“資產(chǎn)不清、漏洞不明、情報(bào)缺失、流程不通等基礎(chǔ)安全問(wèn)題多年來(lái)一直困擾企業(yè)和組織，不把家底盤點(diǎn)清楚，無(wú)法對(duì)自身安全狀況做到全局掌握，對(duì)安全事件的處置會(huì)出現(xiàn)無(wú)序的狀態(tài)，就難以滿足當(dāng)前安全運(yùn)營(yíng)實(shí)戰(zhàn)化、體系化、常態(tài)化的要求。”8月28日，在2021北京網(wǎng)絡(luò)安全大會(huì)(BCS2021)上，奇安信發(fā)布了“系統(tǒng)安全運(yùn)行服務(wù)支撐平臺(tái)”，針對(duì)基礎(chǔ)安全現(xiàn)狀與挑戰(zhàn)，為政企客戶探索出了一條行之有效的實(shí)戰(zhàn)化安全運(yùn)行之路。

　　　　“老”問(wèn)題面臨新挑戰(zhàn)

　　當(dāng)前，困擾網(wǎng)絡(luò)安全領(lǐng)域多年的問(wèn)題大致可分為兩個(gè)方面，一方面，資產(chǎn)、配置、漏洞和補(bǔ)丁(簡(jiǎn)稱“資配漏補(bǔ)”)的管理是最基本的問(wèn)題;另一方面，隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)資產(chǎn)的廣度和復(fù)雜度持續(xù)增加，但一直未找到有效的管理方法。舊有的建設(shè)模式缺乏系統(tǒng)化、體系化的思維，造成了管理、系統(tǒng)和流程之間處于割裂狀態(tài)，最終造成了資產(chǎn)不清、漏洞不明、系統(tǒng)未按合規(guī)要求進(jìn)行加固、漏洞處置緩慢、安全運(yùn)營(yíng)無(wú)法閉環(huán)等一系列管理和技術(shù)問(wèn)題，從而導(dǎo)致企業(yè)和組織在網(wǎng)絡(luò)安全實(shí)戰(zhàn)化條件下越來(lái)越處于被動(dòng)地位。

　　與此同時(shí)，當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)和用戶的數(shù)字化轉(zhuǎn)型也促使我們需要重新思考包括資配漏補(bǔ)管理在內(nèi)的基礎(chǔ)安全的建設(shè)理念和思路。一方面，面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，基礎(chǔ)安全工作正在從合規(guī)導(dǎo)向演進(jìn)為對(duì)抗導(dǎo)向，基礎(chǔ)安全工作要能支撐安全對(duì)抗;另一方面，基礎(chǔ)安全工作必須順應(yīng)數(shù)字化轉(zhuǎn)型的潮流，要與業(yè)務(wù)結(jié)合，與IT結(jié)合。

　　回顧最近幾年的重大保障和實(shí)戰(zhàn)演練工作，絕大多數(shù)時(shí)候，系統(tǒng)被攻陷都源于失陷網(wǎng)絡(luò)中的系統(tǒng)存在缺陷、漏洞和配置不當(dāng)?shù)葐?wèn)題。系統(tǒng)的漏洞管理，尤其是漏洞修補(bǔ)和緩解十分關(guān)鍵。而要進(jìn)行真正有效的漏洞管理，首先需要摸清資產(chǎn)，否則一個(gè)漏洞曝出來(lái)，也難以搞清楚受影響的資產(chǎn)和波及的范圍。而就算搞清楚了受影響的資產(chǎn)，很多時(shí)候也顧慮重重，不敢打補(bǔ)丁，不知道如何修復(fù)。

　　此外，當(dāng)前大部分企業(yè)和組織在包括資配漏補(bǔ)在內(nèi)的基礎(chǔ)安全工作上已經(jīng)做出了大量的投入，這些投入并非都是無(wú)效的。如何盤活已有投入，發(fā)揮現(xiàn)有資源的潛能以應(yīng)對(duì)新的安全形勢(shì)，也是需要考慮的。

　　針對(duì)上述挑戰(zhàn)和需求，面向資配漏補(bǔ)的管理亟需一套全新的方法論和技術(shù)路線。

　　　　“系統(tǒng)安全”應(yīng)運(yùn)而生

　　奇安信敏銳地認(rèn)識(shí)到資配漏補(bǔ)管理是整個(gè)安全防護(hù)體系建設(shè)的基石，將與資配漏補(bǔ)管理相關(guān)的閉環(huán)管理與運(yùn)行稱為“系統(tǒng)安全”，并將其列為網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型中基礎(chǔ)架構(gòu)安全的重要組成部分。

　　同時(shí)，奇安信創(chuàng)造性地提出了“面向資配漏補(bǔ)的系統(tǒng)安全”(簡(jiǎn)稱“系統(tǒng)安全”)理念和體系架構(gòu)，主張以系統(tǒng)工程(涌現(xiàn)論)的思維，通過(guò)數(shù)據(jù)集成、控制集成和過(guò)程集成，將資配漏補(bǔ)的各個(gè)系統(tǒng)和流程串接在一起，實(shí)現(xiàn)“數(shù)據(jù)驅(qū)動(dòng)的安全任務(wù)處理工單化”，消除管理的藩籬，實(shí)現(xiàn)系統(tǒng)安全運(yùn)行的閉環(huán)。

　　2020年3月，奇安信將“面向資配漏補(bǔ)的系統(tǒng)安全”納入了新一代安全體系框架，并作為十大工程之一進(jìn)行了對(duì)外發(fā)布。

　　2021年5月13日，奇安信國(guó)內(nèi)首發(fā)了“面向資配漏補(bǔ)的系統(tǒng)安全”的運(yùn)行構(gòu)想圖，進(jìn)一步闡述了新形勢(shì)下建設(shè)資配漏補(bǔ)管理閉環(huán)的方法論和預(yù)期效果。

　　“面向資配漏補(bǔ)的系統(tǒng)安全”用數(shù)據(jù)驅(qū)動(dòng)的實(shí)戰(zhàn)化安全運(yùn)行模式打通資產(chǎn)、配置、漏洞和補(bǔ)丁管理等四大基礎(chǔ)安全流程，環(huán)環(huán)相扣，融入大運(yùn)維，收縮攻擊面，保持安全姿態(tài)，有效控制數(shù)字化運(yùn)營(yíng)的基礎(chǔ)風(fēng)險(xiǎn)。

　　系統(tǒng)安全運(yùn)行服務(wù)支撐平臺(tái)發(fā)布，落地“系統(tǒng)安全”

　　為了踐行“面向資配漏補(bǔ)的系統(tǒng)安全”工程，奇安信于BCS2021上正式發(fā)布了“系統(tǒng)安全運(yùn)行服務(wù)支撐平臺(tái)”(SSOPv6.0)。作為“面向資配漏補(bǔ)的系統(tǒng)安全”工程的技術(shù)平臺(tái)，配合“系統(tǒng)安全”的運(yùn)行流程，為“系統(tǒng)安全”服務(wù)運(yùn)行人員的工作提供運(yùn)行平臺(tái)支撐，為用戶實(shí)現(xiàn)“系統(tǒng)安全”效果提供了成功路徑。

　　據(jù)介紹，系統(tǒng)安全運(yùn)行服務(wù)支撐平臺(tái)采用數(shù)據(jù)驅(qū)動(dòng)和流程驅(qū)動(dòng)的雙核混動(dòng)模式。在系統(tǒng)安全運(yùn)行流程的牽引下，平臺(tái)通過(guò)項(xiàng)目、任務(wù)和作業(yè)調(diào)度等機(jī)制，對(duì)接和集成多源異構(gòu)的資配漏補(bǔ)管理工具和表格，持續(xù)采集資配漏補(bǔ)要素信息，并送入數(shù)據(jù)中臺(tái)進(jìn)行ETL，按照內(nèi)置的系統(tǒng)安全數(shù)據(jù)模型，實(shí)現(xiàn)要素信息的存儲(chǔ)，并進(jìn)行碰撞分析;通過(guò)資產(chǎn)清點(diǎn)分析、配置合規(guī)分析、漏洞敞口分析、補(bǔ)丁修復(fù)分析等方法，識(shí)別并產(chǎn)生系統(tǒng)安全問(wèn)題。平臺(tái)根據(jù)系統(tǒng)安全問(wèn)題的不同類型，觸發(fā)相應(yīng)的處置過(guò)程，結(jié)合IT運(yùn)維流程，推動(dòng)安全團(tuán)隊(duì)、IT運(yùn)維團(tuán)隊(duì)和資產(chǎn)責(zé)任人的協(xié)作和互動(dòng)，實(shí)現(xiàn)問(wèn)題處置的閉環(huán)，并將反饋結(jié)果送入數(shù)據(jù)中臺(tái)，觸發(fā)新一輪的碰撞分析。通過(guò)這種持續(xù)的閉環(huán)運(yùn)行，實(shí)現(xiàn)持續(xù)的資產(chǎn)納管和對(duì)資產(chǎn)安全姿態(tài)的全程掌控，并最終實(shí)現(xiàn)系統(tǒng)安全的實(shí)戰(zhàn)化、體系化、常態(tài)化運(yùn)行。

　　　展開(kāi)來(lái)說(shuō)，系統(tǒng)安全運(yùn)行服務(wù)支撐平臺(tái)包含以下幾個(gè)特色功能：

　　(一)基于開(kāi)放架構(gòu)的資配漏補(bǔ)管理工具集成。平臺(tái)能夠采集企業(yè)和組織中存在的分散的資產(chǎn)信息?；陂_(kāi)放式、可擴(kuò)展架構(gòu)設(shè)計(jì)，平臺(tái)能夠通過(guò)多種方式對(duì)接和集成國(guó)內(nèi)外各種品牌和型號(hào)的資配漏補(bǔ)管理工具，譬如各類資產(chǎn)測(cè)繪系統(tǒng)、漏洞掃描工具、配置核查工具、漏洞管理產(chǎn)品、主機(jī)管理產(chǎn)品、終端管理產(chǎn)品、CMDB、IT資產(chǎn)管理系統(tǒng)等。

　　(二)基于大數(shù)據(jù)分析的持續(xù)資產(chǎn)清點(diǎn)。平臺(tái)基于大數(shù)據(jù)分析，并融合數(shù)據(jù)倉(cāng)庫(kù)技術(shù)和圖數(shù)據(jù)分析技術(shù)，實(shí)現(xiàn)資產(chǎn)的持續(xù)清點(diǎn);通過(guò)整合資產(chǎn)、配置、漏洞等要素信息，采用多種碰撞比對(duì)分析算法，識(shí)別各種資產(chǎn)安全問(wèn)題，并通過(guò)人機(jī)交互的問(wèn)題處置過(guò)程維持資產(chǎn)清單的完整性、準(zhǔn)確性和一致性。

　　(三)基于時(shí)空建模的統(tǒng)一資產(chǎn)安全信息庫(kù)。奇安信國(guó)內(nèi)首個(gè)實(shí)現(xiàn)了對(duì)資產(chǎn)的時(shí)空建模，將資產(chǎn)的安全屬性空間和時(shí)間維度進(jìn)行疊加，建立了一個(gè)具備時(shí)空特征的統(tǒng)一資產(chǎn)安全信息庫(kù)，能夠記錄每個(gè)資產(chǎn)的每個(gè)安全屬性的歷史變化，并能夠參與檢索分析。

　　(四)基于切片的漏洞補(bǔ)丁情報(bào)。奇安信國(guó)內(nèi)首家推出了基于切片的漏洞補(bǔ)丁情報(bào)生產(chǎn)方式，為用戶提供漸進(jìn)疊加式持續(xù)裝配的NOX漏洞補(bǔ)丁情報(bào)，在保證情報(bào)輸出及時(shí)性、高效性的基礎(chǔ)上，實(shí)現(xiàn)了情報(bào)內(nèi)容的豐富性。奇安信NOX漏洞補(bǔ)丁情報(bào)不僅融合了CVE、CVD、CNVD、CNNVD等漏洞庫(kù)的通用信息，還特別包括了漏洞的POC信息、EXP信息、配置(OVAL)信息、檢測(cè)信息、緩解措施信息、補(bǔ)丁有效性信息。此外，基于奇安信威脅情報(bào)中心領(lǐng)先的全球探查能力，還在漏洞補(bǔ)丁情報(bào)中推出了漏洞熱度評(píng)價(jià)、漏洞定級(jí)評(píng)價(jià)。最后，NOX漏洞補(bǔ)丁情報(bào)能夠輸入到平臺(tái)中參與持續(xù)的資產(chǎn)漏洞碰撞分析。

　　(五)基于流程的常態(tài)化系統(tǒng)安全運(yùn)行。平臺(tái)一方面基于數(shù)據(jù)驅(qū)動(dòng)幫助用戶構(gòu)建全面準(zhǔn)確統(tǒng)一的資產(chǎn)安全信息庫(kù)，另一方面基于流程驅(qū)動(dòng)常態(tài)化的安全運(yùn)行工作。奇安信設(shè)計(jì)了一套面向系統(tǒng)安全的運(yùn)行流程框架和模板，能夠幫助用戶快速實(shí)現(xiàn)個(gè)性化的實(shí)戰(zhàn)化安全運(yùn)行，將資配漏補(bǔ)管理工作融入到日常的安全運(yùn)行中。

　　(六)基于編排的自動(dòng)化漏洞緩解。平臺(tái)借助奇安信領(lǐng)先的SOAR技術(shù)，實(shí)現(xiàn)了編排化的漏洞緩解。用戶能夠預(yù)置的劇本，在安全運(yùn)行流程的牽引下，聯(lián)動(dòng)WAF、IPS、FW等安全設(shè)備，實(shí)現(xiàn)對(duì)特定漏洞的自動(dòng)化緩解和解除，大幅提升系統(tǒng)安全問(wèn)題處置的效率。

　　展望我國(guó)的十四五規(guī)劃，企業(yè)和組織的數(shù)字化轉(zhuǎn)型將進(jìn)入爆發(fā)期，網(wǎng)絡(luò)空間安全將面臨更加嚴(yán)峻的挑戰(zhàn)。要筑牢安全根基，就必須優(yōu)先解決好資產(chǎn)不清、漏洞不明、情報(bào)缺失、流程不通等基礎(chǔ)安全問(wèn)題，這正是“系統(tǒng)安全”的目標(biāo)所在。“系統(tǒng)安全”建設(shè)作為基礎(chǔ)安全的重點(diǎn)工作，能夠?yàn)榘踩雷o(hù)提供助力，也能為數(shù)據(jù)安全提供助力，為零信任安全提供支撐，是各類安全能力的基礎(chǔ)。奇安信推出的系統(tǒng)安全運(yùn)行服務(wù)支撐平臺(tái)，為實(shí)現(xiàn)上述目標(biāo)提供了一條切實(shí)可行的行動(dòng)路徑。

特別提醒：本網(wǎng)信息來(lái)自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。