“ 漏洞总是在不断的涌现,即使是前面的各项安全活动中均已达标,产品在上线后依旧会面临新增漏洞的攻击。对于安全风险的警觉和发现能力以及渠道,需要逐步建立并完善、运营。”
01
—
安全目标
在传统软件开发生命周期中,与技术相关的最后一阶段是响应,微软在该阶段所推崇的安全活动为执行事件响应计划。在实际落地时,可针对响应的渠道进行扩展,比如从漏洞预警信息监测、从SRC接收到产品相关的漏洞信息等入手;也可将被动式接收产品漏洞信息,转变为每季度进行漏洞扫描,主动发现已上线产品的漏洞并进行安全响应。
对于已发生的信息安全事件,则需要按照预先设定好的应急响应手册进行事件处置,此处不做展开。
02
—
安全活动
在安全响应阶段,安全活动主要围绕安全事件响应、季度漏洞扫描、安全威胁预警开展。
1)安全事件响应
此处的安全事件响应较为狭义,主要是指产品由于存在安全漏洞或缺陷导致的被攻击、业务受影响等事件的应急处置。发现的手段除了直接监测产品异常、安全设备上的攻击类告警,还有从SRC、POC等平台上接收到的漏洞。
2)季度漏洞扫描
在线产品的定期漏洞扫描十分有必要,可持续发现产品中由于功能变更、扫描描器规则更新等带来的新漏洞。较为常见的做法是黑盒扫描,选择合适的时间使用商业或自研的扫描器对目标系统进行扫描。通常会有一些比较棘手的问题,比如非登录扫描发现较少有价值的漏洞,登录扫描实现起来难度不小且很可能对线上环境带来脏数据、造成服务中断等影响。
3)安全威胁预警
针对公司产品的技术架构、第三方组件名称与版本、使用的框架等资产信息进行有效的漏洞预警,可以将该部分的安全变为主动。通过对CVE漏洞、CNVD漏洞库、国内外安全公司的安全风险通告监测,适时发现相关的漏洞信息以作出相应措施。
03
—
安全实践
1)对外接收漏洞响应
目前绝大多数非自主发现的漏洞都来源于SRC,由此见得SRC作为企业对外接收漏洞渠道的重要程度与必要性。在接收到漏洞并进行处理时,有几项工作需要注意:
- 漏洞响应时间:这是对安全人员的SLA要求,针对不同风险等级的漏洞设置不一样的处置时间,处置动作包括:验证漏洞、同步漏洞至漏洞管理系统、指定漏洞修复人、推动漏洞修复等。
- 漏洞修复时间:根据漏洞的不同风险等级制定完成修复时间,此处的修复由于是生产环境中,所以会比安全测试阶段发现漏洞要求修复的时间短。自漏洞响应开始计时:
- 漏洞复盘工作:通过漏洞信息反推至日常的安全工作中,主要体现在安全测试、安全防护、安全运营三方面: ①安全测试:是否经过安全测试才上线、安全测试时为什么没有发现、漏洞扫描器规则是否有覆盖 ②安全防护:漏洞地址是否在安全资产管理平台、是否有检测到白帽子的payload ③安全运营:经过综合分析后对漏洞进行定级,并判断作为安全事件进行通报
2)线上系统漏洞扫描不足与坑点
生产环境的定期巡检扫描,可以解决工具能力级别的安全漏洞,避免被白帽子提交简单的漏洞及被监管单位进行扫描时通报。同时,还面临着扫描效果的挑战与带来线上安全事故的风险。需要不断完善扫描器规则,并在扫描前做好相关人员的知会工作。
- 扫描效果:定期的扫描工作可能由于扫描规则没有新增、安全防护等因素导致难以发现漏洞。针对扫描规则方面,可以通过不断新增扫描规则进行完善,若是商业漏扫,则可以通过交叉使用不同的扫描器进行加强;对于安全防护,可以在防护设备上设置白名单或通过内网进行扫描,既需要在开启防护策略时扫描,也需要畅通无阻无防护状态下的扫描。
- 安全风险:线上环境的功能设计不合理、业务逻辑不合常规等问题,很可能导致扫描器工作时,产生大量的垃圾数据或直接造成系统功能受影响甚至不可用。在扫描前,邮件通知到资产责任人、ops、安全设备管理人员是必要的步骤,以便于正确处理扫描产生的恶意流量与发生事故后第一时间能恢复。
3)漏洞预警渠道与处置机制
关于漏洞的预警,需要在了解公司资产的情况下开展才能全面、高效、准确基础上,进行评估后再启动内部的预警与处置。
- 资产管理:普遍存在的难题之一,但是对于漏洞预警方面不得不去面对这个刺头,唯有把它当做日常工作开展才会有好的结果。借用领导的一句话“平时多流汗,应急少流血”
- 漏洞渠道:常见的漏洞渠道有Twitter、CVE漏洞平台、CNVD漏洞平台、奇安信cert等,自动化的监测并告警到相关责任人,及时响应并作出预判。
- 处置流程:通常包括接收预警、评估影响、启动预警、漏洞跟进、验证总结等流程。其中,评估影响范围与漏洞跟进较为难做,涉及到很多因素,比如资产所处网络环境(内/外网)、资产的重要程度(核心/一般资产)、预警漏洞的风险等级(高危/中危/低危)、利用难易程度(难/简单)、找不到漏洞修复责任人等。
- 启动预警:根据漏洞的影响评估结论,对内部发布公告或邮件通知,其内容可包括漏洞描述、风险等级、影响范围(版本)、处置建议、参考链接。
04
—
持续优化
作为SDL的最后一环节,不再是具体到某一个产品针对性的开展安全活动,而是通用的、常规进行安全运营。漏洞预警处置中的漏洞推修落实情况,一直是公认头疼的事情。先不说漏洞是否在不影响生产环境下完美修复,就连存在漏洞的资产有哪些可能都梳理不全,这也反映出资产安全管理、漏洞管理的痛点,属于较为综合类的难题。介入安全运营的思路,把能发现的资产先推修,持续地发现问题并把能发现的问题都解决,终将迎来不菲的成绩。