shí)現(xiàn)對潛在威脅的實(shí)時(shí)監(jiān)控與長期有效防御。

此外,斗象科技進(jìn)一步強(qiáng)化了該集團(tuán)的安全防護(hù)體系,一方面通過斗象OBS旁路響應(yīng)處置系統(tǒng)靈活的旁路部署快速對接集團(tuán)各層級防護(hù)設(shè)施;另一方面通過斗象PVP對抗式溯源蜜罐系統(tǒng)建立與真實(shí)資產(chǎn)、業(yè)務(wù)高度仿真的“陷阱”,迷惑、誘捕、溯源、反制攻擊者。與VIP平臺(tái)形成了緊密配合,為該集團(tuán)建設(shè)起漏洞收集、清洗、處置、反制的體系化漏洞防護(hù)體系。顯著增強(qiáng)了集團(tuán)安全團(tuán)隊(duì)在漏洞情報(bào)運(yùn)營領(lǐng)域的專業(yè)能力,實(shí)現(xiàn)了從被動(dòng)防御向主動(dòng)狩獵分析的戰(zhàn)略轉(zhuǎn)變。

斗象VIP內(nèi)置的修復(fù)規(guī)則(例)

客戶評價(jià)

該金融集團(tuán)信息安全團(tuán)隊(duì)主管說:“斗象VIP平臺(tái)無疑是我們獲取最新、最詳盡漏洞信息的重要倚仗,它不僅能夠?qū)崟r(shí)更新全球范圍內(nèi)的各類安全漏洞情報(bào),而且通過運(yùn)用先進(jìn)的技術(shù)手段與完善的運(yùn)營機(jī)制,使得我們在洞悉安全威脅態(tài)勢、評估漏洞風(fēng)險(xiǎn)及制定應(yīng)對策略等方面實(shí)現(xiàn)了顯著提升。”

采用斗象VIP平臺(tái)后,企業(yè)對于關(guān)鍵漏洞的發(fā)現(xiàn)、研判乃至修復(fù)窗口期管理等環(huán)節(jié)都得到了前所未有的自動(dòng)化支持。這一轉(zhuǎn)變極大地優(yōu)化了工作流程,顯著提高了從漏洞識別到處置執(zhí)行整個(gè)鏈條的運(yùn)營效率,真正意義上助力企業(yè)在瞬息萬變的網(wǎng)絡(luò)安全環(huán)境中始終保持“領(lǐng)先一步”的優(yōu)勢。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )