漏洞与应用系统基本上是时时伴随的,无论是操作系统漏洞、应 用系统漏洞还是其他组件漏洞,都将影响到应用系统的安全。而针对 这些漏洞的修复管理工作经常会遇到这些问题:怕影响业务,暂时不 能修复漏洞;已经根据修复建议修复了,但不知道修复是否有效;漏 洞无人认领,有些单位存在中间件三不管的尴尬局面等。这些问题都 将在当前严峻的网络安全环境中给单位带来极大的安全风险。
因此,建议单位在日常安全运营中建立漏洞管理流程,以确保所 发现的漏洞都能够得到有效处理,从而提高整体网络安全水平。漏洞 管理工作一般会涉及单位多个部门、第三方应用系统承建单位和信息 安全技术支撑单位,因而需要建立相关漏洞管理制度,明确职责和权 限。
根据经验,我们梳理出漏洞管理的以下关键点。 1)漏洞发现 - 制订安全漏洞评估方案,报信安全部门和业务部门审批。 - 进行信息系统的安全漏洞评估。
根据单位职责划分,明确漏洞的归属部门,防止出现漏洞无人 认领的局面。
漏洞修复负责部门依据安全漏洞分析报告及加固建议制定详细 的安全加固方案(包括回退方案),报信业务部门和安全部门审批。
漏洞修复负责部门实施信息系统漏洞修复测试,观察无异常 后,将修复测试结果提交给业务部门和安全部门。
漏洞修复负责部门在生产环境中实施信息系统的漏洞修复,观 察结果是否有异常。
漏洞修复负责部门在完成漏洞修复后编制漏洞修复报告,并提 交业务部门和安全部门备案。
安全部门负责审核漏洞修复报告,并验证漏洞修复是否彻底, 若不彻底,应反馈修复部门继续修复,直到漏洞修复彻底。
对信息系统进行漏洞修复的时间尽量选择在业务空闲时段,并 留有充裕的回退时间。
漏洞修复实施期间业务系统支持人员应保证手机开机,确保出 现问题时能及时处理。
对于确实无法按照要求完成修复的漏洞,能通过其他有效措施 (如网络策略限制、防火墙策略限制等)处理的,通过其他有效措施 处置,没有相关有效措施的,建议进行断网或下线处理。
最后,我们一起来总结红队防守工作最佳实践的要点,具体如下。
(1)一把手重视,全员认知
安全一把手必须重视,全员(如办公人员、保安等)提高安全防 范意识。
(2)专项组织,责任到人
牵头部门要有话语权,组织形成跨部门的专项组织,明确工作职 责,责任到人。专项组织可以包括领导小组(主管安全领导,层级越 高越好)、检查工作组、防护工作组(事件监测、分析研判、事件处 置)和保障工作组等工作小组。
(3)摸清家底,厘清责任
梳理全部资产的属性和网络路径,明确资产的主管、运维责任, 为后续工作打下基础。例如,梳理信息系统、网络设备和安全设备等 基础信息,运行维护状态,责任单位(人)。
(4)收敛暴露面,减少入侵点
依据资产清单,在常规安全检查基础上梳理互联网暴露面及网络 边界弱点,减少情报泄露,让攻击面缩到最小,从而缩小防守半径。 例如:优化网络边界;清理“僵尸”资产;管控测试环境、供应链、 中间件及业务管理后台、WIFI及VPN等入口;增强安全意识,防钓鱼, 保证终端安全,进行权限管理。
(5)知己知彼,整改到位
从攻击者视角出发,结合现网实际从外到内、由点及面整改互联 网边界,内网横向联通,针对服务器、应用系统、集权类等设备存在 的漏洞,建立漏洞隐患整改验证与跟踪机制,确保整改到位。
(6)威胁感知,分析处置
部署全流量威胁分析感知系统,建立监测、预警、分析、验证、 研判、处置和溯源等能力,为指挥和决策提供支撑。
(7)检验能力,优化完善
模拟真实攻击,检验实际安全监测、防御和处置能力,及时从人 员能力、监测防护措施、工作流程、协同机制等方面进行优化完善。
(8)全方位监控,合作协同
以全流量威胁分析感知系统为核心,以各类安全检测设备为辅, 协同各部门及厂商共享情报信息,合作开展全方位监控工作,实施从 监测到预警、分析、验证、研判、处置、溯源的闭环防守工作。
(9)总结分析,常态落实
以演练结果为数据支撑,总结工作中存在的问题并分析原因,结 合日常工作制订整改方案和持续整改计划,落实具体时间、经费、责 任部门及人员,并与绩效考核挂钩。
总之,实战攻防演练不只是对抗防守的保障演练活动,其最终目 的是:通过对抗活动发现我们网络安全建设中的不足,进而改进和提 升整体安全防御能力;基于相对独立的安全运营思路,以数据为中心 建立整体网络安全防护体系,进而发挥出最强的安全能力。因此,每 次在总结实战攻防演练积累的实际经验时,要沿用演练期间形成的安 全运营机制、安全监测技术和应急响应策略等,在日常安全工作中持 续提供安全运营能力,使网络安全防护措施持续发挥成效,最终有效 提升平时与战时结合的安全防护能力。
最后,防守方要加快改进演练过程中发现的网络安全体系建设的 不足,持续构建和完善总体网络安全建设体系,使其具备多道防线、 纵深防御、网格防护以及内部防护的能力,将“三化六防”防护指导 措施沿用到实际网络环境中。