![漏洞与资产自动化关联的落地实践 | 总第216周]( "漏洞与资产自动化关联的落地实践 | 总第216周")
0x1本周话题
话题:有落地实践过漏洞与资产自动化关联吗?具体场景:例如组件漏洞,是否可以通过公开漏洞源(公众号、各厂商漏洞公告平台)通过爬虫拉取下来,然后检索漏洞关键字到内部资产库中检索,最终输出漏洞预警提示。
A1:这是不是可以理解成sca+威胁情报+资产管理,这种有点像SCA检测。
A2:试过,弃了。自己维护起来太麻烦。尤其是各种漏洞源不稳定。
A3:对接厂商的威胁情报还好。关联起来,底层用的是这几个的数据和基座。
Q:不同数据源的一致性问题怎么解决?这个需要去维护一套标准的映射规则吧,比如有的叫fastjson,有的叫com.alibaba:fastjson?
A4:就是因为现在大多数落地情况,都是自己录入或者去检索。
A5:嗯,有厂商的稳定源还行,但是阈值设定起来很麻烦。现在我已经躺平了,只看几个云厂商的重点安全漏洞。
A6:我觉得难点反而在资产库的收集,用了哪些软件,每个软件依赖了什么库,各种开发语言框架,这些要收集全维护起来不太容易。
A7:情报对接太多就很难。问题在这儿,不在于其他地方。难在需要有人员投入,是否有专人专岗来搞这个事情。
A8:资产库很容易,现在都是基于包管理的,除非有上古项目。
A9:可以从单一漏洞源做起嘛,多漏洞源可以后续再说。
A10:从头建设挺难的,尤其是想要尽可能全面覆盖,越大的公司,发展时间越久的公司,这事越难办。
A11:技术实现就是工作量的问题,需要收集和整合大量的漏洞库并将其按照统一标准输出到平台,内部资产同样面临着归类的问题,更重要的是爬取的合法性。
A12:拆开来建设,都是不要预期一次性解决所有问题。漏洞库的采集,有开源的也有商业采购的,这个问题短期内投入资源比较好解决。
Q:想的就是这样,一段一段的建设,想问问各位大佬,有没有建设过的,建设过程中有没有啥的坑?
A13:内部资产库的建设,依赖公司的多个团队协同配合,包括前期的积累,需要跟包括IT、系统团队都沟通好目标,把现有的数据进行同步,同时对还需要的数据提要求。
A14:资产还要实时更新。资产和漏洞都得是实时的。
A15:风险检测团队,可以针对资产库也可以通过内部资产探测的方式来进行漏洞检测,检测规则可以依赖漏洞库的输入,也可以用商用的。通过探测发现的资产风险,还可以反哺到已有的资产库里。
A16:资产的更新其实不需要做到实时,大部分资产的变化没有这么频繁,T+1的情况下够用了。
A17:漏洞库还好更新,资产实时不容易。资产只要把已知的能解决都不错了。
A18:包括域名、IP(非端口、非cdn)、URL、代码仓库这些资产变化的频率并不快。
A19:流程先搭建起来,实效性是下个阶段要做的事情,别一上来就追求实效性,很多事就很难落地。安全运营从来都不是一蹴而就的,一个漏洞之前大家都不修,你上来就让业务5天内修完才能上线,没有业务会搭理你,合适的办法是说这个漏洞大家30天内修复就行,然后再变成15天。
A20:我们工单都是按月算的,历史包袱比较重,治理的SOP需要考虑很多。
A22:核心还是维护好资产库、组件库等,出现了应急漏洞可以按图索骥,直接定位风险资产和推动修复。漏洞库的维护还是要交给专业的厂商,直接复用他们的漏洞预警和扫描能力,自己维护漏洞库关联资产,基本上需要实现一个扫描器的能力了。
A23:但是人工处置会有一个盲点,就是覆盖不全,如果是按照我说的那种自动化的去关联,那么覆盖度可以增加,处置时效可以有所提升。
A24:自动化漏洞源关联资产漏洞是可以提升效率,也是可以复用漏洞管理平台的自动化通知和漏洞闭环能力。
Q:复用漏洞管理平台的自动化通知和漏洞闭环能力?这个怎么讲?
A25:根据资产归属自动推送漏洞通知和修复反馈,修复验证整个流程,漏洞生命周期的管理。
A26:这个是后半段的事情了,这一段场景是漏洞信息关联资产,推送预警;第二步才是人工验证,通过漏洞平台下发漏洞,第三步是根据漏洞平台的生命周期去跟踪。
A27:嗯嗯,修复还是要看漏洞级别和暴露面,公网高风险基本上没商量,修复越快越好。
----------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
如何进群?
原文始发于微信公众号(君哥的体历):漏洞与资产自动化关联的落地实践 | 总第216周
评论