“資產不清、漏洞不明、情報缺失、流程不通等基礎安全問題多年來一直困擾企業(yè)和組織，不把家底盤點清楚，無法對自身安全狀況做到全局掌握，對安全事件的處置會出現(xiàn)無序的狀態(tài)，就難以滿足當前安全運營實戰(zhàn)化、體系化、常態(tài)化的要求。”8月28日，在2021北京網(wǎng)絡安全大會(BCS2021)上，奇安信發(fā)布了“系統(tǒng)安全運行服務支撐平臺”，針對基礎安全現(xiàn)狀與挑戰(zhàn)，為政企客戶探索出了一條行之有效的實戰(zhàn)化安全運行之路。

　　　　“老”問題面臨新挑戰(zhàn)

　　當前，困擾網(wǎng)絡安全領域多年的問題大致可分為兩個方面，一方面，資產、配置、漏洞和補丁(簡稱“資配漏補”)的管理是最基本的問題;另一方面，隨著網(wǎng)絡的發(fā)展，網(wǎng)絡資產的廣度和復雜度持續(xù)增加，但一直未找到有效的管理方法。舊有的建設模式缺乏系統(tǒng)化、體系化的思維，造成了管理、系統(tǒng)和流程之間處于割裂狀態(tài)，最終造成了資產不清、漏洞不明、系統(tǒng)未按合規(guī)要求進行加固、漏洞處置緩慢、安全運營無法閉環(huán)等一系列管理和技術問題，從而導致企業(yè)和組織在網(wǎng)絡安全實戰(zhàn)化條件下越來越處于被動地位。

　　與此同時，當前的網(wǎng)絡安全形勢和用戶的數(shù)字化轉型也促使我們需要重新思考包括資配漏補管理在內的基礎安全的建設理念和思路。一方面，面對日益嚴峻的網(wǎng)絡安全形勢，基礎安全工作正在從合規(guī)導向演進為對抗導向，基礎安全工作要能支撐安全對抗;另一方面，基礎安全工作必須順應數(shù)字化轉型的潮流，要與業(yè)務結合，與IT結合。

　　回顧最近幾年的重大保障和實戰(zhàn)演練工作，絕大多數(shù)時候，系統(tǒng)被攻陷都源于失陷網(wǎng)絡中的系統(tǒng)存在缺陷、漏洞和配置不當?shù)葐栴}。系統(tǒng)的漏洞管理，尤其是漏洞修補和緩解十分關鍵。而要進行真正有效的漏洞管理，首先需要摸清資產，否則一個漏洞曝出來，也難以搞清楚受影響的資產和波及的范圍。而就算搞清楚了受影響的資產，很多時候也顧慮重重，不敢打補丁，不知道如何修復。

　　此外，當前大部分企業(yè)和組織在包括資配漏補在內的基礎安全工作上已經做出了大量的投入，這些投入并非都是無效的。如何盤活已有投入，發(fā)揮現(xiàn)有資源的潛能以應對新的安全形勢，也是需要考慮的。

　　針對上述挑戰(zhàn)和需求，面向資配漏補的管理亟需一套全新的方法論和技術路線。

　　　　“系統(tǒng)安全”應運而生

　　奇安信敏銳地認識到資配漏補管理是整個安全防護體系建設的基石，將與資配漏補管理相關的閉環(huán)管理與運行稱為“系統(tǒng)安全”，并將其列為網(wǎng)絡安全滑動標尺模型中基礎架構安全的重要組成部分。

　　同時，奇安信創(chuàng)造性地提出了“面向資配漏補的系統(tǒng)安全”(簡稱“系統(tǒng)安全”)理念和體系架構，主張以系統(tǒng)工程(涌現(xiàn)論)的思維，通過數(shù)據(jù)集成、控制集成和過程集成，將資配漏補的各個系統(tǒng)和流程串接在一起，實現(xiàn)“數(shù)據(jù)驅動的安全任務處理工單化”，消除管理的藩籬，實現(xiàn)系統(tǒng)安全運行的閉環(huán)。

　　2020年3月，奇安信將“面向資配漏補的系統(tǒng)安全”納入了新一代安全體系框架，并作為十大工程之一進行了對外發(fā)布。

　　2021年5月13日，奇安信國內首發(fā)了“面向資配漏補的系統(tǒng)安全”的運行構想圖，進一步闡述了新形勢下建設資配漏補管理閉環(huán)的方法論和預期效果。

　　“面向資配漏補的系統(tǒng)安全”用數(shù)據(jù)驅動的實戰(zhàn)化安全運行模式打通資產、配置、漏洞和補丁管理等四大基礎安全流程，環(huán)環(huán)相扣，融入大運維，收縮攻擊面，保持安全姿態(tài)，有效控制數(shù)字化運營的基礎風險。

　　系統(tǒng)安全運行服務支撐平臺發(fā)布，落地“系統(tǒng)安全”

　　為了踐行“面向資配漏補的系統(tǒng)安全”工程，奇安信于BCS2021上正式發(fā)布了“系統(tǒng)安全運行服務支撐平臺”(SSOPv6.0)。作為“面向資配漏補的系統(tǒng)安全”工程的技術平臺，配合“系統(tǒng)安全”的運行流程，為“系統(tǒng)安全”服務運行人員的工作提供運行平臺支撐，為用戶實現(xiàn)“系統(tǒng)安全”效果提供了成功路徑。

　　據(jù)介紹，系統(tǒng)安全運行服務支撐平臺采用數(shù)據(jù)驅動和流程驅動的雙核混動模式。在系統(tǒng)安全運行流程的牽引下，平臺通過項目、任務和作業(yè)調度等機制，對接和集成多源異構的資配漏補管理工具和表格，持續(xù)采集資配漏補要素信息，并送入數(shù)據(jù)中臺進行ETL，按照內置的系統(tǒng)安全數(shù)據(jù)模型，實現(xiàn)要素信息的存儲，并進行碰撞分析;通過資產清點分析、配置合規(guī)分析、漏洞敞口分析、補丁修復分析等方法，識別并產生系統(tǒng)安全問題。平臺根據(jù)系統(tǒng)安全問題的不同類型，觸發(fā)相應的處置過程，結合IT運維流程，推動安全團隊、IT運維團隊和資產責任人的協(xié)作和互動，實現(xiàn)問題處置的閉環(huán)，并將反饋結果送入數(shù)據(jù)中臺，觸發(fā)新一輪的碰撞分析。通過這種持續(xù)的閉環(huán)運行，實現(xiàn)持續(xù)的資產納管和對資產安全姿態(tài)的全程掌控，并最終實現(xiàn)系統(tǒng)安全的實戰(zhàn)化、體系化、常態(tài)化運行。

　　　展開來說，系統(tǒng)安全運行服務支撐平臺包含以下幾個特色功能：

　　(一)基于開放架構的資配漏補管理工具集成。平臺能夠采集企業(yè)和組織中存在的分散的資產信息?；陂_放式、可擴展架構設計，平臺能夠通過多種方式對接和集成國內外各種品牌和型號的資配漏補管理工具，譬如各類資產測繪系統(tǒng)、漏洞掃描工具、配置核查工具、漏洞管理產品、主機管理產品、終端管理產品、CMDB、IT資產管理系統(tǒng)等。

　　(二)基于大數(shù)據(jù)分析的持續(xù)資產清點。平臺基于大數(shù)據(jù)分析，并融合數(shù)據(jù)倉庫技術和圖數(shù)據(jù)分析技術，實現(xiàn)資產的持續(xù)清點;通過整合資產、配置、漏洞等要素信息，采用多種碰撞比對分析算法，識別各種資產安全問題，并通過人機交互的問題處置過程維持資產清單的完整性、準確性和一致性。

　　(三)基于時空建模的統(tǒng)一資產安全信息庫。奇安信國內首個實現(xiàn)了對資產的時空建模，將資產的安全屬性空間和時間維度進行疊加，建立了一個具備時空特征的統(tǒng)一資產安全信息庫，能夠記錄每個資產的每個安全屬性的歷史變化，并能夠參與檢索分析。

　　(四)基于切片的漏洞補丁情報。奇安信國內首家推出了基于切片的漏洞補丁情報生產方式，為用戶提供漸進疊加式持續(xù)裝配的NOX漏洞補丁情報，在保證情報輸出及時性、高效性的基礎上，實現(xiàn)了情報內容的豐富性。奇安信NOX漏洞補丁情報不僅融合了CVE、CVD、CNVD、CNNVD等漏洞庫的通用信息，還特別包括了漏洞的POC信息、EXP信息、配置(OVAL)信息、檢測信息、緩解措施信息、補丁有效性信息。此外，基于奇安信威脅情報中心領先的全球探查能力，還在漏洞補丁情報中推出了漏洞熱度評價、漏洞定級評價。最后，NOX漏洞補丁情報能夠輸入到平臺中參與持續(xù)的資產漏洞碰撞分析。

　　(五)基于流程的常態(tài)化系統(tǒng)安全運行。平臺一方面基于數(shù)據(jù)驅動幫助用戶構建全面準確統(tǒng)一的資產安全信息庫，另一方面基于流程驅動常態(tài)化的安全運行工作。奇安信設計了一套面向系統(tǒng)安全的運行流程框架和模板，能夠幫助用戶快速實現(xiàn)個性化的實戰(zhàn)化安全運行，將資配漏補管理工作融入到日常的安全運行中。

　　(六)基于編排的自動化漏洞緩解。平臺借助奇安信領先的SOAR技術，實現(xiàn)了編排化的漏洞緩解。用戶能夠預置的劇本，在安全運行流程的牽引下，聯(lián)動WAF、IPS、FW等安全設備，實現(xiàn)對特定漏洞的自動化緩解和解除，大幅提升系統(tǒng)安全問題處置的效率。

　　展望我國的十四五規(guī)劃，企業(yè)和組織的數(shù)字化轉型將進入爆發(fā)期，網(wǎng)絡空間安全將面臨更加嚴峻的挑戰(zhàn)。要筑牢安全根基，就必須優(yōu)先解決好資產不清、漏洞不明、情報缺失、流程不通等基礎安全問題，這正是“系統(tǒng)安全”的目標所在。“系統(tǒng)安全”建設作為基礎安全的重點工作，能夠為安全防護提供助力，也能為數(shù)據(jù)安全提供助力，為零信任安全提供支撐，是各類安全能力的基礎。奇安信推出的系統(tǒng)安全運行服務支撐平臺，為實現(xiàn)上述目標提供了一條切實可行的行動路徑。

特別提醒：本網(wǎng)信息來自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網(wǎng)有任何內容侵犯您的權益，請及時聯(lián)系我們，本站將會在24小時內處理完畢。