漏洞管理解决方案

当前漏洞风险管理方案现状

无论是从权威机构的调研结果,还是从近几年发生的重大安全事件的直观感受中,可以了解到已知安全漏洞但发现与补救不力是出现安全事故的主要原因。例如,知名咨询公司Gartner的专家表示说“到2020年,可利用的漏洞中有99%仍是安全和IT专家们已知的、存在至少1年以上的漏洞。”,最有力佐证是2017年由永恒之蓝系列漏洞导致的全球大规模勒索软件事件(WannaCry)等,造成全球多国重大经济损失。

脆弱性扫描与管理系统在构建完善的信息安全防御体系中,是必不可少的基础设施系统。随着安全形势越来越严峻,并且信息化在各行各业的应用越来越深入,脆弱性扫描产品面临着多重新的挑战。

首先,随着时间推移各种安全漏洞总数也成倍数增加,修复难度和复杂度也在增加。也因此漏洞扫描器需要高扫描覆盖率、高更新频率、更有效的风险评级机制及更详细有效的修复建议等。为漏洞的扫描和修复争取时间。

其次,由于企业单位等信息化程度提高,IT资产规模也飞速增加,对漏洞扫描与管理产品的精确度提出了更高的要求。低误报率和漏报率的产品会给企业单位节约更多成本的同时,同样的时间和人力成本投入下取得更好的安全防护效果。

另外,当系统环境变的越来越复杂时只有智能化的漏洞管理系统能带来最大的收益,包括为安全运维人员节省时间,为管理层提供决策辅助,避免任何人为带来的疏忽等等。

碳泽漏洞风险管理解决方案

网络信息安全风险评估,是通过识别和分析信息安全风险要素(资产的价值、脆弱性被利用的难易程度、威胁的动机和动能的大小、现有控制措施的效果)及其相互关系,来判断信息安全事件发生的可能性、事件后果的严重性和控制措施的有效性,计算出信息安全风险程度。脆弱性的关键即是漏洞。

漏洞风险管理系统的设计目标是有效的漏洞管理。漏洞管理不是无休止地发起扫描并发现漏洞,更重要的是全面且准确的扫描,并对得到的数据进行智能有效的分析,确保关键的安全风险能优先排列,以及提供行之有效地、易于操作的修复建议和弥补措施。为此漏洞风险管理系统具备全面的漏洞库、低误报漏报率、直观呈现的关键风险点、逐步的漏洞修复方案等等,帮助各级别组织和单位实现高效安全地漏洞管理

 高层设计概要

  • 系统设计为浏览器/服务器(B/S)架构,直接通过Web操作管理。
  • 支持全面的网络资产脆弱性扫描与资产信息管理,包括操作系统、网络设备、应用、中间件、数据库等。
  • 支持多用户多角色操作,支持权限控制等,产品本身符合安全规范。
  • 系统控制管理与扫描引擎分离式设计,便于资源调度和扩展。
  • 支持通用操作系统,支持云计算环境虚拟化部署。

技术架构设计

漏洞风险管理系统采用管理控制台与扫描引擎分离式设计,可支持实现分布式扫描。系统整体上分为资源服务、扫描引擎和管理控制台三大块。

资源服务包括数据库、XML文件、Web服务及内存Cache。数据库采用 PostgreSQL,经评估是单机数据库的最佳选择。更新频繁的漏洞知识库信息使用XML格式打包存储,将索引存入数据库,并且扫描检测策略等载入内存Cache便于引擎快速读取。Web服务基于Tomcat。

扫描引擎负责具体的脆弱性检查操作与数据采集,如主机发现、服务发现、资产清点(指纹识别等)及漏洞评估。其中使用了Java Expert System Shell 执行复杂的漏洞检测操作,结合部分第三方辅助工具进行主机及服务发现等。

管理控制台除负责提供Web用户接口及提供API接口外,还负责进行引擎调度、扫描策略及任务管理、报表生成管理及其它配置管理等。

主要功能技术实现

1.脆弱性扫描。 扫描包括以下一个或多个阶段:

1资产发现

在资产发现中扫描的第一个阶段,扫描引擎将详绘出网络并定位活动资产。

扫描引擎通过使用 ICMP ECHO请求或发送 TCP数据包到一个或多个端口,可以在有效的端口扫描中发现设备。响应这些数据包的系统被标记为处于活动状态,并将被加入随后的扫描阶段。

当在 DMZ中或其他任何受严格保护的区域中(例如丢弃屏蔽数据包的防火墙)扫描资产时,您可能希望禁用资产发现。当您禁用资产发现后,系统会使用在发现阶段查找到的端口扫描结果,从而确定哪些主机处于活动状态。如果在一项资产中发现任何端口处于开放状态,则系统将标记此资产为“存活”。

2服务发现

在服务发现阶段,扫描引擎将详绘出在活动资产中运行的网络服务。

可调节服务发现以启用或禁用 传输控制协议(TCP)和用户数据报协议(UDP)端口扫描。您可以指定扫描哪些端口,包括默认端口列表或所有可能的端口(1-65535)。另外,您可以改变 TCP 端口扫描的方法,而使用全连接、半开放(SYN)扫描或其他变体。

当系统确定了某个端口是开放的,它就会与此端口执行握手协议以验证其运行的服务类型。这样做可允许系统判断一个服务是否正在运行,即使此服务不在预期的端口中。例如,一个 HTTP服务器可能在端口 1234运行,而不是标准的 HTTP端口 80。该过程称为服务指纹识别

3资产清点

一旦系统了解带有活动资产和服务的网络布局,便可以执行资产清点以确定许多系统部分的配置:

  • 操作系统类型和版本(例如微软 Windows7 SP1)
  • 系统配置
  • 硬件类型(例如思科 2621)
  • 服务类型和版本(例如0.54)
  • 服务配置
  • 已安装的软件(例如 MozillaFirefox 0.5)
  • 软件配置
4漏洞评估

在漏洞评估阶段,系统将扫描活动的设备以查找已知漏洞。漏洞评估既支持基于开放网络端口服务的检测,也支持基于SMB、SSH、WinRM等协议的登录扫描检测,可得到更加精确的漏洞评估结果。

漏洞检查覆盖了在广泛的产品系列中的已知漏洞。网络爬取的功能可以发现由网络应用程序开发者造成的漏洞。这种网络特点可以在网站中搜索普遍的编程错误,备份数份可能泄漏敏感信息的脚本。

系统包括了带有已预定义漏洞检查设置的默认扫描模版。用户也可以根据漏洞评估具体的场景需求自定义漏洞扫描模板参数,如可以指定需要发现的某些漏洞或漏洞类型。

 2.资产管理

漏洞风险管理系统的资产管理可以基于灵活的条件进行配置。资产组分为两种类型,一种是静态资产组,包含的资产需要显式的添加对应IP地址或主机名;另一种是动态资产组,可根据资产组创建时指定的条件,自动筛选符合条件的相关资产,并且随着扫描和漏评估的结果动态变化。动态资产组的好处是可以从漏洞风险级别、IP网段范围、是否新扫描到的资产、某个软件或服务、包含特定漏洞的资产等多种条件的定义或组合来管理资产。

系统还支持对资产使用标签进行管理。系统内置了位置、责任人、关键度等标签类型,并且支持用户添加自定义标签。管理员可以对资产添加不同的标签来方便筛选和管理资产。这在拥有大量资产以及分支机构时,管理起来会极为方便灵活。

方案特点

1广泛的资产覆盖面

使用漏洞风险管理系统,用户可通过持续不断的扫描发现物理和虚拟资产的问题,包括网络设备、操作系统、数据库、标准的和定制化的Web应用等,并支持IPv4和IPv6资产发现和扫描。支持的资产对象包括但不限于:

  1. Windows、Linux、FreeBSD、UNIX、AS400、MacOS、CiscoIOS、Solaris等操作系统和网络设备;
  2. DB2、MSSQL、MySQL、Oracle、PostgreSQL、Sybase等数据库;
  3. 登录扫描Windows/Samba、AS400、Telnet、SSH、FTP等应用;
  4. 内置PCI、SCADA等标准扫描模板。

可扫描的漏洞进行了详细地标签分类,并且通过自定义扫描模板可以有针对性地选择扫描类别。

2自动资产发现

系统可不依赖网络扫描,支持多种其他方式自动发现新增资产。例如通过连接到VMWare vSphere来自动发现新的虚拟机实例,连接到DHCP服务器来发现新分配IP地址的网络资产等。结合动态资产组功能,可以及时对接入网络内的新增资产进行漏洞评估,扼杀漏洞风险于萌芽状态。

3动态资产组扫描

用户可以根据需要自定义资产组,并根据匹配规则来灵活扫描。例如可以定义只扫描某个指定网段内的 Windows 主机,并且能通过循环检测发现资产的变化。

匹配规则可以是复合的规则,例如根据资产的操作系统类型、已存在漏洞的评分、存在某个CVE编号的漏洞等。通过多个规则来筛选指定范围的资产以建立动态资产组,符合筛选条件的资产会随着资产发现扫描及漏洞评估扫描结果动态变化。同时又可以针对动态资产组做特定的扫描评估操作等。

4分布式扫描管理

系统从底层架构设计即支持分布式扫描,适用于复杂的物理与逻辑网络拓扑架构。控制台与引擎之间通过TLS加密通信,所有扫描数据统一由集中控制台进行管理。在创建扫描任务时就可以选择指定的扫描引擎。

5精确漏洞检测与评估

系统使用JESS专家智能系统,通过对网络、操作系统、数据库、Web应用等不同层面的漏洞进行关联分析来模拟攻击活动,从而降低误报率。平均每个漏洞3种漏洞检查方法。支持CVE、BID、EDB、CNNVD等漏洞标准,并提供详细的漏洞信息,包括漏洞的真实利用信息等。

6精确风险评分

除CVSS漏洞评分外,结合漏洞已暴露的利用方法、关联的恶意程序、资产的重要性等多个维度,得出更加精确的漏洞风险评份和资产风险评分。可以为资产漏洞修复计划提供更具操作性的参考建议。

7灵活的计划任务安排

支持对扫描任务建立复杂灵活的计划任务安排。例如,可以指定任务于每个月的第二个星期四进行扫描(微软于每个月的第二个星期二发布安全公告);也可以指定任务进行不连续扫描,如指定任务在凌晨1-2点间扫描1小时,然后在4点开始继续前面未完成的扫描等。

8API调用

系统开放API调用。企业单位可以通过API把漏洞评估结果与内部的安全运维管理系统相结合,整合统一的安全管理流程、建立统一的安全风险可视化平台等。

9报表

评估报告提供多种不同方式来整理扫描数据,从业务角度出发的报告到详尽的技术评估.您可以了解有关漏洞的全面信息。漏洞风险管理系统提供了HTML和PDF的报告下载格式。

部署应用

漏洞风险管理系统基于无代理漏洞检测机制,不需要在目标上安装客户端或插件。只需要系统与目标间网络可达即可扫描。对于复杂的网络安全域拓扑或者多分支机构的网络拓扑,通过使用分布式扫描引擎,可以方便地集中进行漏洞管理。集中控制台与引擎通过TLS加密通信。

系统同时支持硬件、虚拟机两种部署方式。硬件部署方式适合接入网络开机即用,简单方便;虚拟机部署方式适合内部系统已经云计算化的组织使用,便于管理,可灵活配置性能与网络连通性等。