Shownotes Transcript
选自公众号:安全村SecUN
原文链接:漏洞全流程自动化动态清零运营与实践|大湾区金融安全专刊·安全村)
1、战术思路
对于来自全栈云漏洞、容器漏洞、网络及特种设备扫描漏洞、HIDS主机入侵检测、情报漏洞、渗透测试漏洞等多途径、多源头的漏洞输入,中信银行依托安全运营管理平台、安全漏洞管理平台、安全漏洞整改相关系统等8套系统,完成漏洞分级分类、CMDB资产信息补充,关联自动化修复方案,分派漏洞修复整改工单,漏洞自动化验证工作,实现线上化安全漏洞全生命周期管理。通过“标准化、流程化、自动化”模型建立安全漏洞管理体系,实现漏洞“动态清零”处置。
2、实践详情
①建立安全漏洞评估机制,提升海量漏洞管理工作成效
针对上述多途径、多来源的漏洞,结合漏洞可利用性、漏洞CVSS评分,组织安全评估团队开展漏洞评审,评审结果按照行内漏洞等级整改要求进行后续的漏洞整改工作。安全漏洞评估机制的建立,突破了传统由高到低修复漏洞的管理方式,快速推动修复,在有限资源下提升海量漏洞管理工作成效。
②建立漏洞修复方案库,实现漏洞修复自动化处置
针对已收录的漏洞信息,我行漏洞修复方案研发团队开展已知漏洞修复脚本的研发,建立安全漏洞自动化修复方案库,截至目前我行已累计具备自动化修复的漏洞类型达426种。我行漏洞自动化修复方案平均研发时间可实现十小时级别。
③建立安全漏洞管理流程,实现漏洞分级责任人分派
通过安全运营管理平台、安全漏洞管理平台对采集上述的多途径来源漏洞,进行分类分级、聚合,补充资产信息、自动化修复方案、定位漏洞处置管理员、分派整改工单,下发漏洞整改工单,回传安全漏洞管理平台,记录漏洞工单的状态及自动化处置情况。
④建立漏洞修复自动化变更流程,实现自动化整改、实施与验证
我行自建自动化运维管理平台(简称:PAAS中台),主要承载所有基础设施层面变更的自动化管理工作。系统管理员只需按照自动化模板填入相关参数,包含字段:系统名称、IP地址、实施时间等,关联安全漏洞自动化修复脚本,自动生成变更工单,执行漏洞修复自动化变更,自动化变更平均实施时间在10分钟左右。
⑤达成安全漏洞“动态清零”的管理目标
以上漏洞修复技术方案建立后,我行安全漏洞从发现到有效修复平均时间由15个工作缩短为1个工作日内,实现安全漏洞当日发现当日修复的“动态清零”目标,整体缩短了安全风险的敞口,提升了安全风险的管理目标。
3、应用效果
通过该自动化安全漏洞识别和处置机制、实现安全漏洞“动态清零”和安全风险整改常态化和闭环管理,大幅度提升了安全风险的督办和整改效率。2023年度我行通过自动化发现和处置安全漏洞二十余万,达成整体整改率99.96%,主机漏洞自动化修复实施时间平均10分钟,覆盖全行19万+台主机服务器,应用系统应对已知漏洞的能力得到显著增强。