【安全运营】漏洞全流程自动化动态清零运营与实践

news/2024/12/28 17:38:59/文章来源:https://www.cnblogs.com/o-O-oO/p/18449659
一、战术思路二、技战法详情三、应用效果

原创 杨启维 安全村SecUN

随着各类安全漏洞频出,极易造成漏洞修复不及时系统被入侵;与此同时,银行的应用系统关联关系复杂,而漏洞的修复大部分会改变系统的全局参数,极有可能影响业务连续性。如何快速对接多源头漏洞数据,缩短风险窗口时间、提高漏洞处置效率,同时如何解决手工修复漏洞的操作风险是安全漏洞管理一直以来面临的业务痛点。中信银行在多年技术流程打磨的基础上,开发并建立一套全流程自动化安全漏洞识别和处置机制,实现安全漏洞“动态清零”。且在具备自动化修复方案后,漏洞从识别到关联自动化变更修复,平均时间控制在10分钟内,达到快速完成系统加固以抵御外部网络攻击的目的。

一、战术思路

对于来自全栈云漏洞、容器漏洞、网络及特种设备扫描漏洞、HIDS主机入侵检测、情报漏洞、渗透测试漏洞等多途径、多源头的漏洞输入,中信银行依托安全运营管理平台、安全漏洞管理平台、安全漏洞整改相关系统等8套系统,完成漏洞分级分类、CMDB资产信息补充,关联自动化修复方案,分派漏洞修复整改工单,漏洞自动化验证工作,实现线上化安全漏洞全生命周期管理。通过“标准化、流程化、自动化”模型建立安全漏洞管理体系,实现漏洞“动态清零”处置。

二、技战法详情

(一)建立安全漏洞评估机制,提升海量漏洞管理工作成效

针对上述多途径、多来源的漏洞,结合漏洞可利用性(POC\EXP\武器化工具)、漏洞CVSS评分,建立矩阵计算模型,组织安全评估团队开展漏洞评审,评审结果按照行内漏洞等级整改要求进行后续的漏洞整改工作。
安全漏洞评估机制的建立,突破了传统由高到低修复漏洞的管理方式,建立以问题和实战为导向,以漏洞不被攻击者利用并产生危害和影响为目标,根据漏洞利用条件、CVSS评分评估漏洞优先修复对象,快速推动修复,在有限资源下提升海量漏洞管理工作成效。

(二)建立漏洞修复方案库,实现漏洞修复自动化处置

针对已收录的漏洞信息,我行漏洞修复方案研发团队开展已知漏洞修复脚本的研发,建立安全漏洞自动化修复方案库,截至目前我行已累计具备自动化修复的漏洞类型达426种。
针对官方最新发布的漏洞信息,由漏洞修复方案研发团第一时间开展安全漏洞修复脚本的编写,录入自动化修复方案库中。统计历史数据计算,从漏洞预警、研发、投产并推广修复,漏洞自动化修复方案平均研发时间可实现十小时级别。

(三)建立安全漏洞管理流程,实现漏洞分级责任人分派

通过安全运营管理平台、安全漏洞管理平台对采集上述的多途径来源漏洞,进行分类分级、聚合,补充资产信息、自动化修复方案、定位漏洞处置管理员、分派整改工单,下发漏洞整改工单,回传安全漏洞管理平台,记录漏洞工单的状态及自动化处置情况。
漏洞数据精细化处置核心模块和详情如下:

1.安全运营管理平台数据处置:
1)通过kafka消费已采集的漏洞信息数据(topic1);
2)针对获得的漏洞数据,做消费处理,处理包含:
a.对同一主机同一漏洞,存在多个应用路径的情况做拆分,拆分成多条漏洞数据;
b.记录漏洞发现时间、漏洞的状态(修复、未修复、逾期等)、以及修复时间(根据漏洞等级匹配);
c.根据多个字段组合生成漏洞的唯一标识;
3)将二次处理的数据,发送至kafka的topic2;
4)根据回传漏洞整改单号并做漏洞验证。

2.漏洞管理平台数据处置:
1)通过kafka消费安全运营平台处理过的数据(topic2);
2)针对获得的漏洞数据,做二次处理,处理包含:
a.补充从cmdb获取到的信息,包括开发领域、系统运维领域、处理人;
b.补充由基础软件管理域提供的修复方案;
c.漏洞软件路径录入:如entegor、分布式数据库等;
3)漏洞派单,派发问题工单、整改工单,并传回单号至安全运营管理平台;
4)调用安全运营管理平台验证工单是否修复;
5)漏洞管理平台漏洞展示、漏洞看板展示。

(四)建立漏洞修复自动化变更流程,实现自动化整改、实施与验证

我行自建自动化运维管理平台(简称:PAAS中台),主要承载所有基础设施层面变更的自动化管理工作。安全漏洞修复依托此平台,通过定制化功能开发采用独立的流程分支,实现安全漏洞修复的自动化变更实施。
漏洞修复自动化变更,系统管理员只需按照自动化模板填入相关参数,包含字段:系统名称、IP地址、实施时间、PAAS方案等,关联安全漏洞自动化修复脚本,自动生成变更工单,PAAS变更传参自动提取模板需要的参数值,执行漏洞修复自动化变更,自动化变更平均实施时间在10分钟左右。
变更实施完成后,安全漏洞管理平台触发漏洞自动验证,验证通过后关闭整改待办工单,验证不通过则返回未修复漏洞清单进一步分析处置,同时记录修复时间及对应的变更单号。

(五)达成安全漏洞“动态清零”的管理目标

以上漏洞修复技术方案建立后,我行安全漏洞从发现到有效修复平均时间由15个工作缩短为1个工作日内,实现安全漏洞当日发现当日修复的“动态清零”目标,整体缩短了安全风险的敞口,提升了安全风险的管理目标。

三、应用效果

通过该自动化安全漏洞识别和处置机制、实现安全漏洞“动态清零”和安全风险整改常态化和闭环管理,大幅度提升了安全风险的督办和整改效率。2023年度我行通过自动化发现和处置安全漏洞二十余万,达成整体整改率99.96%,主机漏洞自动化修复实施时间平均10分钟,覆盖全行19万+台主机服务器,应用系统应对已知漏洞的能力得到显著增强。

作者介绍

杨启维,中信银行网络安全运营专家,在安全漏洞管理,体系安全建设方面有丰富的工作经验。

关于 大湾区金融安全专刊

大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。

关于 安全村

安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。

参考🔗

https://mp.weixin.qq.com/s/jltR3I6LCn8XRI9mgohhiQ

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/809284.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【linux+权限提升】利用iptables提权

原创 柠檬赏金猎人声明 仅限交流学习使用,如您在使用本工具或代码的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。“如侵权请私聊公众号删文”。iptables和iptables-save链接在一起实现任意代码执行。 以下三个步骤 1.使用提供的注释功能将…

mysql安装及配置

MySQL 1.安装 & 配置 & 启动 1.1 win系统 第1步:下载安装https://downloads.mysql.com/archives/community/第2步:解压至任意文件夹 建议解压至软件安装目录【我一般习惯安装到C盘根目录,方便查找】第3步:创建配置文件 在MySQL的安装目录下创建 my.ini 的文件,作为…

使用云服务器搭建RustDesk实现远程控制

RustDesk它是一个远程控制的方案,目前处于免费阶段,一种链接使用RustDesk自己的服务器来转发,另一种则是使用自己服务器搭建的进行转发,其实Teamview,向日葵,Todesk之所有流畅就是背后服务器的支持,而在这里使用普通的云服务器就可以流程使用了, 官方地址 https://rust…

【主机持久化】注册表自动运行

HKCU 和 HKLM 中的 AutoRun 值允许应用程序在开机时启动,通常这些值用于启动本机和第三方应用程序,例如软件更新程序、下载助手、驱动程序实用程序等 beacon> cd C:\ProgramData beacon> upload C:\Payloads\http_x64.exe beacon> mv http_x64.exe updater.exe beac…

pbootcms模板如何调用时间 时间格式大全

PbootCMS列表页和详情页中时间格式化的不同样式及其效果:场景 标签 参数 效果列表页 [list:date] 无参数 2021-12-06 09:12:30列表页 [list:date style=Y-m-d] style=Y-m-d 2021-12-06列表页 [list:date style=Y] style=Y 2021列表页 [list:date style=m-d] style=m-d 12-06列…

宝塔面板修改端口号,无法访问_宝塔修改端口后无法访问

宝塔面板修改端口号后无法访问的解决步骤:确认新端口号:确保已正确记下新的宝塔面板端口号。检查防火墙设置:如果服务器有防火墙(如iptables或ufw),确保新的端口已被添加到防火墙规则中允许外部访问。更新DNS解析或hosts文件:如果原来通过域名直接访问宝塔面板,可能需要…

连接Mysql时出现的“no database selected”错误该如何解决?

遇到“no database selected”错误通常是因为在尝试执行SQL查询时没有明确指定要使用的数据库。以下是解决这个问题的步骤:确认连接时已选择数据库在连接数据库之后,确保已经选择了具体的数据库。例如,在MySQL中,可以使用 USE <database_name>; 语句来选择一个数据库…

打开网页显示数据库连接出错

当打开网页时出现“数据库连接出错”的提示,通常意味着网站后端尝试与数据库建立连接时遇到了问题。这可能是由以下几个原因造成的:数据库服务器未启动:确保数据库服务正在运行。 网络问题:检查数据库服务器和应用服务器之间的网络连接是否正常。 配置错误:确认应用程序中…

Navicat连接数据库遭遇1045错误:如何解决及预防措施

遇到 Navicat 连接 MySQL 数据库时出现 1045 错误(访问被拒绝,用户名或密码错误),可以通过以下几个步骤来解决和预防这个问题: 解决方法确认用户名和密码确认在 Navicat 中输入的用户名和密码是否正确。 可以尝试在 MySQL 命令行中验证用户名和密码是否正确。重置密码如果…

连接数据库1045错误

遇到 MySQL 的 1045 错误,通常表示“访问被拒绝,用户名或密码错误”。以下是解决此问题的步骤: 1. 确认用户名和密码检查用户名和密码是否正确:确认登录数据库时使用的用户名和密码是否正确无误。 如果不确定密码,可以尝试重置密码。2. 重置密码通过命令行重置密码:如果忘…

打不开网站并提示网站还原错误如何处理

当遇到“网站还原错误”导致无法打开网站时,可以尝试以下几种方法来解决问题:清除浏览器缓存和Cookies清除浏览器中的缓存数据和Cookies,有时候这些数据可能会导致加载问题。 在浏览器设置中找到“清除浏览数据”选项进行操作。更换浏览器尝试使用不同的浏览器访问该网站,排…

解决网站404页面问题的有效方法

解决网站404页面问题的有效方法主要包括以下几个步骤: 1. 确认具体URL记录下出现404错误的具体URL。 检查URL是否拼写正确或路径是否合理。2. 检查链接有效性确认该URL对应的资源是否存在。 检查是否有文件被误删除或移动。3. 检查服务器配置查看服务器配置文件(如Apache的.h…