兩高一弱

面對(duì)全球網(wǎng)絡(luò)攻擊日趨組織化、產(chǎn)業(yè)化的嚴(yán)峻態(tài)勢(shì)，需要通過持續(xù)化、常態(tài)化的安全風(fēng)險(xiǎn)管理，為政府、企事業(yè)單位整體的信息系統(tǒng)運(yùn)行提供保障，幫助其安全水平實(shí)現(xiàn)從“基礎(chǔ)合規(guī)”到“有效防護(hù)”的升級(jí)。其中，資產(chǎn)安全管理的水平?jīng)Q定了組織安全風(fēng)險(xiǎn)管理能力的上限。然而，網(wǎng)絡(luò)中長(zhǎng)期存在的“兩高一弱”（高危漏洞、高危端口、弱口令）問題，嚴(yán)重制約了政企單位整體網(wǎng)絡(luò)安全水平的提升。

近年來，公安機(jī)關(guān)及各行業(yè)主管部門高度重視“兩高一弱”問題，持續(xù)開展專項(xiàng)整治行動(dòng)，針對(duì)重點(diǎn)行業(yè)單位互聯(lián)網(wǎng)資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)的安全風(fēng)險(xiǎn)隱患，形成常態(tài)化排查和整改機(jī)制，旨在減少政企單位資產(chǎn)脆弱點(diǎn)，提高整體安全防御能力。在此背景下，建立一套行之有效的“兩高一弱”場(chǎng)景解決方案對(duì)政企單位網(wǎng)絡(luò)安全運(yùn)營(yíng)工作而言迫在眉睫。

天融信根據(jù)多年的信息安全領(lǐng)域研究成果和項(xiàng)目經(jīng)驗(yàn)，針對(duì)高危漏洞、高危端口服務(wù)和弱口令等低投入、高收益的攻擊特點(diǎn)，推出資產(chǎn)探測(cè)與發(fā)現(xiàn)、脆弱性采集和脆弱性分析管理的“三步走”綜合整治方案。該方案的核心優(yōu)勢(shì)是能夠進(jìn)行資產(chǎn)信息、脆弱性信息與脆弱性管理動(dòng)作之間的關(guān)聯(lián)，進(jìn)而支撐資產(chǎn)脆弱性識(shí)別與處置，輔助安全風(fēng)險(xiǎn)與事件處置，協(xié)助政企單位針對(duì)“兩高一弱”問題開展日常安全管理與運(yùn)營(yíng)工作。

第一步?資產(chǎn)探測(cè)與發(fā)現(xiàn)?

從安全實(shí)戰(zhàn)的視角來看，只要是可操作的對(duì)象，不管是實(shí)體還是屬性，都可以稱之為“網(wǎng)絡(luò)資產(chǎn)”。政企單位的網(wǎng)絡(luò)資產(chǎn)從業(yè)務(wù)管理視角來看，可分為互聯(lián)網(wǎng)暴露面資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)兩大部分。

互聯(lián)網(wǎng)暴露面資產(chǎn)通常包括：IP、URL、端口、服務(wù)、公有云、SaaS應(yīng)用等網(wǎng)絡(luò)資產(chǎn)。

內(nèi)網(wǎng)資產(chǎn)通常包括：硬件設(shè)備、軟件、數(shù)據(jù)庫、操作系統(tǒng)、虛擬機(jī)、容器、物聯(lián)網(wǎng)設(shè)備、打印機(jī)外設(shè)等網(wǎng)絡(luò)資產(chǎn)。

政企單位首先依托于相關(guān)產(chǎn)品和服務(wù)，建設(shè)自身資產(chǎn)發(fā)現(xiàn)與識(shí)別能力，建立互聯(lián)網(wǎng)資產(chǎn)臺(tái)帳、內(nèi)網(wǎng)資產(chǎn)臺(tái)帳、資產(chǎn)映射關(guān)系表、網(wǎng)絡(luò)拓?fù)鋱D等資產(chǎn)管理機(jī)制。其次，在資產(chǎn)發(fā)現(xiàn)與識(shí)別能力建設(shè)基礎(chǔ)上，再建設(shè)資產(chǎn)標(biāo)識(shí)能力，包括所屬業(yè)務(wù)、應(yīng)用、組織、責(zé)任人，以及資產(chǎn)類別、安全級(jí)別、部署位置等屬性。

發(fā)現(xiàn)與識(shí)別能力是資產(chǎn)管理的基礎(chǔ)，標(biāo)識(shí)能力則決定了資產(chǎn)管理能夠發(fā)揮的最大效用。在資產(chǎn)底數(shù)不清的情況下，針對(duì)資產(chǎn)存在的高危漏洞、高危端口和弱口令，信息采集、修復(fù)、整改、封堵、管理等網(wǎng)絡(luò)安全工作將無從開展。

引用業(yè)內(nèi)一句話：你保護(hù)不了你看不見的東西。

第二步?脆弱性采集?

政企單位在建設(shè)好資產(chǎn)發(fā)現(xiàn)識(shí)別以及資產(chǎn)標(biāo)識(shí)能力的基礎(chǔ)上，還需進(jìn)一步開展脆弱性采集工作。脆弱性采集常見的手段有以下四種：

● 掃描工具搜集

通過建立掃描任務(wù)，選定掃描器、選擇白名單、制定掃描目標(biāo)、配置掃描端口，搜集網(wǎng)絡(luò)內(nèi)系統(tǒng)漏洞、開放端口、弱口令情況。

● 人工搜集

通過在線檢查和離線破解手段，對(duì)政企單位內(nèi)外網(wǎng)系統(tǒng)和應(yīng)用進(jìn)行脆弱性檢查，包括：郵箱、OA、應(yīng)用類系統(tǒng)、外部系統(tǒng)、工控系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件、操作系統(tǒng)等網(wǎng)絡(luò)資產(chǎn)。

● 報(bào)告導(dǎo)入

通過導(dǎo)入政企單位已有的脆弱性報(bào)告/成果，或者第三方評(píng)估團(tuán)隊(duì)的脆弱性報(bào)告/成果，進(jìn)行脆弱性采集。

● 其他搜集方式

建立協(xié)同或者整合任務(wù)，由安管部門和安服人員對(duì)已經(jīng)發(fā)現(xiàn)的脆弱性建立報(bào)表，并進(jìn)行消冗、去重、合并和補(bǔ)全。

政企單位可以根據(jù)脆弱性采集成果，梳理形成“兩高一弱”臺(tái)帳清單，為后續(xù)建立脆弱性管理機(jī)制奠定堅(jiān)實(shí)的基礎(chǔ)。

第三步?脆弱性分析管理?

通過資產(chǎn)探測(cè)與發(fā)現(xiàn)、脆弱性采集工作開展，政企單位已經(jīng)可以充分識(shí)別自身資產(chǎn)及其脆弱性，在此基礎(chǔ)之上開展分析和管理工作。

脆弱性分析

政企單位結(jié)合自身情況，可以通過優(yōu)先級(jí)評(píng)估算法模型對(duì)脆弱性進(jìn)行加權(quán)評(píng)分。對(duì)于帶有多個(gè)漏洞實(shí)例的資產(chǎn)，方案支持同時(shí)對(duì)多個(gè)脆弱性風(fēng)險(xiǎn)值進(jìn)行加權(quán)計(jì)算，客觀反映資產(chǎn)脆弱性風(fēng)險(xiǎn)情況。方案從漏洞危害等級(jí)分布、高危漏洞類型占比、高危主機(jī)漏洞影響資產(chǎn)以及漏洞趨勢(shì)等方面，針對(duì)政企單位網(wǎng)絡(luò)范圍內(nèi)的所有脆弱性問題進(jìn)行集中分析。

脆弱性管理

● 脆弱性通報(bào)預(yù)警管理

向安全管理部門上報(bào)平臺(tái)資產(chǎn)和脆弱性情況，同時(shí)對(duì)接安全管理部門下發(fā)的工單指令和任務(wù)指令等，對(duì)上報(bào)數(shù)據(jù)傳輸進(jìn)行記錄，對(duì)上報(bào)狀態(tài)進(jìn)行展示和反饋。

● 漏洞全生命周期管理

關(guān)聯(lián)資產(chǎn)漏洞和漏洞預(yù)警等信息，歷經(jīng)研判、整改、復(fù)測(cè)、審核等具體階段，對(duì)每個(gè)階段指定責(zé)任人進(jìn)行分段分權(quán)管理，形成漏洞處置閉環(huán)。

● 脆弱性整改考核管理

根據(jù)政企單位自身的情況制定考核規(guī)則，從脆弱的接收數(shù)量、脆弱性處置數(shù)量、脆弱性處置率、處置及時(shí)率和告警修復(fù)率等多維度，對(duì)脆弱性處置情況進(jìn)行統(tǒng)計(jì)分析及考核管理。

在《GB/T 20984-2022 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》中，將“安全措施”列為除資產(chǎn)、威脅、脆弱性之外的第四大風(fēng)險(xiǎn)要素。“安全措施”失效、無效，本身就是一種極大的安全風(fēng)險(xiǎn)，政企單位需要定期對(duì)當(dāng)前安全措施的有效性開展驗(yàn)證工作。天融信提出兩種針對(duì)安全措施的有效性驗(yàn)證機(jī)制：一是采用入侵和攻擊模擬系統(tǒng)，針對(duì)“兩高一弱”制定的安全策略有效性進(jìn)行驗(yàn)證；二是采用自動(dòng)化滲透測(cè)試系統(tǒng)，針對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行安全加固整改后的效果進(jìn)行驗(yàn)證。

● 脆弱性態(tài)勢(shì)管理

對(duì)各項(xiàng)脆弱性指標(biāo)、資產(chǎn)數(shù)據(jù)、安全告警以及高危漏洞、高危端口、弱口令、安全基線等數(shù)據(jù)的負(fù)責(zé)人和處置情況進(jìn)行實(shí)時(shí)追蹤，對(duì)資產(chǎn)的總體狀況和脆弱性情況進(jìn)行集中管理，充分明確漏洞的影響范圍，對(duì)政企單位內(nèi)脆弱性影響資產(chǎn)、告警資產(chǎn)、受影響的資產(chǎn)和受影響的業(yè)務(wù)系統(tǒng)，做到“心中有數(shù)”。

TOPSEC

“兩高一弱”的專項(xiàng)問題整治，不應(yīng)只是為了應(yīng)付檢查、應(yīng)對(duì)重要時(shí)期保障的臨時(shí)性工作，政企單位應(yīng)從組織機(jī)構(gòu)、人員素養(yǎng)、制度流程和技術(shù)工具四個(gè)維度不斷建設(shè)完善自身網(wǎng)絡(luò)安全能力，要將偶爾的“百米短跑”變成持久的“馬拉松”，實(shí)現(xiàn)網(wǎng)絡(luò)安全的實(shí)戰(zhàn)化、體系化、常態(tài)化。

“謀長(zhǎng)遠(yuǎn)之策，行固本之舉”，天融信推出針對(duì)“兩高一弱”的“三步走”綜合整治方案，包含產(chǎn)品工具、規(guī)劃咨詢和技術(shù)服務(wù)，以資產(chǎn)發(fā)現(xiàn)管理為起點(diǎn)，以脆弱性全生命周期管理為終點(diǎn)，形成動(dòng)態(tài)循環(huán)。各政企單位可根據(jù)自身實(shí)際情況選擇適合的解決方案，構(gòu)建針對(duì)“兩高一弱”專項(xiàng)問題的閉環(huán)管理長(zhǎng)效機(jī)制。

未來，天融信將持續(xù)監(jiān)控并關(guān)注最新的安全風(fēng)險(xiǎn)和攻擊手段，并根據(jù)這些信息不斷優(yōu)化、迭代產(chǎn)品和服務(wù)，確保能夠幫助各政企單位有效應(yīng)對(duì)不斷變化的安全挑戰(zhàn)，攜手“建久安之勢(shì)，成長(zhǎng)治之業(yè)”！