在大企業中,安全漏洞的全生命週期管理是難以落地實施的一項工作。然而,這項工作毋庸置疑具有很高的重要性。以下內容主要是介紹全過程漏洞管理的設計思路及實現,通過藉助藍鯨平臺的管控能力及集成能力,對安全漏洞實現了從發現、分派、整改到複覈的自動化閉環管理。
現狀
信息技術深入發展,網絡安全形勢日益嚴峻,蠕蟲病毒和木馬病毒的頻發爆發給全球網絡運行乃至經濟都造成了嚴重影響。據統計,大部分企業平均每4天便會收到網絡信息安全漏洞通報。
面對數據中心大量設備,全依賴人工方式進行漏洞的掃描、任務分派、整改和複覈,耗時耗力難以滿足網公司漏洞整改時限。
每次的漏洞掃描任務中,需要手動執行掃描任務,並將掃描的結果進行處理,按照業務系統、漏洞類型、整改負責人等漏洞信息進行分類、彙總、分發及漏洞任務的整改督辦等,任務重複性高且技術含量較低,耗時費力的同時,存在人工錯漏情況。整體過程缺乏有效流程及機制保證漏洞整改任務有效運行。
設計實現思路
將漏洞整改過程的多個人工參與環節串聯,通過工作流方式實現對漏洞全生命週期的閉環管理。從漏洞掃描發現、篩選分工、覈查通報、執行整改、複覈總結的多個人工參與環節,以系統集成方式,通過統一流程引擎進行自動化機制保證漏洞整改任務高效運行。
基於自動化平臺的敏捷擴展架構,以非侵入式方式集成多個應用系統,打破傳統技術壁壘進行自動化、跨系統、跨組織、代理多人協同作業,以高效率、自監控的自動化流程調度構建漏洞全生命週期管理核心。系統拓撲如下:
從漏洞的發現,到最後的整改複覈結束,整體業務流程如下:
各個環流功能設計如下:
漏洞發現
對接漏洞掃描工具,創建及管理掃描任務,進行指定範圍、指定規則的及指定週期的掃描任務;藉助自動化運維平臺的調度管控能力,提供自定義的掃描能力模塊,按照指定主機進行掃描,靈活處理緊急下發任務。
篩選分工
自動獲取漏洞掃描工具結果,與CMDB平臺進行自動匹配生成漏洞報告,包括應用負責人、整改負責人等;通過漏洞類型、等級、整改負責人等維度進行報表的生成展示,支持各類結果報表的導出。管理員可針對特殊漏洞關鍵字設置相應的專責人員,在生成漏洞匹配CMDB配置信息過程中,讀取該特殊漏洞,將漏洞篩選至指定的專責人員。
覈查通報
針對漏洞的高、中、低危三種級別設置漏洞過期提醒時間,在生成漏洞智能化篩選分工後,發送第一次漏洞未整改郵件至相關負責人。在過期時間後,發送第二次未整改漏洞郵件至相關負責人。每週統計未整改漏洞郵件發送至相關負責人。同時,支持管理手動觸發郵件的發送以及關閉功能。
執行整改
根據漏洞信息,勾選相應漏洞跳轉至漏洞管理平臺(Windows、Linux、Weblogic)進行補丁及漏洞的修復。整改完成後,在平臺上進行漏洞信息的確認,並上傳相應的整改報告,統一管控。
複覈總結
根據勾選的服務器以及漏洞,生成複覈任務,通過接口驅動調度漏洞掃描工具,進行服務器整改後漏洞信息的再次確認,生成整改複覈結果,實現閉環管理。如確認某漏洞無法整改,漏洞管理員確認後審覈通過,此後漏洞掃描器不再掃描已確認誤報/無法整改的漏洞,進行漏洞掃描器的優化。
建設成效
漏洞全生命週期管理工具建設對信息安全漏洞實現了從發現、分派、整改到複覈的自動化閉環管理。面對多種服務器緊急漏洞整改任務,極大降低人工工作量提升整改時效,保障應用系統的安全穩健運行。
將安全漏洞的掃描、修補和複覈流程自動串聯,自動化的調用安全掃描工具針對不同的數據中心對象進行掃描,針對掃描結果結合配置庫關聯相關負責人,自動生產作業計劃,由不同的負責人利用自動化修補工具對服務器進行漏洞修補,最後針對整改結果實現一鍵複覈掃描,將之前的手工作業轉化爲完全自動的計劃性任務執行,打造全自動漏洞修補工作流實現對漏洞全生命週期的閉環管理。
面對多種服務器緊急漏洞整改任務,還通過自動化工具替代了人工逐臺修補,極大降低人工工作量提升整改時效,保障應用系統的安全穩健運行。
作者:龍成意
出品:嘉爲科技