《证券网络安全漏洞管理研究与实践.docx》由会员分享,可在线阅读,更多相关《证券网络安全漏洞管理研究与实践.docx(10页珍藏版)》请在第壹文秘上搜索。
1、证券网络安全漏洞管理研究与实践近年来,随着我国数字经济发展的提速,网络安全防护 和保障能力的重要性日益凸显。国家“十四五”规划提出:全 面加强网络安全保障体系和能力建设,维护水利、电力、供 水、油气、交通、通信、网络、金融等重要基础设施安全。 中华人民共和国网络安全法关键信息基础设施安全保 护条例证券期货业网络安全等级保护基本要求等法律法 规和行业标准的相继施行,全国性、区域性、行业性的网络 安全攻防演练呈现常态化,对证券行业网络安全漏洞管理能 力提出了更高要求。根据国家互联网应急中心(CNCERT)统计, 国家信息安全漏洞共享平台(CNVD)2020年新增收录通用软 硬件漏洞数量创历史新高,
2、达20704个,近5年新增收录漏 洞年均增长率为17. 6虬漏洞影响了证券行业网络的机密性、 完整性和可用性,可导致用户个人信息泄露、数据加密勒索 等安全事件的发生,使国家金融安全、社会秩序稳定受到威 胁,投资者合法权益受到损害。作为证券行业的关键信息基础设施运营单位,广发证券 股份有限公司(以下简称“广发证券”)现有信息系统资产规模 较大、种类较多,全面而有针对性地发现和整改安全漏洞难 度较高。目前,广发证券通过部署主机入侵检测系统 (HIDS)Agent采集资产信息,通过配置管理数据库(CMDB)登 记基础资产信息(IP、域名和服务器),但与安全漏洞相关的 中间件、框架信息登记还有待完善。
3、漏洞检测以远程方式为 主,使用漏洞扫描和渗透测试相结合的方式,重点对互联网 信息系统开展安全测试,并周期性开展内网系统的漏洞扫描, 但漏洞扫描报告和人工渗透测试报告等无法进行平台化、模 块化、流程化管理。一、漏洞管理现状及问题分析在规范漏洞管理流程之前,广发证券采用手工方式登记 漏洞信息,采用流程协同方式进行漏洞整改,存在协同难度 高、闭环考核难、漏洞信息保密性差等问题。此外,因登记 的漏洞信息未能与CMDB. HlDS等资产信息进行有效整合,导 致出现新的高危安全漏洞时难以快速精准定位资产,应急响 应速度及覆盖范围难以提升,漏洞管理效果欠佳。为此,广 发证券使用“人机料法环测”5MIE的方法
4、进行鱼骨图(因果图) 分析,共找到9处安全漏洞管理症结及成因(如图1所示), 主要表现在以下几个方面。漏洞整改方式未有效沉淀环境安全漏 标准“新出现安全漏洞 频率高、危害大漏洞处理考核导向不明确方法图1安全漏洞管理症结及成因的鱼骨图分析一是漏洞来源广泛、数量多。不仅需从绿盟RSAS.Acunetix Tenable等多种漏洞扫描工具获取漏洞,还需从 渗透测试报告、内部漏洞上报、外部漏洞通告中获取漏洞信 息。二是漏洞整改跟踪缺少工具支撑。由于资产信息、漏洞 管理处于闭环流程,处置过程需要跨业务、部门和系统的协 作,需要技术对接、流程打通、信息传递。三是安全漏洞分级标准不明确。各类漏洞定级、不同类
5、 型漏洞的整改期限缺乏统一标准。四是漏洞整改方式未有效积淀。漏洞的自查方式、整改 方式欠缺,未能形成有效知识库。二、解决思路与实现路径L解决思路参照Gartner提出的漏洞管理生命周期模型,在确定资 产边界、用户角色、漏洞评估工具、漏洞处理策略及识别资 产环境的前提下,漏洞管理应以PDCA循环方式开展,具体分 为评估、划分优先级、处理、再评估、改进五个环节。针对漏洞管理效果欠佳的问题,广发证券提出整体规划、 分步实施的原则,通过平台化、模块化、流程化的解决思路, 逐步建设广发证券平台化的漏洞管理系统,将安全人员从繁 杂的手工作业中解放出来,投入到核心环节和核心问题的解 决中,如业务视角的漏洞风
6、险分析、漏洞与威胁情报联动、 沉淀漏洞整改方式、调整全局安全策略及合规性要求。漏洞管理系统遵循模块化的设计思路,围绕资产库、漏洞库、知识库三项核心能力进行模块构建。同时,设计具备 流程适配性的工单系统,以支撑漏洞处理任务的闭环管理。一是资产库。作为安全工作的基础,采集、识别多源数 据。二是漏洞库。关联资产库关键字段,定位相关部门和责 任人。三是知识库。沉淀漏洞修复方法和经验,辅助系统运维 和开发人员执行具体修复操作。四是工单系统。固化漏洞整改涉及的流程及环节,对接 企业门户进行待办提醒。五是API接口。满足外围系统指标化运营管理的需要, 输出漏洞管理相关数据。2.实现路径漏洞管理系统通过工单闭
7、环管理、资产数据采集、自动 化漏洞采集、漏洞数据与资产数据关联分析等功能,实现漏 洞闭合管理的工具支撑(如图2所示),其关键措施有以下几种。安全态势检索视角切换报告中心闭环监控闭环检索组织视角闭环报表漏洞统计漏洞检索网络视角安全报告资产统计资产检索漏洞视角漏洞简报系统管区域配邮箱配自动化漏洞采集资产数据采集绿盟RSASCMDB. HIDSHIDS手工导入AWVS资产认领数据存储与关联分析LDAP 酉漏洞推状态更延迟处数据存储数据去重责任人关联资产指纹图2漏洞管理系统架构关键字段定义设计漏洞管理工作的本质是从风险管理视角,围绕结构化的 关键字段信息进行全流程闭环的场景设计。广发证券对资产、 组织
8、、风险、责任人等漏洞管理的核心数据进行了详细的属 性标记,并将其作为漏洞管理系统的基础数据支撑。(2)多源数据采集与去重通过接口对接,漏洞管理系统定时采集多个上游系统 (漏洞扫描器、CMDB.云管平台、HIDS)的数据,包括资产数 据、漏洞数据,根据数据优先级对数据进行合并,扩大数据 覆盖范围,提高数据覆盖的准确性。(3)漏洞闭环管理为了解决资产属性不清晰、相关负责人不明确、闭环不 完整等问题,广发证券通过对接CMDB,将漏洞评估时需要的 关键信息采集到漏洞管理系统中,匹配资产属性、相关负责 人及部门信息,快速定位漏洞责任人。通过漏洞闭环管理流程(如图3所示),系统录入漏洞库、 定位资产信息、
9、关联责任人,再由安全人员通过工单系统派 发处置工单,根据漏洞处置实施细则设定流程监控指标,监 督修复进度和结果复核,从而形成PDCA循环。图3漏洞闭环管理流程(4)供应链安全管理供应链漏洞尤其是开源组件漏洞具有影响范围广、危害 大的特性,广发证券对HIDS采集组件数据及漏洞数据进行 分类整理,并根据漏洞可利用性、危害性、影响范围进行分 级,优先修复高危漏洞,通过漏洞复现形成相关修复过程文 档并提交至知识库中,助力开发人员升级或替换Struts2. Fastjson等经常出现漏洞的组件。(5)完善漏洞管理相关制度为了确保漏洞管理工作的有效推进,广发证券发布了广发证券网络安全漏洞管理实施细则,对漏
10、洞评估及处 理的职责、漏洞定级、处理期限等方面进行了规范,在漏洞 管理系统设置了相应的流程,并根据漏洞级别对处理期限设 置了超时提醒机制,以支撑管理制度落地。三、漏洞管理实践效果广发证券漏洞管理系统实现了漏洞管理、资产管理、工 单管理、漏洞知识库及统计报表功能,并可用于漏洞发现、 通知流转、整改闭环的日常工作之中。与传统的安全人员远程扫描、整理漏洞及流转整改流程 的方式相比,广发证券漏洞管理系统上线之后,漏洞发现和 闭环的时间从2021年第三季度的平均41天缩短到2021年 第四季度的平均29天,有效缩短了漏洞平均处理时长,提高 了漏洞处理的及时率。2021年12月,Apache Log4j远
11、程代码执行漏洞(CVE- 2021-44228)及其利用代码在互联网上进行了披露,由于该 漏洞影响面极其广泛,漏洞利用难度低,互联网上漏洞利用 攻击尝试迅速出现,为广发证券信息系统的漏洞修复及响应 效率带来严峻挑战。广发证券一方面在Web应用防火墙、入 侵检测系统等网络及安全设备上完善防护和监测策略,在内 部DNS劫持攻击者利用的带外域名;另一方面使用主机和Web 扫描工具对各类系统发起远程扫描,同时利用漏洞管理系统 筛选使用Log4j组件的主机,对受影响版本的主机生成漏洞 工单,并流转给从CMDB系统获取的系统运维人员、开发人员 进行整改,最终完成漏洞整改流程闭环。四、漏洞管理工作未来规划广
12、发证券通过标准化、流程化的漏洞管理机制,解决了 协同难度高、闭环考核难、漏洞信息保密性差等问题,提升 了安全运营效果。漏洞管理是IT风险管理的具体措施,是事 前防御的直观体现。漏洞管理系统长时间的数据积累将为广 发证券网络安全规划、安全能力差距分析、供应链厂商风险 管理等方面的工作提供数据支撑及决策参考。未来,广发证 券将在以下几个方面进行持续改进。一是覆盖持续集成及持续交付(CI/CD)场景。集成Gitlab. Jenkins等工具链,实现应用资产、应用开发过程 中的漏洞管理左移。二是支持交互式应用安全测试(IAST)的漏洞管理。引入 IAST工具,最大程度利用测试团队资源提升漏洞检测的广度 和深度。三是覆盖云原生场景。随着云原生及容器技术的广泛应 用,漏洞管理系统需实现容器的资产及漏洞管理。