漏洞治理平台的设计与实现
原文
漏洞治理平台的设计与实现
原创: 小黄安全工作实录 小黄的安全工作实录 2018/09/10
部分笔记
1 对资产的定义
由 [] 包裹的是可选项
资产 = (IP, 端口, 服务, [应用所用的开源组件, 应用指纹])
资产 = URL
记录 应用所用的开源组件/应用指纹 的主要目的也是某些通用开源组件突发漏洞时能迅速评估影响范围。
2 自研扫描器/POC 的主要目标还是应对突发事件 (安全厂商可能不能在几小时内提供更新)
3 扫描时注意考虑相关主机的承载能力
需要注意的是这类高并发扫描逻辑要考虑被扫描资产的承载能力,尽量把压力分散到不同被扫描设备上,分散方法有很多,比如将POC和资产一一对应后随机进入扫描任务,或者以POC为核心逻辑,POC1下所有IP扫描完成后再扫描POC2等等,总之不要盯着一个IP玩命扫就是了。
4 持续进行新上线主机发现的逻辑
按经验来说漏洞的高发区域就是新增的资产和服务
① 资产扫描后针对新增资产进行漏洞扫描,比较特殊的情况是:系统第一次运行所有资产都是新增的,所以第一次漏扫是全网扫描。之后每次资产扫描后,只针对新增资产进行漏扫。重点来了,这个逻辑将循环执行,我们起名叫“永不停歇模式”。
5 容易宕机的设备
特殊系统漏洞目前还无法扫描:一些专业设备不能识别,尤其是一些阉割版的Linux系统。笔者遇到过不止一次遇到接收畸形包就自杀的设备。针对这类设备我们需要进一步的识别,识别出来之后只能先忽略,专用设备的漏洞实在无力去跟踪,只能寄希望于厂商。
商业化漏洞管理平台
一些商业漏洞管理平台列表
1 IBM Qradar
2 HP Arcsight
3 启明星辰 泰合SOC
4 Splunk
5 瀚思安信 HanSight 下一代安全管控平台
6 LogRthythm NGSIEM
7 东软 NetEye SOC
8 Forint FortiSIEM
9 Trustwave SIEM
10 360网神 SecFox-SNI
非商业化平台
DefectDojo
宜信 洞察
SeMF
Fuxi-scanner
Xunfeng
Leave a Reply