在大企业中,安全漏洞的全生命周期管理是难以落地实施的一项工作。然而,这项工作毋庸置疑具有很高的重要性。以下内容主要是介绍全过程漏洞管理的设计思路及实现,通过借助蓝鲸平台的管控能力及集成能力,对安全漏洞实现了从发现、分派、整改到复核的自动化闭环管理。
现状
信息技术深入发展,网络安全形势日益严峻,蠕虫病毒和木马病毒的频发爆发给全球网络运行乃至经济都造成了严重影响。据统计,大部分企业平均每4天便会收到网络信息安全漏洞通报。
面对数据中心大量设备,全依赖人工方式进行漏洞的扫描、任务分派、整改和复核,耗时耗力难以满足网公司漏洞整改时限。
每次的漏洞扫描任务中,需要手动执行扫描任务,并将扫描的结果进行处理,按照业务系统、漏洞类型、整改负责人等漏洞信息进行分类、汇总、分发及漏洞任务的整改督办等,任务重复性高且技术含量较低,耗时费力的同时,存在人工错漏情况。整体过程缺乏有效流程及机制保证漏洞整改任务有效运行。
设计实现思路
将漏洞整改过程的多个人工参与环节串联,通过工作流方式实现对漏洞全生命周期的闭环管理。从漏洞扫描发现、筛选分工、核查通报、执行整改、复核总结的多个人工参与环节,以系统集成方式,通过统一流程引擎进行自动化机制保证漏洞整改任务高效运行。
基于自动化平台的敏捷扩展架构,以非侵入式方式集成多个应用系统,打破传统技术壁垒进行自动化、跨系统、跨组织、代理多人协同作业,以高效率、自监控的自动化流程调度构建漏洞全生命周期管理核心。系统拓扑如下:
从漏洞的发现,到最后的整改复核结束,整体业务流程如下:
各个环流功能设计如下:
漏洞发现
对接漏洞扫描工具,创建及管理扫描任务,进行指定范围、指定规则的及指定周期的扫描任务;借助自动化运维平台的调度管控能力,提供自定义的扫描能力模块,按照指定主机进行扫描,灵活处理紧急下发任务。
筛选分工
自动获取漏洞扫描工具结果,与CMDB平台进行自动匹配生成漏洞报告,包括应用负责人、整改负责人等;通过漏洞类型、等级、整改负责人等维度进行报表的生成展示,支持各类结果报表的导出。管理员可针对特殊漏洞关键字设置相应的专责人员,在生成漏洞匹配CMDB配置信息过程中,读取该特殊漏洞,将漏洞筛选至指定的专责人员。
核查通报
针对漏洞的高、中、低危三种级别设置漏洞过期提醒时间,在生成漏洞智能化筛选分工后,发送第一次漏洞未整改邮件至相关负责人。在过期时间后,发送第二次未整改漏洞邮件至相关负责人。每周统计未整改漏洞邮件发送至相关负责人。同时,支持管理手动触发邮件的发送以及关闭功能。
执行整改
根据漏洞信息,勾选相应漏洞跳转至漏洞管理平台(Windows、Linux、Weblogic)进行补丁及漏洞的修复。整改完成后,在平台上进行漏洞信息的确认,并上传相应的整改报告,统一管控。
复核总结
根据勾选的服务器以及漏洞,生成复核任务,通过接口驱动调度漏洞扫描工具,进行服务器整改后漏洞信息的再次确认,生成整改复核结果,实现闭环管理。如确认某漏洞无法整改,漏洞管理员确认后审核通过,此后漏洞扫描器不再扫描已确认误报/无法整改的漏洞,进行漏洞扫描器的优化。
建设成效
漏洞全生命周期管理工具建设对信息安全漏洞实现了从发现、分派、整改到复核的自动化闭环管理。面对多种服务器紧急漏洞整改任务,极大降低人工工作量提升整改时效,保障应用系统的安全稳健运行。
将安全漏洞的扫描、修补和复核流程自动串联,自动化的调用安全扫描工具针对不同的数据中心对象进行扫描,针对扫描结果结合配置库关联相关负责人,自动生产作业计划,由不同的负责人利用自动化修补工具对服务器进行漏洞修补,最后针对整改结果实现一键复核扫描,将之前的手工作业转化为完全自动的计划性任务执行,打造全自动漏洞修补工作流实现对漏洞全生命周期的闭环管理。
面对多种服务器紧急漏洞整改任务,还通过自动化工具替代了人工逐台修补,极大降低人工工作量提升整改时效,保障应用系统的安全稳健运行。
作者:龙成意
出品:嘉为科技