资产安全管理这个问题其实是一个历史悠久的问题,从ISMS诞生以来基本困扰着所有人至今,无论在企业还是在安全公司,都亲身体会或看到很多人对这件事的苦恼,甚至大部分人员采取回避或接受资产安全管理的难堪现状,不如玩玩其他看似高大上的活儿,有成绩有门面有效果。不过最近看到行业里又刮起一股资产漏洞管理的风,简单看过几个公司产品及开源工具,以下话题就缩减为资产漏洞管理范围了之。
一是目标定位问题。我们做任何事情都是有一个结果的,凡事有因必有果,不论是否思考或规划,总之会产生一个或好或坏结果,如果事前我们来扪心自问想要个什么结果,那就是目标的定位过程,这个定位往往来自于当事人内心深处的需求,这个需求大多两种:一种来自于实际漏洞管理工作的困难;另一种希望做出点成绩,在内部表现一下。对于资产漏洞管理这个事情,作为企业安全管理人员,本人也扪心自问了一番,最后简单勾画出来以下这样的需求:
这个需求的目的是希望能够从业务的角度去呈现每个系统下面每个模块的每个主机详细的漏洞存留信息,从而大处可以呈现整体业务系统的健康状态,小处可以追踪每个主机上(包括OS/中间件/DB等)存在的具体漏洞状态信息,以便于高层或其他非专业人员能够直观感受业务系统的健康状态,同时也能够解决安全人员自身的管理问题。
二是如何实现这个目标的问题。顾名思义,资产漏洞管理必须要包含资产+漏洞+管理三个要素。
(1)资产数据的采集。从企业IT管理的角度来看,资产管理往往是由运维部门通过CMDB或其他资产管理系统来实现,所以作为安全人员不必深究如何管理资产,仅仅考虑如何做好资产数据的消费者即可,这点应该是大多企业安全管理者的痛点,主要原因大多两点:一是企业压根没有CMDB或资产管理系统;二是企业的CMDB做得比较烂,数据不准,接口封闭。这两种情况对于安全人员是比较大的考验,如何利用自身的管理智慧去推动这个事情,因人而异,因地制宜,毕竟三分技术、七分管理不是说说就算了的。
(2)漏洞数据的采集。这个问题是安全人员的特长,不在此作过多的描述,各种漏洞扫描工具、系统、人工测试的数据都可以导入进来,没有什么特别的地方,关键是漏洞数据与资产数据的关联,预计是很难一步到位,毕竟CMDB数据的准确性是备受质疑的,也不会非常及时更新,难免假如人工干预校对。
(3)漏洞管理。全生命周期的管理思维,相信大多数人都已经考虑到,但在具体的企业环境中,可能还是会遇到很多落地问题,因为漏洞的修复可能在JIRA里作为开发任务流程,也可能在ITSM里作为变更流程运行,如何与各流程工具对接,保证漏洞管理系统中的漏洞状态与流程系统中的流转状态一致,也不是说说就可以的事情,跨部门跨产品的二开对接,在企业里从来都不是那么简简单单的。
三是统计分析问题。漏洞管理工具本质上解决的是一个管理问题,那么就需要用管理的思维去呈现事情的结果。这个结果往往是给非安全人员尤其是高层领导去看的,所以仪表盘的设计非常考研安全人员的IQ,运维、安全甚至整个IT往往被认为是后端苦逼部门,时常抱怨付出太多,所获关注太少,也许先自醒其身是否比较妥当?如果一定要让我们去看业务部门的工作结果,我们更希望看到的是什么?繁琐的工作内容、流程还是简单直观准确的数字?就本人而言,经常喜欢设置一些漏洞修复率、及时率、漏洞重现率等这样一些类似于SLA的数字,有兴趣者可参考。
总之,资产的漏洞管理是一个没有多大技术含量但确实比较难完美解决的事情。但只要迈开了第一步,终会往前行,办法总比困难多。
来源:freebuf.com 2020-06-23 17:49:33 by: 天堂没有路001
请登录后发表评论
注册