“资产不清、漏洞不明、情报缺失、流程不通等基础安全问题多年来一直困扰企业和组织,不把家底盘点清楚,无法对自身安全状况做到全局掌握,对安全事件的处置会出现无序的状态,就难以满足当前安全运营实战化、体系化、常态化的要求。”8月28日,在2021北京网络安全大会(BCS2021)上,奇安信发布了“系统安全运行服务支撑平台”,针对基础安全现状与挑战,为政企客户探索出了一条行之有效的实战化安全运行之路。
“老”问题面临新挑战
当前,困扰网络安全领域多年的问题大致可分为两个方面,一方面,资产、配置、漏洞和补丁(简称“资配漏补”)的管理是最基本的问题;另一方面,随着网络的发展,网络资产的广度和复杂度持续增加,但一直未找到有效的管理方法。旧有的建设模式缺乏系统化、体系化的思维,造成了管理、系统和流程之间处于割裂状态,最终造成了资产不清、漏洞不明、系统未按合规要求进行加固、漏洞处置缓慢、安全运营无法闭环等一系列管理和技术问题,从而导致企业和组织在网络安全实战化条件下越来越处于被动地位。
与此同时,当前的网络安全形势和用户的数字化转型也促使我们需要重新思考包括资配漏补管理在内的基础安全的建设理念和思路。一方面,面对日益严峻的网络安全形势,基础安全工作正在从合规导向演进为对抗导向,基础安全工作要能支撑安全对抗;另一方面,基础安全工作必须顺应数字化转型的潮流,要与业务结合,与IT结合。
回顾最近几年的重大保障和实战演练工作,绝大多数时候,系统被攻陷都源于失陷网络中的系统存在缺陷、漏洞和配置不当等问题。系统的漏洞管理,尤其是漏洞修补和缓解十分关键。而要进行真正有效的漏洞管理,首先需要摸清资产,否则一个漏洞曝出来,也难以搞清楚受影响的资产和波及的范围。而就算搞清楚了受影响的资产,很多时候也顾虑重重,不敢打补丁,不知道如何修复。
此外,当前大部分企业和组织在包括资配漏补在内的基础安全工作上已经做出了大量的投入,这些投入并非都是无效的。如何盘活已有投入,发挥现有资源的潜能以应对新的安全形势,也是需要考虑的。
针对上述挑战和需求,面向资配漏补的管理亟需一套全新的方法论和技术路线。
“系统安全”应运而生
奇安信敏锐地认识到资配漏补管理是整个安全防护体系建设的基石,将与资配漏补管理相关的闭环管理与运行称为“系统安全”,并将其列为网络安全滑动标尺模型中基础架构安全的重要组成部分。
同时,奇安信创造性地提出了“面向资配漏补的系统安全”(简称“系统安全”)理念和体系架构,主张以系统工程(涌现论)的思维,通过数据集成、控制集成和过程集成,将资配漏补的各个系统和流程串接在一起,实现“数据驱动的安全任务处理工单化”,消除管理的藩篱,实现系统安全运行的闭环。
2020年3月,奇安信将“面向资配漏补的系统安全”纳入了新一代安全体系框架,并作为十大工程之一进行了对外发布。
2021年5月13日,奇安信国内首发了“面向资配漏补的系统安全”的运行构想图,进一步阐述了新形势下建设资配漏补管理闭环的方法论和预期效果。
“面向资配漏补的系统安全”用数据驱动的实战化安全运行模式打通资产、配置、漏洞和补丁管理等四大基础安全流程,环环相扣,融入大运维,收缩攻击面,保持安全姿态,有效控制数字化运营的基础风险。
系统安全运行服务支撑平台发布,落地“系统安全”
为了践行“面向资配漏补的系统安全”工程,奇安信于BCS2021上正式发布了“系统安全运行服务支撑平台”(SSOPv6.0)。作为“面向资配漏补的系统安全”工程的技术平台,配合“系统安全”的运行流程,为“系统安全”服务运行人员的工作提供运行平台支撑,为用户实现“系统安全”效果提供了成功路径。
据介绍,系统安全运行服务支撑平台采用数据驱动和流程驱动的双核混动模式。在系统安全运行流程的牵引下,平台通过项目、任务和作业调度等机制,对接和集成多源异构的资配漏补管理工具和表格,持续采集资配漏补要素信息,并送入数据中台进行ETL,按照内置的系统安全数据模型,实现要素信息的存储,并进行碰撞分析;通过资产清点分析、配置合规分析、漏洞敞口分析、补丁修复分析等方法,识别并产生系统安全问题。平台根据系统安全问题的不同类型,触发相应的处置过程,结合IT运维流程,推动安全团队、IT运维团队和资产责任人的协作和互动,实现问题处置的闭环,并将反馈结果送入数据中台,触发新一轮的碰撞分析。通过这种持续的闭环运行,实现持续的资产纳管和对资产安全姿态的全程掌控,并最终实现系统安全的实战化、体系化、常态化运行。
展开来说,系统安全运行服务支撑平台包含以下几个特色功能:
(一)基于开放架构的资配漏补管理工具集成。平台能够采集企业和组织中存在的分散的资产信息。基于开放式、可扩展架构设计,平台能够通过多种方式对接和集成国内外各种品牌和型号的资配漏补管理工具,譬如各类资产测绘系统、漏洞扫描工具、配置核查工具、漏洞管理产品、主机管理产品、终端管理产品、CMDB、IT资产管理系统等。
(二)基于大数据分析的持续资产清点。平台基于大数据分析,并融合数据仓库技术和图数据分析技术,实现资产的持续清点;通过整合资产、配置、漏洞等要素信息,采用多种碰撞比对分析算法,识别各种资产安全问题,并通过人机交互的问题处置过程维持资产清单的完整性、准确性和一致性。
(三)基于时空建模的统一资产安全信息库。奇安信国内首个实现了对资产的时空建模,将资产的安全属性空间和时间维度进行叠加,建立了一个具备时空特征的统一资产安全信息库,能够记录每个资产的每个安全属性的历史变化,并能够参与检索分析。
(四)基于切片的漏洞补丁情报。奇安信国内首家推出了基于切片的漏洞补丁情报生产方式,为用户提供渐进叠加式持续装配的NOX漏洞补丁情报,在保证情报输出及时性、高效性的基础上,实现了情报内容的丰富性。奇安信NOX漏洞补丁情报不仅融合了CVE、CVD、CNVD、CNNVD等漏洞库的通用信息,还特别包括了漏洞的POC信息、EXP信息、配置(OVAL)信息、检测信息、缓解措施信息、补丁有效性信息。此外,基于奇安信威胁情报中心领先的全球探查能力,还在漏洞补丁情报中推出了漏洞热度评价、漏洞定级评价。最后,NOX漏洞补丁情报能够输入到平台中参与持续的资产漏洞碰撞分析。
(五)基于流程的常态化系统安全运行。平台一方面基于数据驱动帮助用户构建全面准确统一的资产安全信息库,另一方面基于流程驱动常态化的安全运行工作。奇安信设计了一套面向系统安全的运行流程框架和模板,能够帮助用户快速实现个性化的实战化安全运行,将资配漏补管理工作融入到日常的安全运行中。
(六)基于编排的自动化漏洞缓解。平台借助奇安信领先的SOAR技术,实现了编排化的漏洞缓解。用户能够预置的剧本,在安全运行流程的牵引下,联动WAF、IPS、FW等安全设备,实现对特定漏洞的自动化缓解和解除,大幅提升系统安全问题处置的效率。
展望我国的十四五规划,企业和组织的数字化转型将进入爆发期,网络空间安全将面临更加严峻的挑战。要筑牢安全根基,就必须优先解决好资产不清、漏洞不明、情报缺失、流程不通等基础安全问题,这正是“系统安全”的目标所在。“系统安全”建设作为基础安全的重点工作,能够为安全防护提供助力,也能为数据安全提供助力,为零信任安全提供支撑,是各类安全能力的基础。奇安信推出的系统安全运行服务支撑平台,为实现上述目标提供了一条切实可行的行动路径。