酷应用

智慧安全3.0实践 | 揭秘绿盟威胁和漏洞管理体系的进化之路

百家作者：绿盟科技 2023-03-06 21:03:16

全文共2796字，阅读大约需5分钟。

近年来，安全漏洞数量呈现递增趋势，基于漏洞的网络安全事件层出不穷，为我们敲响了信息安全的警钟。随着信息化、数字化建设，新的IT技术不断引入，企业资产规模不断扩大，也带来新的攻击面，如何有效的梳理资产暴露面，在攻击者利用漏洞造成危害之前，提出及时有效的修补方案，尽可能地减少攻击事件的发生，帮助企业构建常态化、智能化的资产漏洞管理能力。

以新理念打造漏洞管理体系

针对各行业漏洞管理现状，结合绿盟科技智慧安全3.0的安全理念，绿盟威胁和漏洞管理平台（以下简称 NSFOCUS TVM）从产品的体系架构，安全漏洞视角对智慧安全3.0的“全场景、可信任、实战化”进行全面映射和实践。以全新理念整装出发，提升企业网络安全漏洞管理能力，提高安全漏洞的发现、修复和闭环处置效率，减少漏洞对网络空间的安全威胁，提升关键基础设施及业务系统安全性。

绿盟威胁和漏洞管理体系实践

安全漏洞全场景管控

全要素资产立体感知

资产发现与盘点是所有漏洞管理系统的首要环节。毕竟，我们无法保护未知的东西。NSFOCUS TVM在资产感知层面具有天然的优势，其利用部署在各网络域的漏洞扫描器，通过主、被动的探测及感知手段，可以实现全要素的立体式资产信息感知能力，帮助构建企业资产、组件清单；基于AI的资产指纹训练和常态化运营，保障了对日新月异海量资产环境的及时跟踪和感知。资产清点完成后，帮助组织根据资产对组织的真实风险，来对其进行分类和排序。结合资产分区分域管理，通过资产责任人关联，及时对未知资产、僵尸资产、变化资产、风险资产等进行预警，进一步收缩资产暴露面。

全类型脆弱性场景覆盖

解决漏洞的第一步是看到漏洞，但是，问及漏洞可见度时，调研发现，不足半数的网络安全专业人员宣称拥有较高（35%）或完全（11%）的可见度。NSFOCUS TVM支持全类型脆弱性场景覆盖，包括系统漏洞、web漏洞、配置不合规、弱口令等扫描发现。同时作为集中漏洞管理平台，可实现对各类扫描资源的自动智能调度、综合考虑被扫描资产范围、网络、引擎资源负载等多种因素，实现动态负载均衡，最大化利用扫描资源，提升漏洞检查工作效率，全面覆盖企业纳管资产漏洞检测，极大降低企业运维人员对传统设备的运维成本；对于各类异构多源漏洞信息提供智能融合分析，包括：安全部门人员日常或周期性人工漏洞排查、漏洞渗透、自动化扫描任务、情报通报、第三方厂商漏洞数据等。可利用本地知识库，对多源异构数据进行融合分析，解决多个漏洞标准共存问题，统一漏洞画像，方便用户对海量漏洞数据的统一分析、处置。

全网络漏洞知识图谱构建

漏洞是非常重要的安全数据，在整个网络空间中可与资产、威胁等各类数据产生关系，通过互相关联组成完整的漏洞知识图谱，方便我们可视化整个漏洞风险信息。NSFOCUS TVM通过全面产品漏洞知识库，跟踪和记录不同渠道来源的产品漏洞库、漏洞情报库的漏洞信息，第一时间获取最新漏洞信息，提供全量、权威、高质量漏洞信息；通过漏洞指纹插件库提供漏洞POC自定义能力，用于漏洞存在性和可利用性核实；利用规范的资产标记库和自带纠偏功能，大幅提升了资产信息和漏洞指纹的碰撞精度，支持无损地快速大范围排查漏洞预警。

漏洞管理全过程支撑

持续评估，持续验证

漏洞管理是一个持续的过程。随着威胁持续变化，资产持续变化，NSFOCUS TVM强调持续资产监控和脆弱性持续评估，当发现新的资产、变化资产时触发新的快速扫描排查，当进行新的漏洞扫描时，可以将新的漏洞扫描结果与之前的扫描结果进行自动对比分析，掌握企业风险趋势、资产变化、漏洞变化、运维效果等，从而对风险的趋势以及修复进程进行分析，保证企业资产风险每月、每季度以及每年都会有所改善和进步。

可信漏洞管理全过程支撑

漏洞扫描、分析只是一个更广泛的漏洞管理框架中的一个环节，仅仅依靠它不够的。企业还需要在此基础上建立一个完整的漏洞生命周期管理框架，将其融入到更为全面的安全管理体系中，以确保组织系统的全面安全。NSFOCUS TVM平台将漏洞管理过程和企业安全管理流程结合，可以针对发现的漏洞进行完整的工单流转，指派、通知并针对漏洞修复过程中的重要节点进行跟踪、推荐、复查与验证。提供完备的漏洞档案记录，方便历史数据溯源、风险分析，提升漏洞处置效率，最终做到漏洞全生命周期有效闭环。

对于新爆发的漏洞可提供结合持续资产监控梳理资产关键指纹信息，建立漏洞与资产数据的“黑盒”共享分析模式，通过资产风险碰撞预警，自动分析受影响的资产，提前了解业务系统/设备可能遭受的攻击或潜在的安全隐患，通过完整过程管理，对预警信息进行完整验证、处置、核验形成有效闭环，大大降低业务风险。

可信度量全面评价

推荐使用关键绩效指标来监测和衡量漏洞管理程序的进展情况，保证持续改进。NSFOCUS TVM针对整个漏洞管理过程进行全面的漏洞风险模型、监管运维指标量化评估，提供基于资产、人员、部门等不同维度的风险指标、运维指标，提供脆弱性业务场景的编排框架，将流程和工单组织为业务场景，并搭配量化度量的业务指标及基线标准。量化平台的安全运营管理工作，将安全数据有效转化为客户业务的价值指标。

聚焦可利用漏洞管理

漏洞高效分析研判

NSFOCUS TVM平台通过对漏洞探测后的进一步利用，实施取证性质的漏洞验证，利用漏洞并取得证明，从而直观地展示漏洞的危害性。借助自定义POC能力，可通过POC引擎来执行对应漏洞的扫描检测工作。同时根据运维经验，历史误报积累知识沉淀，可通过误报库白名单过滤，已有资产库指纹信息，对漏洞结果进行版本修正，来进一步修正过滤需要处理的漏洞信息，进一步减少需处理漏洞。

聚焦可利用漏洞管理

良好的漏洞管理，更在于通过漏洞优先级来将重心放在真正要紧的漏洞上，从而减少公司的攻击面。NSFOCUS TVM从绿盟威胁情报系统获取外部漏洞利用、活跃度的情报，结合本地业务系统重要度、部署位置，资产防护度、多源交叉验证、运维修复难易程度等多种因素，综合评估，给出漏洞修复的优先级建议，帮助企业更好地把握自身系统关键风险，更好地分配安全资源和优先处理漏洞，使修补工作效果达到最大程度降低安全风险的目的。

关注资产暴露、业务风险影响

NSFOCUS TVM借助各类技术手段，有效识别企业公网暴露资产情况，资产公网端口暴露情况，真正梳理暴露面资产信息，并通过持续监控不断识别新的暴露面，针对暴露面资产提供专项漏洞排查及分析，结合威胁情报、防御有效性验证等手段密切关注存在外部攻击的风险资产，内部无法有效防护的资产，建议使用高要求的运维目标进行及时处置，避免对实际业务产生影响。

实践价值

漏洞管理是一个涉及多个要素的复杂过程，需要人员，流程以及相关技术组件的共同努力。绿盟威胁和漏洞管理平台确保提供技术和流程的全面支撑，面向企业脆弱性管理，结合外部漏洞情报信息，针对资产安全视角，以风险优先级为核心，整合多源脆弱性数据，聚焦关键风险，量化风险指标，提供漏洞全生命周期管理的解决方案。帮助客户建立快速响应、有序修补、持续优化的漏洞管理能力。