两高一弱
面对全球网络攻击日趋组织化、产业化的严峻态势,需要通过持续化、常态化的安全风险管理,为政府、企事业单位整体的信息系统运行提供保障,帮助其安全水平实现从“基础合规”到“有效防护”的升级。其中,资产安全管理的水平决定了组织安全风险管理能力的上限。然而,网络中长期存在的“两高一弱”(高危漏洞、高危端口、弱口令)问题,严重制约了政企单位整体网络安全水平的提升。
近年来,公安机关及各行业主管部门高度重视“两高一弱”问题,持续开展专项整治行动,针对重点行业单位互联网资产和内网资产的安全风险隐患,形成常态化排查和整改机制,旨在减少政企单位资产脆弱点,提高整体安全防御能力。在此背景下,建立一套行之有效的“两高一弱”场景凯发官网入口首页的解决方案对政企单位网络安全运营工作而言迫在眉睫。
天融信根据多年的信息安全领域研究成果和项目经验,针对高危漏洞、高危端口服务和弱口令等低投入、高收益的攻击特点,推出资产探测与发现、脆弱性采集和脆弱性分析管理的“三步走”综合整治方案。该方案的核心优势是能够进行资产信息、脆弱性信息与脆弱性管理动作之间的关联,进而支撑资产脆弱性识别与处置,辅助安全风险与事件处置,协助政企单位针对“两高一弱”问题开展日常安全管理与运营工作。
第一步 资产探测与发现
从安全实战的视角来看,只要是可操作的对象,不管是实体还是属性,都可以称之为“网络资产”。政企单位的网络资产从业务管理视角来看,可分为互联网暴露面资产和内网资产两大部分。
互联网暴露面资产通常包括:ip、url、端口、服务、公有云、saas应用等网络资产。
内网资产通常包括:硬件设备、软件、数据库、操作系统、虚拟机、容器、物联网设备、打印机外设等网络资产。
政企单位首先依托于相关产品和服务,建设自身资产发现与识别能力,建立互联网资产台帐、内网资产台帐、资产映射关系表、网络拓扑图等资产管理机制。其次,在资产发现与识别能力建设基础上,再建设资产标识能力,包括所属业务、应用、组织、责任人,以及资产类别、安全级别、部署位置等属性。
发现与识别能力是资产管理的基础,标识能力则决定了资产管理能够发挥的最大效用。在资产底数不清的情况下,针对资产存在的高危漏洞、高危端口和弱口令,信息采集、修复、整改、封堵、管理等网络安全工作将无从开展。
引用业内一句话:你保护不了你看不见的东西。
第二步 脆弱性采集
政企单位在建设好资产发现识别以及资产标识能力的基础上,还需进一步开展脆弱性采集工作。脆弱性采集常见的手段有以下四种:
● 扫描工具搜集
通过建立扫描任务,选定扫描器、选择白名单、制定扫描目标、配置扫描端口,搜集网络内系统漏洞、开放端口、弱口令情况。
● 人工搜集
通过在线检查和离线破解手段,对政企单位内外网系统和应用进行脆弱性检查,包括:邮箱、oa、应用类系统、外部系统、工控系统、数据库系统、中间件、操作系统等网络资产。
● 报告导入
通过导入政企单位已有的脆弱性报告/成果,或者第三方评估团队的脆弱性报告/成果,进行脆弱性采集。
● 其他搜集方式
建立协同或者整合任务,由安管部门和安服人员对已经发现的脆弱性建立报表,并进行消冗、去重、合并和补全。
政企单位可以根据脆弱性采集成果,梳理形成“两高一弱”台帐清单,为后续建立脆弱性管理机制奠定坚实的基础。
第三步 脆弱性分析管理
通过资产探测与发现、脆弱性采集工作开展,政企单位已经可以充分识别自身资产及其脆弱性,在此基础之上开展分析和管理工作。
脆弱性分析
政企单位结合自身情况,可以通过优先级评估算法模型对脆弱性进行加权评分。对于带有多个漏洞实例的资产,方案支持同时对多个脆弱性风险值进行加权计算,客观反映资产脆弱性风险情况。方案从漏洞危害等级分布、高危漏洞类型占比、高危主机漏洞影响资产以及漏洞趋势等方面,针对政企单位网络范围内的所有脆弱性问题进行集中分析。
脆弱性管理
● 脆弱性通报预警管理
向安全管理部门上报平台资产和脆弱性情况,同时对接安全管理部门下发的工单指令和任务指令等,对上报数据传输进行记录,对上报状态进行展示和反馈。
● 漏洞全生命周期管理
关联资产漏洞和漏洞预警等信息,历经研判、整改、复测、审核等具体阶段,对每个阶段指定责任人进行分段分权管理,形成漏洞处置闭环。
● 脆弱性整改考核管理
根据政企单位自身的情况制定考核规则,从脆弱的接收数量、脆弱性处置数量、脆弱性处置率、处置及时率和告警修复率等多维度,对脆弱性处置情况进行统计分析及考核管理。
在《gb/t 20984-2022 信息安全技术 信息安全风险评估方法》中,将“安全措施”列为除资产、威胁、脆弱性之外的第四大风险要素。“安全措施”失效、无效,本身就是一种极大的安全风险,政企单位需要定期对当前安全措施的有效性开展验证工作。天融信提出两种针对安全措施的有效性验证机制:一是采用入侵和攻击模拟系统,针对“两高一弱”制定的安全策略有效性进行验证;二是采用自动化渗透测试系统,针对网络资产进行安全加固整改后的效果进行验证。
● 脆弱性态势管理
对各项脆弱性指标、资产数据、安全告警以及高危漏洞、高危端口、弱口令、安全基线等数据的负责人和处置情况进行实时追踪,对资产的总体状况和脆弱性情况进行集中管理,充分明确漏洞的影响范围,对政企单位内脆弱性影响资产、告警资产、受影响的资产和受影响的业务系统,做到“心中有数”。
topsec
“两高一弱”的专项问题整治,不应只是为了应付检查、应对重要时期保障的临时性工作,政企单位应从组织机构、人员素养、制度流程和技术工具四个维度不断建设完善自身网络安全能力,要将偶尔的“百米短跑”变成持久的“马拉松”,实现网络安全的实战化、体系化、常态化。
“谋长远之策,行固本之举”,天融信推出针对“两高一弱”的“三步走”综合整治方案,包含产品工具、规划咨询和技术服务,以资产发现管理为起点,以脆弱性全生命周期管理为终点,形成动态循环。各政企单位可根据自身实际情况选择适合的凯发官网入口首页的解决方案,构建针对“两高一弱”专项问题的闭环管理长效机制。
未来,天融信将持续监控并关注最新的安全风险和攻击手段,并根据这些信息不断优化、迭代产品和服务,确保能够帮助各政企单位有效应对不断变化的安全挑战,携手“建久安之势,成长治之业”!