1. Requisitos de gerenciamento de vulnerabilidade sob leis e regulamentos
Vulnerabilidades são recursos estratégicos para ataque e defesa de rede.
Nos últimos anos, os Estados Unidos promulgaram uma série de regulamentos e projetos de lei relacionados ao gerenciamento de divulgação de vulnerabilidades, e seu gerenciamento de divulgação de vulnerabilidade é muito rigoroso e cauteloso. Não é difícil ver que os Estados Unidos há muito consideram as vulnerabilidades como armas cibernéticas para mineração, coleta e controle estrito. Como uma empresa de segurança de rede que desempenha um papel importante na cadeia de gerenciamento de vulnerabilidades, ela também deve usar sua própria tecnologia de segurança e vantagens de talentos para desempenhar um papel mais importante na descoberta, reparo e eliminação de vulnerabilidades e melhorar o nível de nacional e proteção de segurança de rede social.
1.1 Requisitos regulamentares domésticos
Atualmente, existem alguns regulamentos de gerenciamento sobre brechas na China:
1º de junho de 2019: O "Regulamento de Gerenciamento de Vulnerabilidade de Segurança de Rede (Rascunho para Comentário)" do Ministério da Indústria e Tecnologia da Informação foi atualizado em 12 de julho de 2021: O Ministério da Indústria e Tecnologia da Informação, o Escritório Estadual de Informações da Internet e
o Ministério da Segurança pública "Regulamentos de gerenciamento de vulnerabilidade de segurança de produtos de rede" setembro de 2021 Em vigor em
31 de dezembro de 2013: Padrão nacional | "GB/T 30276-2013 Especificação de gerenciamento de vulnerabilidade de segurança de tecnologia de segurança da informação" foi invalidada em
19 de novembro de 2020: Padrão nacional | "GB /T 30276-2020 Especificação de gerenciamento de vulnerabilidade de segurança de rede de tecnologia de segurança da informação
1.1.1 Qual é o propósito e significado dos "Regulamentos de Gerenciamento de Vulnerabilidade de Segurança de Produtos de Rede"?
O principal objetivo é manter a segurança da rede nacional, proteger a operação segura e estável de produtos de rede e sistemas de rede importantes; padronizar a descoberta de vulnerabilidades, relatórios, reparo e liberação, etc. tais atividades; incentivar várias entidades a usar suas respectivas vantagens técnicas e de mecanismo para realizar trabalhos relacionados, como descoberta, coleta e liberação de vulnerabilidades. A promulgação do "Regulamento" promoverá a institucionalização, padronização e legalização do gerenciamento de vulnerabilidades de segurança de produtos de rede, melhorará o nível de gerenciamento de vulnerabilidades das entidades relevantes, orientará a construção de canais de coleta e liberação de vulnerabilidades padronizados, ordenados e dinâmicos e prevenirá principais riscos na segurança da rede Garantir a segurança da rede nacional.
1.1.2 Responsabilidades do Comitê Técnico Nacional de Padronização de Segurança da Informação "GB∕T 30276-2020 Especificação de Gerenciamento de Vulnerabilidade de Segurança de Rede de Tecnologia de Segurança da Informação"
O processo de gerenciamento, requisitos de gerenciamento e métodos de verificação de cada estágio do processo de gerenciamento de vulnerabilidade de segurança de rede (incluindo descoberta e relatório de vulnerabilidade, recepção, verificação, descarte, liberação, rastreamento, etc.).
1.2 Interpretação de "Regulamentos sobre o Gerenciamento de Vulnerabilidades de Segurança de Produtos de Rede"
É dividido em três tipos de objetos de gerenciamento, que são operadores de rede para empresas:
1.2.1 Os "Regulamentos de Gerenciamento de Vulnerabilidades de Segurança de Produtos de Rede" confirmam dois tipos de responsabilidades de assunto
Quer se trate de um fornecedor de produtos de rede ou de um operador de rede, deve estabelecer e melhorar os canais para receber informações de vulnerabilidade de segurança de produtos de rede e mantê-los abertos e manter registros de recepção de vulnerabilidades por pelo menos 6 meses.
Provedor de produtos de rede:
Recepção: Um canal para receber informações sobre vulnerabilidades de segurança de produtos de segurança de rede deve ser estabelecido e mantido desimpedido, e os registros de recepção de vulnerabilidades devem ser mantidos por no mínimo 6 meses.
Depois de descobrir ou saber que existem vulnerabilidades de segurança nos produtos de rede fornecidos:
Verificação: Tome medidas imediatamente e organize a verificação e avaliação de vulnerabilidades de segurança e notifique imediatamente os fornecedores de produtos relacionados upstream.
Envio: As informações de vulnerabilidade relevantes devem ser enviadas à plataforma de compartilhamento de ameaças e vulnerabilidades de segurança de rede do Ministério da Indústria e Tecnologia da Informação em até 2 dias.
Reparo: O reparo da vulnerabilidade deve ser organizado em tempo hábil, e os usuários do produto que podem ser afetados pelo risco da vulnerabilidade e o método de reparo devem ser notificados em tempo hábil, e o suporte técnico necessário deve ser fornecido.
Operador de rede:
Recepção: Um canal seguro para receber informações de vulnerabilidade de segurança de produtos de rede deve ser estabelecido e mantido desimpedido, e os registros de recepção de vulnerabilidades devem ser mantidos por pelo menos 6 meses.
Reparação: Após descobrir ou saber que existem vulnerabilidades de segurança na sua rede, sistema de informação e equipamentos, deverá de imediato tomar medidas para verificar as vulnerabilidades de segurança e concluir a reparação em tempo útil.
1.2.2 "Regulamentos sobre o gerenciamento de vulnerabilidades de segurança de produtos de rede" incentiva as empresas a estabelecer um mecanismo de recompensa para vulnerabilidades de segurança
Disposições:
Artigo 6: Incentivar organizações e indivíduos relevantes a notificar os provedores de produtos de rede sobre brechas de segurança em seus produtos.
Artigo 7: Incentivar os provedores de produtos de rede a estabelecer um mecanismo de recompensa para as vulnerabilidades de segurança dos produtos de rede que fornecem e recompensar organizações ou indivíduos que descobrirem e relatarem vulnerabilidades de segurança dos produtos de rede que fornecem.
Impacto:
os chapéus brancos são uma força técnica que não pode ser ignorada na indústria de Internet da China. No momento, a maioria dos fornecedores de produtos de segurança de rede tem seu próprio Departamento de Resposta a Emergências de Segurança (SRC). Esses departamentos da empresa realizam conferências anuais de recompensa para os que apresentam vulnerabilidades. É equivalente a recompensar "chapéus brancos" externos para ajudá-los a melhorar a segurança do produto. Os "Regulamentos" divulgados desta vez esclarecem ainda mais o gerenciamento padronizado de vulnerabilidades de rede do nível de políticas e regulamentos, padronizam o tratamento e o processo de ciclo de vida de vulnerabilidades de produtos de rede e proíbem o uso de vulnerabilidades para se envolver em atividades ilegais.
Os "Regulamentos" também incentivam várias entidades do ecossistema de segurança a aproveitar ao máximo suas próprias vantagens, mobilizar empresas e organizações sociais para construir suas próprias plataformas de gerenciamento de vulnerabilidades e participar e realizar trabalhos relacionados, como descoberta de vulnerabilidades, coleta e liberação de forma padronizada.
A liberação dos regulamentos também terá um impacto positivo nas empresas envolvidas na operação de plataformas de vulnerabilidade e na pesquisa e desenvolvimento de plataformas de gerenciamento de ciclo de vida de vulnerabilidade.
1.2.3 Requisitos para a emissão do "Regulamento sobre o Gerenciamento de Vulnerabilidades de Segurança de Produtos de Rede"
(1) As informações de vulnerabilidade não devem ser publicadas antes que o provedor de produtos de rede forneça medidas de reparo de vulnerabilidade de segurança de produtos de rede; se for considerado necessário liberar com antecedência, ele deve avaliar e negociar em conjunto com o provedor de produtos de rede relevante e relatar ao Ministério da Indústria e Tecnologia da Informação e do Ministério da Segurança Pública, divulgado após avaliação do Ministério da Indústria e Tecnologia da Informação e do Ministério da Segurança Pública.
(2) Não é permitida a divulgação de detalhes de brechas de segurança nas redes, sistemas de informação e equipamentos utilizados pelos operadores de rede.
(3) Não exagere deliberadamente os danos e riscos das vulnerabilidades de segurança de produtos de rede e não use informações sobre vulnerabilidades de segurança de produtos de rede para realizar especulações maliciosas ou conduzir fraudes, extorsões e outras atividades ilegais e criminosas.
(4) Não deve publicar ou fornecer programas e ferramentas especialmente projetados para explorar brechas de segurança de produtos de rede para se envolver em atividades que ponham em risco a segurança da rede.
(5) Ao publicar vulnerabilidades de segurança de produtos de rede, medidas preventivas ou de reparo devem ser lançadas simultaneamente.
(6) Durante grandes eventos realizados pelo país, sem o consentimento do Ministério da Segurança Pública, informações sobre vulnerabilidades de segurança de produtos de rede não devem ser divulgadas sem autorização.
(7) Não fornecer informações de vulnerabilidade de segurança de produtos de rede não divulgadas a organizações estrangeiras ou indivíduos que não sejam fornecedores de produtos de rede.
(8) Outras disposições relevantes de leis e regulamentos.
1.2.4 "Regulamentos de gerenciamento de vulnerabilidade de segurança de produto de rede" Requisitos da plataforma de coleta de vulnerabilidade
(1) As organizações envolvidas na descoberta e coleta de vulnerabilidades de segurança de produtos de rede devem fortalecer o gerenciamento interno e tomar medidas para evitar que informações de vulnerabilidade de segurança de produtos de rede vazem e publiquem em violação dos regulamentos.
(2) As plataformas de coleta de vulnerabilidades de segurança de produtos de rede precisam arquivar no Ministério da Indústria e Tecnologia da Informação. Após o Ministério da Indústria e Tecnologia da Informação notificar imediatamente o Ministério da Segurança Pública e a Administração do Ciberespaço da China, ele publicará as plataformas de coleta de vulnerabilidades que passaram pelo arquivamento.
(3) Incentivar as organizações a coletar vulnerabilidades de segurança em quatro plataformas principais: Plataforma de Compartilhamento de Informações de Ameaças e Vulnerabilidades de Segurança de Rede do Ministério da Indústria, Plataforma de Vulnerabilidade do Centro de Notificação de Informações de Segurança e Rede Nacional, Plataforma de Coordenação de Processamento de Tecnologia de Emergência de Rede Nacional de Computadores Plataforma de Vulnerabilidade , China Avaliação de segurança da informação A biblioteca central de vulnerabilidades relata informações de vulnerabilidade de segurança de produtos de rede.
1.2.5 Penalidades relativas ao Regulamento sobre Administração de Vulnerabilidades de Segurança de Produtos de Rede
(1) Se o provedor de produtos de rede não tomar medidas para remediar ou relatar vulnerabilidades de segurança de produtos de rede de acordo com estes regulamentos, o Ministério da Indústria e Tecnologia da Informação e o Ministério da Segurança Pública lidarão com isso de acordo com suas respectivas responsabilidades.
(2) Se o operador de rede não tomar medidas para reparar ou prevenir vulnerabilidades de segurança de produtos de rede de acordo com estes regulamentos, o departamento competente relevante deverá tratá-lo de acordo com a lei; se constituir a situação especificada no Artigo 62 do "Network Lei de Segurança da República Popular da China", será punido de acordo com este regulamento. punição.
(3) Aqueles que violarem estes regulamentos para coletar e liberar informações sobre vulnerabilidades de segurança de produtos de rede serão tratados pelo Ministério da Indústria e Tecnologia da Informação e pelo Ministério de Segurança Pública de acordo com suas respectivas responsabilidades. (4) Usando a segurança de produtos de
rede vulnerabilidades para exercer atividades que coloquem em risco a segurança da rede ou utilizar produtos de rede para terceiros Aqueles que prestam suporte técnico para atividades que coloquem em risco a segurança da rede por meio de vulnerabilidades de segurança serão tratados pelos órgãos de segurança pública na forma da lei.
2. Pontos problemáticos de gerenciamento de vulnerabilidades em cenários reais
O número de vulnerabilidades de segurança de rede aumentará exponencialmente.Com o avanço da proteção graduada 2.0, os "Regulamentos de gerenciamento de vulnerabilidades de segurança de produtos de rede" serão emitidos. Como o elo mais básico e importante na proteção de segurança de rede, o gerenciamento de vulnerabilidades não pode ser relaxado o tempo todo.
2.1 Principais riscos de segurança enfrentados pelas empresas
Nos últimos anos, com o rápido desenvolvimento da Internet, a gama de aplicativos de produtos de rede usados para realizar várias funções interativas de rede tornou-se cada vez mais ampla, mas também surgiram problemas de segurança causados por vulnerabilidades de software e hardware. As estatísticas do CNNVD, banco de dados nacional de vulnerabilidades de segurança da informação da China, mostram que, em 30 de junho, o número total de vulnerabilidades coletadas pelo CNNVD para a Internet chinesa no primeiro semestre de 2021 atingiu 9.639, com um número médio mensal de 1.607.
De acordo com a ação de HW do Ministério da Segurança Pública nos últimos dois anos, um dos 12 principais problemas de segurança é: a baixa velocidade de reparo de vulnerabilidades
Quer seja a partir dos resultados da pesquisa da organização Gartner, ou da experiência intuitiva resumida pelas operações de proteção de rede do Ministério da Segurança Pública, a principal razão para os incidentes de segurança é que as vulnerabilidades de segurança conhecidas não são descobertas e corrigidas de forma eficaz. Vulnerabilidades conhecidas são um grande risco! Para descobrir e corrigir vulnerabilidades críticas em tempo hábil, o mais importante é aprimorar os recursos de detecção abrangentes e os recursos eficientes de gerenciamento de loop fechado de vulnerabilidades.
2.2 Pontos problemáticos do ciclo de vida da vulnerabilidade real
Há 19 anos, o ciclo de vida de vulnerabilidade de aplicativos da China Eastern Airlines formou um gerenciamento de circuito fechado, mas muito trabalho é feito manualmente ou offline, o que é complicado. No estágio de detecção de vulnerabilidade, o pessoal de segurança conduz a detecção de vulnerabilidade por meio de verificação de dispositivo de segurança pontual e teste de penetração manual. Existem muitos pontos de dor:
2.2.1 Pontos problemáticos na fase de detecção de vulnerabilidade
1. Os ativos de rede internos e externos são enormes e a varredura de vulnerabilidade é difícil
2. É necessário escrever manualmente os scripts de teste e um grande número de intervenções manuais contínuas são necessárias para concluir o teste.
2.2.2 Pontos problemáticos no estágio de classificação de vulnerabilidade
Depois que a vulnerabilidade é detectada, o nível de risco da vulnerabilidade é calculado manualmente de acordo com os 10 parâmetros do padrão internacional de pontuação de vulnerabilidade CVSS e o período de reparo é definido.
2.2.3 Pontos problemáticos na etapa de redação do relatório
O pessoal de segurança precisa escrever repetidamente um grande número de soluções e relatórios de teste de vulnerabilidade
2.2.4 Pontos problemáticos na etapa de identificação de ativos
Depois que o relatório de vulnerabilidade é escrito, é necessário consultar as informações do ativo por vários canais, incluindo métodos de consulta por telefone/e-mail, perguntando sobre a equipe do projeto, host e propriedade do ativo do departamento de rede para confirmar a pessoa responsável pelo ativo, resultando em um grande número de e-mails e telefonemas de comunicação de ativos e a pontualidade da confirmação de ativos e dificuldades de precisão, resultando em aumento dos custos de mão de obra.
2.2.5 Pontos problemáticos no estágio de reteste de vulnerabilidade
Durante o processo de detecção do projeto, uma grande quantidade de coleta de informações, comunicação por e-mail e processo de rastreamento de vulnerabilidade levam a uma solução de problemas extremamente complicada e consomem muita energia e tempo do pessoal de segurança da informação. Por outro lado, postar a vulnerabilidade para o gerente do projeto via e-mail requer um grande número de comunicações aprofundadas sobre o plano de reparo por meio de telefonemas\WeChat\e-mail. Depois que a parte do projeto corrige a vulnerabilidade, ela informa ao reparo da vulnerabilidade que o o novo teste de vulnerabilidade é concluído até que a vulnerabilidade seja fechada.
De acordo com os registros de dados, houve mais de 1.200 e-mails de comunicação enviados por um único pessoal de segurança da informação para reparo de vulnerabilidade e novo teste em 2018.
2.2.6 Pontos problemáticos no estágio de armazenamento de vulnerabilidade
1. É impossível quantificar os riscos causados por vulnerabilidades e é impossível refinar a operação de vulnerabilidades.
2. Os dados de vulnerabilidade detectados são armazenados em texto Excel. Para as vulnerabilidades não reparadas vencidas, marque amarelo, rastreie manualmente e repare as vulnerabilidades e formar relatórios semanais de testes semanais de segurança da informação.
3. Por exemplo, de acordo com os tipos de vulnerabilidades da camada de aplicação, o design acumula vulnerabilidades históricas e conhecimento de sugestão de reparo, produz alguns materiais de treinamento de segurança e é impossível fazer estatísticas sobre a conscientização de segurança de cada departamento ou mesmo de cada indivíduo.
Três estágios de gerenciamento de vulnerabilidade
Comparando esses cinco estágios, pode-se ver que a maioria das empresas geralmente está no segundo ou terceiro estágio de maturidade. da plataforma.
4. Exploração prática da plataforma de gerenciamento de vulnerabilidades da China Eastern Airlines
Nível técnico: A plataforma de gerenciamento de vulnerabilidades é responsável por gerenciar todas as vulnerabilidades de segurança da empresa, realizando o rastreamento e processamento on-line de todo o ciclo de vida das vulnerabilidades, garantindo a rastreabilidade, manutenção e execução eficiente do processo de processamento de vulnerabilidades, visualizando e quantificando a vulnerabilidade riscos e suporte ao gerenciamento e operação de vulnerabilidades O desenvolvimento do trabalho efetivamente acumula e precipita as vulnerabilidades e a experiência de segurança da empresa para formar a própria base de conhecimento de segurança da empresa; no nível gerencial: os regulamentos de gerenciamento de vulnerabilidades e o mecanismo de ligação de segurança das
filiais são definido e esclarecido por meio desses dois sistemas de gerenciamento de segurança. Processo geral de processamento de vulnerabilidade, base de avaliação do nível de vulnerabilidade, tempo de reparo da vulnerabilidade e correspondente ligação de segurança da informação, etc.; Nível operacional: no nível operacional, defina e
esclareça os indicadores de operação de vulnerabilidade, tome pessoal especial para ser responsável, e realizar a quantificação e gestão de riscos de vulnerabilidade de múltiplas dimensões.Visualização, através de operações contínuas de vulnerabilidade, todo o processo de tratamento de vulnerabilidade forma um ciclo fechado.
4.1 Exploração prática da plataforma de gerenciamento de vulnerabilidades da China Eastern Airlines - Processo de operação de varredura de segurança contínua
Resolva o problema de uma grande quantidade de ativos dispersos: o
China Eastern Airlines Group e suas subsidiárias têm mais de uma dúzia de subsidiárias, e a situação dos pontos de venda de Internet e linhas dedicadas de intranet é relativamente complicada, com ativos totais de mais de 100.000 yuan. Implantamos nós de mapeamento e levantamento de ativos por meio de redes internas e externas para realizar a estrutura coberta pelo gerente geral do grupo e empresas subsidiárias. As APIs vinculam vários hosts e dispositivos de varredura ausentes da WEB e podem definir tarefas de varredura automática de tempo semanal e mensal, respectivamente, e monitorar vulnerabilidades e impressões digitais de ativos.Todos os tipos de dados são sincronizados automaticamente com o sistema de gerenciamento de vulnerabilidades para gerenciamento centralizado.
Docking de ativos e estrutura organizacional:
Ao mesmo tempo, encaixamos as informações de ativos da sala de computadores do data center principal da China Eastern Airlines, CMDB, e as informações da estrutura organizacional de pessoal do grupo, para que o servidor do data center de produção possa localizar a estrutura organizacional e a propriedade de pessoal a qualquer momento. Quando um novo nome de domínio e porta são liberados na rede externa, eles podem ser inseridos automaticamente no módulo de ativos do sistema de gerenciamento de vulnerabilidade por meio da API. O módulo de ativos tem um lembrete de marca de cor diferente para os ativos recém-adicionados toda semana.
Realize varredura de emergência de alto risco:
No estágio de alerta inicial de HW ou algumas vulnerabilidades de alto risco, se POC puder ser encontrado, você pode escrever scripts diretamente ou atualizar ferramentas de varredura ausentes distribuídas e executar detecção de varredura de cobertura rápida por meio de alta porta única -serviços de risco cobrindo todos os ativos, reduzindo significativamente os perigos de Nday ou 0day.
Prática de vulnerabilidade do sistema de consciência situacional:
No sistema de consciência situacional da empresa, transferimos a parte de vulnerabilidade do gerenciamento de vulnerabilidade como a vulnerabilidade do ativo para a consciência situacional. Descobrimos que em alguns casos reais de HW, como acionar a carga útil de algumas vulnerabilidades Sim, o ativo realmente tem essa vulnerabilidade, então o processo de emergência pode ser ativado rapidamente para lidar com o incidente.
4.2 Exploração prática da plataforma de gerenciamento de vulnerabilidades da China Eastern Airlines - realizando o rastreamento completo do ciclo de vida das vulnerabilidades da plataforma
A plataforma de gerenciamento de vulnerabilidades de segurança da Eastern Airlines é estabelecida com base no ciclo de vida completo das vulnerabilidades. Todo o processo de reparo de vulnerabilidades pode ser dividido em cinco estágios. Assim que o status da vulnerabilidade mudar durante esse processo, o sistema acionará automaticamente um lembrete por e-mail para as partes relevantes.
Status de revisão pendente:
por meio de API ou envio on-line por meio de vários canais, como varredura perdida, detecção de caixa preta, envio de teste de penetração etc., entre na fila de revisão pendente e os especialistas em segurança da informação recebem notificações por e-mail para realizar confirmação secundária, revisão e classificação de vulnerabilidades.
Status confirmado:
A pessoa responsável pelo ativo correspondente (líder do departamento de CC + oficial de ligação de segurança) pode fazer login na plataforma de gerenciamento de vulnerabilidade para verificar os detalhes da vulnerabilidade e avaliar o cronograma de reparo de vulnerabilidade após receber o novo e-mail de lembrete de vulnerabilidade.
Fase de reparação de vulnerabilidades:
Neste ponto entrará na fase de reparação de vulnerabilidades, podendo o responsável pelo ativo repará-lo de acordo com a situação atual, podendo também exportar o relatório para pdf e outros formulários para reparação de I&D.
Nesta fase, se o risco da vulnerabilidade for controlável, a aceitação do risco pode ser iniciada online, e a aceitação do risco precisa ser carregada diretamente pelo e-mail do supervisor ou aprovação por escrito.
Nesta fase, se for constatada a titularidade incorreta do bem, o bem pode ser comunicado diretamente e transferido para o responsável pelo novo bem.
Fase de reteste da vulnerabilidade:
Concluído o reparo da vulnerabilidade, o responsável pelo ativo inicia o "enviar para reteste" na plataforma de gerenciamento de vulnerabilidades, momento em que o sistema enviará um e-mail de lembrete ao especialista em segurança. Os especialistas em segurança verificam a vulnerabilidade após receberem as informações para confirmar se a vulnerabilidade foi corrigida.
Se a verificação for aprovada, o remetente da vulnerabilidade pode clicar no botão "Reparar concluído" na plataforma de gerenciamento de vulnerabilidades e a vulnerabilidade entrará automaticamente no próximo estágio; se a verificação falhar, o remetente da vulnerabilidade poderá clicar no botão "Reparar" e a vulnerabilidade retornará automaticamente ao estágio anterior.
Estágio de fechamento da vulnerabilidade:
No estágio de conclusão da vulnerabilidade, você pode selecionar diretamente o botão "Sincronizar base de conhecimento" para sincronizar as sugestões detalhadas de reparo da vulnerabilidade com a base de conhecimento do tipo de vulnerabilidade e clicar diretamente no botão Fechar para concluir o armazenamento.
4.3 Exploração prática da plataforma de gerenciamento de vulnerabilidades da Eastern Airlines - Seis módulos funcionais principais
A plataforma implementa seis módulos funcionais principais, ou seja, gerenciamento de ativos, gerenciamento de vulnerabilidade, estatísticas de vulnerabilidade, centro pessoal, gerenciamento de tarefas e base de conhecimento de vulnerabilidade
Função de gerenciamento de vulnerabilidade: Além das funções básicas de gerenciamento do ciclo de vida da vulnerabilidade, também inclui nível de vulnerabilidade (calculadora de vetor CVSS 3.0 incorporada), fonte de vulnerabilidade, gerenciamento de tipo e gerenciamento de tempo de expiração de rede interna e externa de vulnerabilidade, etc.
Estatísticas de vulnerabilidade: as estatísticas de vulnerabilidade realizam a quantificação e visualização da situação de vulnerabilidade de várias dimensões e podem exportar diretamente listas de gráficos relacionados.
Centro pessoal: Itens de tarefas pendentes relacionados à vulnerabilidade ficam claros de relance
Gerenciamento de tarefas: é um recurso especial para detecção de segurança de lançamento de projeto. Para projetos não ágeis, o gerente de projeto pode consultar e testar diretamente por meio do gerenciamento de vulnerabilidades e automaticamente leia o código-fonte dos armazéns de código git e svn Verificação de auditoria, os resultados são recuperados automaticamente para projetos relacionados e, após a aprovação dos especialistas em segurança, o relatório de inspeção de segurança on-line do projeto pode ser liberado automaticamente.
Base de conhecimento de vulnerabilidades: soluções de reparo de vulnerabilidades e precipitação técnica.
Módulo de gerenciamento de ativos
Gerenciamento de ativos: As principais funções incluem adição, edição, exclusão, lista de ativos e outras funções, e realizam o departamento correspondente da associação de ativos, oficial de ligação de segurança e responsável pelos ativos, etc. Podemos correlacionar impressões digitais de ativos e informações de serviços portuários por meio do monitoramento ativo de ativos e leitura de dados da API do CMDB para consumo secundário.
Módulo de gerenciamento de vulnerabilidade
Gerenciamento de vulnerabilidades: é dividido em gerenciamento de vulnerabilidades de sites, incluindo vulnerabilidades comuns de host e vulnerabilidades no nível da web. Na interface detalhada do sistema, pode-se ver que, desde que o ativo esteja associado ao contato de segurança do departamento sob a estrutura organizacional, ele pode ser automaticamente correspondido ao ativo. O solicitante do ativo é o primeiro responsável e o contato de segurança é o segundo no departamento.A pessoa responsável pode ajudar o pessoal de segurança da informação a compartilhar muita pressão, como limpar e solicitar reparos de vulnerabilidades vencidas toda semana e rastrear comentários internos.
4.4 Exploração prática da plataforma de gerenciamento de vulnerabilidades da Eastern Airlines - Projeto detalhado do gerenciamento de vulnerabilidades
Interface de envio de vulnerabilidade:
E-mail de alerta de vulnerabilidade:
Relatório de aprovação no teste de segurança de lançamento do projeto:
4.5 Exploração prática da plataforma de gerenciamento de vulnerabilidades da China Eastern Airlines - monitoramento e análise multidimensionais de situação de vazamento
Através da análise estatística da visão geral dos dados de vulnerabilidade em diferentes nós de tempo e diferentes estruturas organizacionais, como a taxa de vulnerabilidade semanal e mensal, a taxa de auditoria de vulnerabilidade de especialistas em segurança, as estatísticas de vulnerabilidades processadas e vulnerabilidades pendentes em diferentes estados, etc. Esses dados são de grande importância e valor na análise semanal ou mensal de dados de segurança.
1. A cada trimestre, o Departamento de Segurança da Informação classifica o Top 10 de acordo com os tipos de vulnerabilidades, elabora um plano de treinamento de reparo de vulnerabilidades e organiza o departamento de P&D para realizar treinamentos em conjunto com cenários reais de vulnerabilidade.
2. As sugestões de reparo para cada tipo de vulnerabilidade são refletidas no conteúdo da base de conhecimento do sistema, e o pessoal de segurança pode mantê-las e atualizá-las a qualquer momento. Devido ao encaixe de algumas varreduras e dispositivos de segurança ausentes, tentamos o nosso melhor para oferecer suporte à seleção de fontes de conhecimento de vulnerabilidade por meio de vários canais para fornecer aos desenvolvedores uma experiência de reparo mais conveniente.
3. Para funções diferentes com permissões diferentes, você pode ver as vulnerabilidades históricas afetadas no passado sob esse tipo de vulnerabilidade no sistema, o que aumentará a conveniência de coletar materiais de casos reais no treinamento de segurança posterior.
4.6 Exploração prática da plataforma de gerenciamento de vulnerabilidades da Eastern Airlines - Monitoramento e análise multidimensionais de situação de vazamento
Gerenciamento de funções
Cinco funções: especialista em segurança, contato de segurança, líder de departamento, usuário comum, administrador
Especialista em segurança: enviar, controlar vulnerabilidades, gerenciamento de ativos
Contato de segurança: visualizar e gerenciar todas as vulnerabilidades e ativos de seu próprio departamento
Usuário comum: visualizar e gerenciar a si mesmos Responsável para Ativos e Vulnerabilidades
Gerenciamento estruturado de contas
Conecte-se com o sistema interno de contas, sincronize automaticamente a estrutura de autenticação e as informações da conta
Controle de segurança: o ponto de login é conectado à plataforma de mensagens WeChat da empresa com códigos de verificação de dois fatores,
o login da conta pode ser banido
Especialistas em segurança do Personal Center
: podem visualizar, auditar, testar novamente, dinâmicas de vulnerabilidade processadas semanalmente e mensalmente atrasadas
Agente de ligação de segurança: pode visualizar dinâmicas de vulnerabilidade processadas atrasadas e processadas semanalmente e mensalmente do departamento
Usuários comuns: podem visualizar seus próprios reparos pendentes, Vulnerabilidades que expiraram e foram processados semanalmente
4.7 Exploração prática da plataforma de gerenciamento de vulnerabilidades da China Eastern Airlines - Valor da plataforma de gerenciamento de vulnerabilidades
Cinco, escreva no final
No entanto, não basta ter uma plataforma de gerenciamento de vulnerabilidades, se houver uma plataforma, mas ninguém a usar, o valor da plataforma não será refletido. Portanto, para fazer um bom trabalho no gerenciamento de vulnerabilidades, é necessário cooperar nos três níveis de tecnologia, gerenciamento e operação, e se tocar.
Esclarecer e padronizar o processo de reparação de vulnerabilidades e as responsabilidades dos agentes de ligação de segurança através de meios de gestão;
realizar e garantir a execução eficiente e eficaz do processo de vulnerabilidade através de meios técnicos, quantificar e visualizar riscos de vulnerabilidade e
apoiar a gestão e operações de vulnerabilidade a partir da dimensão técnica desenvolvimento;
Por fim, por meio de operações contínuas de vulnerabilidade, todo o processo de tratamento de vulnerabilidades forma um loop fechado completo e otimiza continuamente o processo geral de tratamento de vulnerabilidades e, finalmente, atinge o objetivo de melhorar continuamente o nível e os recursos do gerenciamento de vulnerabilidades.