【安全运营】漏洞全流程自动化动态清零运营与实践

一、战术思路二、技战法详情三、应用效果

原创 杨启维 安全村SecUN

随着各类安全漏洞频出，极易造成漏洞修复不及时系统被入侵；与此同时，银行的应用系统关联关系复杂，而漏洞的修复大部分会改变系统的全局参数，极有可能影响业务连续性。如何快速对接多源头漏洞数据，缩短风险窗口时间、提高漏洞处置效率，同时如何解决手工修复漏洞的操作风险是安全漏洞管理一直以来面临的业务痛点。中信银行在多年技术流程打磨的基础上，开发并建立一套全流程自动化安全漏洞识别和处置机制，实现安全漏洞“动态清零”。且在具备自动化修复方案后，漏洞从识别到关联自动化变更修复，平均时间控制在10分钟内，达到快速完成系统加固以抵御外部网络攻击的目的。

一、战术思路

对于来自全栈云漏洞、容器漏洞、网络及特种设备扫描漏洞、HIDS主机入侵检测、情报漏洞、渗透测试漏洞等多途径、多源头的漏洞输入，中信银行依托安全运营管理平台、安全漏洞管理平台、安全漏洞整改相关系统等8套系统，完成漏洞分级分类、CMDB资产信息补充，关联自动化修复方案，分派漏洞修复整改工单，漏洞自动化验证工作，实现线上化安全漏洞全生命周期管理。通过“标准化、流程化、自动化”模型建立安全漏洞管理体系，实现漏洞“动态清零”处置。

二、技战法详情

(一)建立安全漏洞评估机制，提升海量漏洞管理工作成效

针对上述多途径、多来源的漏洞，结合漏洞可利用性（POC\EXP\武器化工具）、漏洞CVSS评分，建立矩阵计算模型，组织安全评估团队开展漏洞评审，评审结果按照行内漏洞等级整改要求进行后续的漏洞整改工作。
安全漏洞评估机制的建立，突破了传统由高到低修复漏洞的管理方式，建立以问题和实战为导向，以漏洞不被攻击者利用并产生危害和影响为目标，根据漏洞利用条件、CVSS评分评估漏洞优先修复对象，快速推动修复，在有限资源下提升海量漏洞管理工作成效。

(二)建立漏洞修复方案库，实现漏洞修复自动化处置

针对已收录的漏洞信息，我行漏洞修复方案研发团队开展已知漏洞修复脚本的研发，建立安全漏洞自动化修复方案库，截至目前我行已累计具备自动化修复的漏洞类型达426种。
针对官方最新发布的漏洞信息，由漏洞修复方案研发团第一时间开展安全漏洞修复脚本的编写，录入自动化修复方案库中。统计历史数据计算，从漏洞预警、研发、投产并推广修复，漏洞自动化修复方案平均研发时间可实现十小时级别。

(三)建立安全漏洞管理流程，实现漏洞分级责任人分派

通过安全运营管理平台、安全漏洞管理平台对采集上述的多途径来源漏洞，进行分类分级、聚合，补充资产信息、自动化修复方案、定位漏洞处置管理员、分派整改工单，下发漏洞整改工单，回传安全漏洞管理平台，记录漏洞工单的状态及自动化处置情况。
漏洞数据精细化处置核心模块和详情如下：

1.安全运营管理平台数据处置：
1）通过kafka消费已采集的漏洞信息数据（topic1）；
2）针对获得的漏洞数据，做消费处理，处理包含：
a.对同一主机同一漏洞，存在多个应用路径的情况做拆分，拆分成多条漏洞数据；
b.记录漏洞发现时间、漏洞的状态（修复、未修复、逾期等）、以及修复时间（根据漏洞等级匹配）；
c.根据多个字段组合生成漏洞的唯一标识；
3）将二次处理的数据，发送至kafka的topic2；
4）根据回传漏洞整改单号并做漏洞验证。

2.漏洞管理平台数据处置：
1）通过kafka消费安全运营平台处理过的数据（topic2）；
2）针对获得的漏洞数据，做二次处理，处理包含：
a.补充从cmdb获取到的信息，包括开发领域、系统运维领域、处理人；
b.补充由基础软件管理域提供的修复方案；
c.漏洞软件路径录入：如entegor、分布式数据库等；
3）漏洞派单，派发问题工单、整改工单，并传回单号至安全运营管理平台；
4）调用安全运营管理平台验证工单是否修复；
5）漏洞管理平台漏洞展示、漏洞看板展示。

(四)建立漏洞修复自动化变更流程，实现自动化整改、实施与验证

我行自建自动化运维管理平台（简称：PAAS中台），主要承载所有基础设施层面变更的自动化管理工作。安全漏洞修复依托此平台，通过定制化功能开发采用独立的流程分支，实现安全漏洞修复的自动化变更实施。
漏洞修复自动化变更，系统管理员只需按照自动化模板填入相关参数，包含字段：系统名称、IP地址、实施时间、PAAS方案等，关联安全漏洞自动化修复脚本，自动生成变更工单，PAAS变更传参自动提取模板需要的参数值，执行漏洞修复自动化变更，自动化变更平均实施时间在10分钟左右。
变更实施完成后，安全漏洞管理平台触发漏洞自动验证，验证通过后关闭整改待办工单，验证不通过则返回未修复漏洞清单进一步分析处置，同时记录修复时间及对应的变更单号。

(五)达成安全漏洞“动态清零”的管理目标

以上漏洞修复技术方案建立后，我行安全漏洞从发现到有效修复平均时间由15个工作缩短为1个工作日内，实现安全漏洞当日发现当日修复的“动态清零”目标，整体缩短了安全风险的敞口，提升了安全风险的管理目标。

三、应用效果

通过该自动化安全漏洞识别和处置机制、实现安全漏洞“动态清零”和安全风险整改常态化和闭环管理，大幅度提升了安全风险的督办和整改效率。2023年度我行通过自动化发现和处置安全漏洞二十余万，达成整体整改率99.96%，主机漏洞自动化修复实施时间平均10分钟，覆盖全行19万+台主机服务器，应用系统应对已知漏洞的能力得到显著增强。

作者介绍

杨启维，中信银行网络安全运营专家，在安全漏洞管理，体系安全建设方面有丰富的工作经验。

关于 大湾区金融安全专刊

大湾区专刊现已发布第1辑和第2辑，集合了全国数十家金融和科技机构的网络安全工作经验总结，更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向，希望能为从业者提供网络安全防护方面的整体思路，向行业传播可持续金融创新和实践经验，为推动可持续金融生态发展汇聚智慧与力量。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

参考🔗

https://mp.weixin.qq.com/s/jltR3I6LCn8XRI9mgohhiQ