網(wǎng)絡(luò)安全漏洞管理研究與實踐

廣發(fā)證券漏洞管理系統(tǒng)實現(xiàn)了漏洞管理、資產(chǎn)管理、工單管理、漏洞知識庫及統(tǒng)計報表功能，并可用于漏洞發(fā)現(xiàn)、通知流轉(zhuǎn)、整改閉環(huán)的日常工作之中。

近年來，隨著我國數(shù)字經(jīng)濟發(fā)展的提速，網(wǎng)絡(luò)安全防護和保障能力的重要性日益凸顯。國家“十四五”規(guī)劃提出：全面加強網(wǎng)絡(luò)安全保障體系和能力建設(shè)，維護水利、電力、供水、油氣、交通、通信、網(wǎng)絡(luò)、金融等重要基礎(chǔ)設(shè)施安全。《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《證券期貨業(yè)網(wǎng)絡(luò)安全等級保護基本要求》等法律法規(guī)和行業(yè)標準的相繼施行，全國性、區(qū)域性、行業(yè)性的網(wǎng)絡(luò)安全攻防演練呈現(xiàn)常態(tài)化，對證券行業(yè)網(wǎng)絡(luò)安全漏洞管理能力提出了更高要求。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)統(tǒng)計，國家信息安全漏洞共享平臺(CNVD)2020年新增收錄通用軟硬件漏洞數(shù)量創(chuàng)歷史新高，達20704個，近5年新增收錄漏洞年均增長率為17.6%。漏洞影響了證券行業(yè)網(wǎng)絡(luò)的機密性、完整性和可用性，可導(dǎo)致用戶個人信息泄露、數(shù)據(jù)加密勒索等安全事件的發(fā)生，使國家金融安全、社會秩序穩(wěn)定受到威脅，投資者合法權(quán)益受到損害。

作為證券行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施運營單位，廣發(fā)證券股份有限公司(以下簡稱“廣發(fā)證券”)現(xiàn)有信息系統(tǒng)資產(chǎn)規(guī)模較大、種類較多，全面而有針對性地發(fā)現(xiàn)和整改安全漏洞難度較高。目前，廣發(fā)證券通過部署主機入侵檢測系統(tǒng)(HIDS)Agent采集資產(chǎn)信息，通過配置管理數(shù)據(jù)庫(CMDB)登記基礎(chǔ)資產(chǎn)信息(IP、域名和服務(wù)器)，但與安全漏洞相關(guān)的中間件、框架信息登記還有待完善。漏洞檢測以遠程方式為主，使用漏洞掃描和滲透測試相結(jié)合的方式，重點對互聯(lián)網(wǎng)信息系統(tǒng)開展安全測試，并周期性開展內(nèi)網(wǎng)系統(tǒng)的漏洞掃描，但漏洞掃描報告和人工滲透測試報告等無法進行平臺化、模塊化、流程化管理。

一、漏洞管理現(xiàn)狀及問題分析

在規(guī)范漏洞管理流程之前，廣發(fā)證券采用手工方式登記漏洞信息，采用流程協(xié)同方式進行漏洞整改，存在協(xié)同難度高、閉環(huán)考核難、漏洞信息保密性差等問題。此外，因登記的漏洞信息未能與CMDB、HIDS等資產(chǎn)信息進行有效整合，導(dǎo)致出現(xiàn)新的高危安全漏洞時難以快速精準定位資產(chǎn)，應(yīng)急響應(yīng)速度及覆蓋范圍難以提升，漏洞管理效果欠佳。為此，廣發(fā)證券使用“人機料法環(huán)測”5M1E的方法進行魚骨圖(因果圖)分析，共找到9處安全漏洞管理癥結(jié)及成因(如圖1所示)，主要表現(xiàn)在以下幾個方面。

?

圖1 安全漏洞管理癥結(jié)及成因的魚骨圖分析

一是漏洞來源廣泛、數(shù)量多。不僅需從綠盟RSAS、Acunetix、Tenable等多種漏洞掃描工具獲取漏洞，還需從滲透測試報告、內(nèi)部漏洞上報、外部漏洞通告中獲取漏洞信息。

二是漏洞整改跟蹤缺少工具支撐。由于資產(chǎn)信息、漏洞管理處于閉環(huán)流程，處置過程需要跨業(yè)務(wù)、部門和系統(tǒng)的協(xié)作，需要技術(shù)對接、流程打通、信息傳遞。

三是安全漏洞分級標準不明確。各類漏洞定級、不同類型漏洞的整改期限缺乏統(tǒng)一標準。

四是漏洞整改方式未有效積淀。漏洞的自查方式、整改方式欠缺，未能形成有效知識庫。

二、解決思路與實現(xiàn)路徑

1.解決思路

參照Gartner提出的漏洞管理生命周期模型，在確定資產(chǎn)邊界、用戶角色、漏洞評估工具、漏洞處理策略及識別資產(chǎn)環(huán)境的前提下，漏洞管理應(yīng)以PDCA循環(huán)方式開展，具體分為評估、劃分優(yōu)先級、處理、再評估、改進五個環(huán)節(jié)。

針對漏洞管理效果欠佳的問題，廣發(fā)證券提出整體規(guī)劃、分步實施的原則，通過平臺化、模塊化、流程化的解決思路，逐步建設(shè)廣發(fā)證券平臺化的漏洞管理系統(tǒng)，將安全人員從繁雜的手工作業(yè)中解放出來，投入到核心環(huán)節(jié)和核心問題的解決中，如業(yè)務(wù)視角的漏洞風(fēng)險分析、漏洞與威脅情報聯(lián)動、沉淀漏洞整改方式、調(diào)整全局安全策略及合規(guī)性要求。

漏洞管理系統(tǒng)遵循模塊化的設(shè)計思路，圍繞資產(chǎn)庫、漏洞庫、知識庫三項核心能力進行模塊構(gòu)建。同時，設(shè)計具備流程適配性的工單系統(tǒng)，以支撐漏洞處理任務(wù)的閉環(huán)管理。

一是資產(chǎn)庫。作為安全工作的基礎(chǔ)，采集、識別多源數(shù)據(jù)。

二是漏洞庫。關(guān)聯(lián)資產(chǎn)庫關(guān)鍵字段，定位相關(guān)部門和責(zé)任人。

三是知識庫。沉淀漏洞修復(fù)方法和經(jīng)驗，輔助系統(tǒng)運維和開發(fā)人員執(zhí)行具體修復(fù)操作。

四是工單系統(tǒng)。固化漏洞整改涉及的流程及環(huán)節(jié)，對接企業(yè)門戶進行待辦提醒。

五是API接口。滿足外圍系統(tǒng)指標化運營管理的需要，輸出漏洞管理相關(guān)數(shù)據(jù)。

2.實現(xiàn)路徑

漏洞管理系統(tǒng)通過工單閉環(huán)管理、資產(chǎn)數(shù)據(jù)采集、自動化漏洞采集、漏洞數(shù)據(jù)與資產(chǎn)數(shù)據(jù)關(guān)聯(lián)分析等功能，實現(xiàn)漏洞閉合管理的工具支撐(如圖2所示)，其關(guān)鍵措施有以下幾種。

?

圖2 漏洞管理系統(tǒng)架構(gòu)

(1)關(guān)鍵字段定義設(shè)計

漏洞管理工作的本質(zhì)是從風(fēng)險管理視角，圍繞結(jié)構(gòu)化的關(guān)鍵字段信息進行全流程閉環(huán)的場景設(shè)計。廣發(fā)證券對資產(chǎn)、組織、風(fēng)險、責(zé)任人等漏洞管理的核心數(shù)據(jù)進行了詳細的屬性標記，并將其作為漏洞管理系統(tǒng)的基礎(chǔ)數(shù)據(jù)支撐。

(2)多源數(shù)據(jù)采集與去重

通過接口對接，漏洞管理系統(tǒng)定時采集多個上游系統(tǒng)(漏洞掃描器、CMDB、云管平臺、HIDS)的數(shù)據(jù)，包括資產(chǎn)數(shù)據(jù)、漏洞數(shù)據(jù)，根據(jù)數(shù)據(jù)優(yōu)先級對數(shù)據(jù)進行合并，擴大數(shù)據(jù)覆蓋范圍，提高數(shù)據(jù)覆蓋的準確性。

(3)漏洞閉環(huán)管理

為了解決資產(chǎn)屬性不清晰、相關(guān)負責(zé)人不明確、閉環(huán)不完整等問題，廣發(fā)證券通過對接CMDB，將漏洞評估時需要的關(guān)鍵信息采集到漏洞管理系統(tǒng)中，匹配資產(chǎn)屬性、相關(guān)負責(zé)人及部門信息，快速定位漏洞責(zé)任人。

通過漏洞閉環(huán)管理流程(如圖3所示)，系統(tǒng)錄入漏洞庫、定位資產(chǎn)信息、關(guān)聯(lián)責(zé)任人，再由安全人員通過工單系統(tǒng)派發(fā)處置工單，根據(jù)漏洞處置實施細則設(shè)定流程監(jiān)控指標，監(jiān)督修復(fù)進度和結(jié)果復(fù)核，從而形成PDCA循環(huán)。

?

圖3 漏洞閉環(huán)管理流程

(4)供應(yīng)鏈安全管理

供應(yīng)鏈漏洞尤其是開源組件漏洞具有影響范圍廣、危害大的特性，廣發(fā)證券對HIDS采集組件數(shù)據(jù)及漏洞數(shù)據(jù)進行分類整理，并根據(jù)漏洞可利用性、危害性、影響范圍進行分級，優(yōu)先修復(fù)高危漏洞，通過漏洞復(fù)現(xiàn)形成相關(guān)修復(fù)過程文檔并提交至知識庫中，助力開發(fā)人員升級或替換Struts2、Fastjson等經(jīng)常出現(xiàn)漏洞的組件。

(5)完善漏洞管理相關(guān)制度

為了確保漏洞管理工作的有效推進，廣發(fā)證券發(fā)布了《廣發(fā)證券網(wǎng)絡(luò)安全漏洞管理實施細則》，對漏洞評估及處理的職責(zé)、漏洞定級、處理期限等方面進行了規(guī)范，在漏洞管理系統(tǒng)設(shè)置了相應(yīng)的流程，并根據(jù)漏洞級別對處理期限設(shè)置了超時提醒機制，以支撐管理制度落地。

三、漏洞管理實踐效果

廣發(fā)證券漏洞管理系統(tǒng)實現(xiàn)了漏洞管理、資產(chǎn)管理、工單管理、漏洞知識庫及統(tǒng)計報表功能，并可用于漏洞發(fā)現(xiàn)、通知流轉(zhuǎn)、整改閉環(huán)的日常工作之中。

與傳統(tǒng)的安全人員遠程掃描、整理漏洞及流轉(zhuǎn)整改流程的方式相比，廣發(fā)證券漏洞管理系統(tǒng)上線之后，漏洞發(fā)現(xiàn)和閉環(huán)的時間從2021年第三季度的平均41天縮短到2021年第四季度的平均29天，有效縮短了漏洞平均處理時長，提高了漏洞處理的及時率。

2021年12月，Apache Log4j遠程代碼執(zhí)行漏洞(CVE-2021-44228)及其利用代碼在互聯(lián)網(wǎng)上進行了披露，由于該漏洞影響面極其廣泛，漏洞利用難度低，互聯(lián)網(wǎng)上漏洞利用攻擊嘗試迅速出現(xiàn)，為廣發(fā)證券信息系統(tǒng)的漏洞修復(fù)及響應(yīng)效率帶來嚴峻挑戰(zhàn)。廣發(fā)證券一方面在Web應(yīng)用防火墻、入侵檢測系統(tǒng)等網(wǎng)絡(luò)及安全設(shè)備上完善防護和監(jiān)測策略，在內(nèi)部DNS劫持攻擊者利用的帶外域名；另一方面使用主機和Web掃描工具對各類系統(tǒng)發(fā)起遠程掃描，同時利用漏洞管理系統(tǒng)篩選使用Log4j組件的主機，對受影響版本的主機生成漏洞工單，并流轉(zhuǎn)給從CMDB系統(tǒng)獲取的系統(tǒng)運維人員、開發(fā)人員進行整改，最終完成漏洞整改流程閉環(huán)。

四、漏洞管理工作未來規(guī)劃

廣發(fā)證券通過標準化、流程化的漏洞管理機制，解決了協(xié)同難度高、閉環(huán)考核難、漏洞信息保密性差等問題，提升了安全運營效果。漏洞管理是IT風(fēng)險管理的具體措施，是事前防御的直觀體現(xiàn)。漏洞管理系統(tǒng)長時間的數(shù)據(jù)積累將為廣發(fā)證券網(wǎng)絡(luò)安全規(guī)劃、安全能力差距分析、供應(yīng)鏈廠商風(fēng)險管理等方面的工作提供數(shù)據(jù)支撐及決策參考。未來，廣發(fā)證券將在以下幾個方面進行持續(xù)改進。

一是覆蓋持續(xù)集成及持續(xù)交付(CI/CD)場景。集成Gitlab、Jenkins等工具鏈，實現(xiàn)應(yīng)用資產(chǎn)、應(yīng)用開發(fā)過程中的漏洞管理左移。

二是支持交互式應(yīng)用安全測試(IAST)的漏洞管理。引入IAST工具，最大程度利用測試團隊資源提升漏洞檢測的廣度和深度。

三是覆蓋云原生場景。隨著云原生及容器技術(shù)的廣泛應(yīng)用，漏洞管理系統(tǒng)需實現(xiàn)容器的資產(chǎn)及漏洞管理。

?