🕶️ 🈺 💓 我们如何构建漏洞管理 😜 🏺 👦🏾

问题介绍

在与不同类型的客户（从大型国际公司到小型公司甚至个人企业家）合作的实践中，当尝试系统地利用漏洞进行工作时，我们会遇到类似的问题。

尽管公司规模较小，但拥有一台或多台漏洞扫描程序和一名专家来定期检查整个基础结构就足够了，其中涵盖了最明显或最容易解决的问题。

实际上，随着公司的发展，网络上设备的数量也在增长，使用了包括非标准设备在内的新信息系统，简单的方法已不再足够，因为企业希望获得以下问题的答案：

您需要使用扫描仪报告中的哪些漏洞（可能有成千上万），为什么？
修复这些漏洞需要多少费用？
谁能真正使用它们发起攻击？
如果我什么都不纠正，会有什么风险？
以及如何确保所有问题都已解决？

并非每个安全卫士和系统管理员都会立即对所有这些问题有一个清晰的答案。另外，请不要忘记，漏洞管理本身就是一个相当复杂的过程，并且有许多因素会影响决策制定：

如果不能及时消除漏洞（尤其是外围漏洞），则很可能成为大规模攻击或针对性攻击的受害者；
消除许多漏洞的成本很高，尤其是如果没有现成的补丁程序或漏洞暴露给大量分布式设备（通常这是一个停止因素，因此问题仍然存在）；
如果不同的人或什至没有始终具备正确评估所检测到的漏洞所需资格的公司负责不同类型的设备，则消除过程可能会非常耗时或根本无法启动；
如果使用专用设备或SCADA系统，则很可能没有制造商提供的必要补丁，或者原则上无法更新系统。

因此，在企业眼中，随意实施的漏洞管理过程看起来并不有效且不可理解。

考虑到业务需求并了解使用信息安全漏洞的具体情况，我们在Akribia提出了一项单独的服务。

我们想到了什么？

我们认为，像任何过程一样，都需要系统地进行漏洞管理。而且，这恰好是一个由多个阶段组成的连续且反复的过程。

客户端连接

我们负责所有必要工具的提供，配置和支持。仅要求客户端分配虚拟或物理服务器（如果网络很大且分布很广，则可能会分配几个）。我们自己将安装所有必要的东西，并配置正确的操作。

资产清单和分析

简而言之，关键是要识别网络上的所有设备，将它们划分为相同类型的组（这种细分的详细程度可能会根据客户端网络的大小或大量特定设备的存在而有所不同），选择要为其提供服务的组，然后找出负责所选小组的人员。

重要的是，不仅要执行一次此过程，而且要突出显示模式，以便您可以随时了解网络上正在发生的事情，查找新设备，查找已移动的旧设备，查找组内的新子类型，等等。这很重要。以给定的频率不断发生库存。在我们的实践中，我们得出的结论是，如果不了解资产的结构，有效的漏洞管理是不可行的。

每次添加新条件或从头开始更改所有内容时，我们就致力于资产配置算法很长时间。我们不会透露所有技术细节，也不会提供实现我们的算法的代码行，仅给出一般的操作顺序：

客户端提供IP网络计划。
使用网络扫描仪，基于开放的网络端口和OS为每个设备形成指纹。
配置文件按设备和类型组合（例如，Cisco Catalyst 2960 \ Network equipment）。
当出现新设备时，将搜索最相似的配置文件。
如果精度不足，则由客户端指定设备的类型。
定期执行重复的网络扫描，以更新数据并搜索新设备和类型。

在缺乏准确的网络IP计划的情况下（例如，使用DHCP或“人为因素”时），可以选择基于几个已知IP地址进行在线配置的选项。接下来，在类型中定义相似的设备，并升级配置文件。

这种方法使我们能够以大约95％的精度确定设备的类型，但始终需要更多。我们欢迎新的想法，评论和意见。如果有些事情我们没有考虑，我们准备在评论中进行讨论。

扫描时间表

当我们已经掌握了有关客户端网络的所有必要信息后，我们会根据每种设备所需的检查频率来制定扫描漏洞的时间表。频率可以是-从1天到1年。频率一方面取决于客户端准备使用一个或另一个设备的漏洞的速度和频率，另一方面又影响服务的价格。

例如，一个计划可能看起来像这样：

请务必注意，我们强烈建议您每天检查一次外部网络外围，以最大程度地利用1天（仅发布）漏洞的风险。相同的建议适用于客户的公共Web资源。

实际上，扫描

在计划的设备组扫描开始日期的一周前，我们与负责该组设备的人员联系，将扫描日期通知给他，并发送要检查的设备的完整列表。在此阶段，您可以调整（如果需要）验证区域。这样做是为了最大程度地减少错误识别网络上设备的风险。

扫描完成后，还将通知负责人。即利益相关者始终处于最新状态。

我们使用几种不同的扫描仪，包括用于搜索Web系统中漏洞的单独工具。因此，我们可以获得更多信息进行分析，并且可以发现更多潜在问题。

为了优化成本，我们不能扫描整个相同类型的设备组，而只能将自己限制在代表性样本中，例如，从该组中随机选择的设备中占30-50％，或者从每个地理位置分布的办公室中占30-50％。在选择性设备上发现严重漏洞后，将开始搜索组中所有设备上已经存在的特定漏洞。因此，我们可以在更短的时间内获得最全面的报道。

重要的是要注意，有一些单独的漏洞不是由标准工具确定的。当我们开始扫描特定类型的设备时，我们将检查所有公共漏洞，并确保我们的扫描程序可以找到它们。如果我们了解标准工具还不够，那么我们将手动寻找单个漏洞或开发我们自己的工具进行检查。

最重要的是，当有关新危险漏洞的信息出现在公共场所时，我们将不必等待计划的扫描。可能会刚刚发现该漏洞的所有客户端都将立即收到有关该问题的通知，我们将进行计划外的检查。

总的来说，对漏洞搜索技术的详细描述在某种程度上超出了本文的范围，但是您可以通过我们在2017年SOC论坛上所作的介绍来熟悉它。

扫描结果分析

如果您曾经在拥有100多台主机的公司网络上运行漏洞扫描程序，那么您可能还记得当您查看一公里长的相同类型的记录列表时会产生的那种感觉，乍一看其内容很少。没有专门知识，就很难充分评估将要保留的内容，需要确定的内容以及以什么顺序执行。

我们会迈出自己的一步，查看结果，选择可能对客户业务造成真正伤害的真正关键问题。

我们评估以下参数：

潜在攻击者可获得的易受攻击的设备/服务的可用性；
存在公共剥削；
操作复杂性；
对企业的潜在风险；
这是假阳性吗？
消除的复杂性；
等等。

经过处理后，“已验证并已批准”的漏洞由我们在事件管理系统中发布（我们将单独进行讨论），客户员工可以查看它们，提出问题，让他们工作或在接受风险时拒绝它们。

如有必要，我们还会安排与易受攻击设备的负责人进行磋商，并详细告知已发现的内容，面临的问题以及为最大程度降低风险而采取的选择。

将漏洞转移到工作中后，任务将转移到客户端，然后我们继续扫描下一组设备。

但是第一组的过程并没有就此结束。

漏洞控制

在系统中，对于每个已发布的漏洞，您可以设置消除状态和期限。我们监控状态变化和截止日期。

如果客户端关闭了该漏洞，我们会看到并运行检查以确保该漏洞确实消失了。因为仅针对一个漏洞启动检查，因此花费的时间并不多，对于成千上万的主机，一天之内就可以得到结果，对于一小组设备，甚至可以在几秒钟内就得到结果。

如果真正关闭了该漏洞，我们确认这一点。如果保留了该组中全部或部分设备上的漏洞，那么我们将返回进行修订。

每个漏洞的工作周期只有在我们确认不再存在于所有漏洞设备上时才结束。

通用方案如下所示：

在控制消除漏洞的过程中，可以区分两个辅助子过程：控制期限和与负责在客户端关闭漏洞的人员一起工作。

时序控制

我再说一次，对于每个漏洞，必须指定一个消除它的期限。该参数由客户端独立设置，即我们没有规定负责任的客户员工应以多快的速度工作，但我们会监控目标的实现情况。如果任务过期，则通知客户端漏洞管理过程的所有者。关于及时关闭或过期的漏洞的信息由我们在定期报告中反映出来，这些报告的名称可以说是“优秀学生”和“双打”。我们还将此类指标视为修复漏洞的平均速度。因此，客户收集必要的信息以安排时间，负责任的工作以及他们的成就或遗漏。

负责任地工作

有时，由于个人漏洞，需要分配多个责任人，将任务的全部或部分工作转移给另一个人，或简单地更改责任人，因为第一个失败了，休假，请病假等。所有这些使我们可以实施我们的系统。

下图显示了一个漏洞情况下的服务方案。

实效

这是我们建立工作流程的方式，并在我们的方法中看到了许多优势和机会，这些优势和机会将有助于更有效地利用漏洞，同时解决本文第一部分中确定的问题：

我们不仅承担启动扫描程序以搜索网络中漏洞的任务，还承担对工作结果的分析。我们将多余的部分过滤掉，最终结果是我们可以并且应该使用的漏洞列表。
列出该清单并将其提交给负责的客户专家，我们总是写两件事：详细描述漏洞的含义及其对所承担业务的负面影响，并提出消除或降低风险的建议。因此，您始终可以了解如果不采取任何措施将会发生的情况，并且可以估算实施建议措施的时间和成本。
如果仍然有消除特定漏洞的疑问或争论，我们可以另外测试在实际条件或接近实际条件下利用此漏洞的可能性。在经历了这样的“最小化”之后，将看到潜在攻击者进行攻击的可能性和难度。
最后，漏洞清除工作完成后，我们将始终对其进行检查。因此，可以消除错误或遗漏的风险。

反过来，我们认为客户也将获得宝贵的机会，并且可以：

关注真正重要的设备组并更频繁地监视其状态；
专注于可能导致实际损害的真正危险的漏洞；
监控每个漏洞的工作，跟踪状态变化和截止日期；
收到有关关闭漏洞的个人建议；
腾出员工的时间来启动和处理扫描结果，以及设置和支持所有必要的工具；
好吧，作为CFO的额外奖励-将购买您自己的工具以进行扫描的资本成本转换为运营成本，以支付专家的服务。

有意思吗在我们网站的服务部分，您可以查看价格以及特殊条件下的订单测试服务。

我们如何构建漏洞管理