让威胁情报向企业日常安全运营跨进一步

百家 作者:绿盟科技 2017-09-12 09:29:32

RSA 2017,IDG旗下国际权威媒体Network World网站收录了RSA 2017 中展示的48款热点产品。绿盟威胁情报中心(NTI)凭借自身优势成为48款热点产品中,唯一入选的“中国造”。在成为热点产品的背后,不仅是因为绿盟科技在技术端做的大量投入,同样,以实际用户场景解决应用更是公司关注研究方向。

认识威胁情报

“威胁情报”是近两年来被安全界提及最多的词汇之一,安全威胁情报是安全服务厂商和安全组织得到安全预警通告、漏洞通告、威胁通告等,能帮助安全管理人员识别安全威胁并做出有效决策的信息。

以下,我们介绍威胁情报中有关漏洞的新认知——漏洞情报的典型应用场景。

平常我们看到的漏洞情报表现形式是这样的:

或者有些漏洞情报是这样的:

这些威胁情报信息由专业的安全厂商或者上级安全主管部门所提供,数据来源则是通过收集大量基础信息、监测互联网流量,或将企业的网络也纳入检测的范围,以获得该企业特定安全情报信息。

企业如何响应漏洞情报

但是,这些情报能被企业真正利用好吗?我们通过与客户的深入沟通,了解到企业对漏洞情报的应用存在以下疑问:

1.  上级发布的漏洞安全通报如何与业务系统产生关联?

2.   如何快速评估某漏洞情报在企业的影响范围?

3.   针对每个漏洞情报,需要人工逐一登录系统排查,如何才能更高效?

目前,在大型企业的上百系统资产的环境下,要实现全面检查至少需要多个工作日甚至更长,而且还无法确保不存在漏网之鱼,其效率比较低下。

高效开展漏洞情报响应思路

目前,漏洞情报都有四个重要信息:威胁来源、影响范围、漏洞编号、漏洞危害

企业高效开展漏洞情报响应工作,思路就在于如何根据上述信息,快速提取情报的三要素(软件名、版本号、CVE编号),并实现企业内部资产的快速定位。

1.  采集资产信息:包括业务系统IP、软件清单、软件版本号等关键信息;

2.  建立资产库:根据采集资产的信息建立资产信息库;

3.  情报关联企业资产库:通过将漏洞情报提供的关键信息排查受影响的IP,快速定位影响范围;

4.  应急措施:针对漏洞情报影响的范围开展安全防护措施,例如打补丁、修改安全配置、临时添加访问控制策略等。

如何落实漏洞情报响应

可将资产信息采集工具集成到漏洞管理平台,定期采集服务器系统组件版本并自动上传,形成可以用于关联外部漏洞情报与内网资产的数据库,通过检索查询即可确定威胁的影响范围,安全管理员还可通过漏洞管理平台进行统一的漏洞信息管理,大大提升安全运维的工作效率。其步骤如下:

1.一键采集:

采用专用软件,可以方便、准确的一键导出当前应用系统的软件版本。如下图所示:

2.采集信息导入:

将采集到的软件版本列表通过导入到资产数据库中,形成全网的资产库。

3.漏洞情报要素提取:

对于漏洞情报需要提取的三要素:软件名称、版本号、CVE ID,利用这三要素进行关键字查询。

4.影响范围评估:

通过输入软件名称或者版本号等要素可以快速搜索到对应资产,确定漏洞的影响范围。

5.临时安全措施:

安全运维人员结合企业现场安全防护措施提供安全建议,例如在线打补丁、设备下线、修改安全配置、调整安全设备策略等等,快速采取措施控制风险影响。

威胁情报的快速应急响应流程如下:


结语

威胁情报将会成为企业日常安全运营有效的工具和手段,只不过目前对用户安全工作带来的帮助有限,其原因还是难以关联企业的安全运维场景。绿盟科技始终不断的研究和探索如何将安全解决方案在客户环境中落地,帮助客户解决实际的安全问题。





请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接