隨著網絡當中資產類型的增加,相關的安全漏洞種類也在不斷變多,安全風險的治理難度也在不斷增加。不論在真實的網絡攻擊還是在攻防演練當中,致命的問題往往出現在暴露面風險當中,成為攻擊者利用的主要途徑。近年來頻繁爆出的Struts2漏洞、WebLogic遠程代碼執行漏洞、Shiro反序列化漏洞等等,其所影響的框架或組件利用率很高,因此失陷后伴隨的影響面也非常大,每次都可能帶來大量損失。
根據CNCERT對2021年上半年我國互聯網網絡安全監測數據分析報告中的統計,國家信息安全漏洞共享平臺(CNVD)收錄通用型安全漏洞 13,083 個,同比增長 18.2%。其中高危漏洞收錄數量為3,719 個, “零日”漏洞收錄數量為7,107 個,受影響的是應用程序、Web應用和操作系統等。
背景需求
某農商銀行經過多年來的信息化發展,網銀、電子銀行等業務平臺大量對互聯網開放,對整個信息安全的管理和控制都提出了更高的要求。銀行對漏洞風險管理格外重視,組建了一支內部滲透測試團隊,在系統開發、上線與運行期間進行同步安全檢測與跟蹤,因此需要一套綜合高效的漏洞檢查方案。盛邦安全為客戶制定了一套資產與脆弱性風險管理解決方案,基于資產梳理和漏洞管理的思想出發,協助客戶進行日常的安全巡檢與管理工作。
建設方案
檢查和基線核查功能于一體,可以針對網站、信息系統、操作系統、數據庫、中間件、常用軟件、應用系統、虛擬化系統、網絡設備、安全設備和物聯網設備等各種網絡對象進行漏洞風險掃描,并支持基于內置和用戶自定義的弱口令掃描檢查,同時還可以結合系統基線、行業基線和等?;€進行配置合規檢查,提供多維度的全面風險檢查能力。另外,系統可以從資產和漏洞等維度出發,對整體脆弱性風險進行威脅等級評價、漏洞驗證、修復指導和管理跟蹤,為安全管理人員提供可靠的支撐平臺。
針對農商行客戶的安全檢查需求,需要同時關注總行、各分行及營業網點的安全風險情況,因此針對不同的網絡規模與環境,方案選用了三種形態的一體化漏洞掃描系統來分別應用。
◆ 針對總行環境,在安全管理區域部署標準的機架式設備,針對DMZ區域、辦公區域和服務器區域等不同安全域的設備與信息系統進行安全檢查;
◆ 針對分行等各二、三級單位,利用SOHO形態的設備,選擇靈活的部署位置快速接入網絡,實現高效的安全檢查;
◆ 對于部分無法部署固定設備的營業網點,可以采用便攜式形態設備即插即用,進行靈活的移動安全檢查,簡化設備的實施方式,減少網絡資源的消耗。
方案優勢
◆ 全面的風險檢查類型
一體化漏洞掃描系統集系統掃描、Web掃描、數據庫掃描、弱口令掃描和基線檢查能力于一體,通過單臺系統即可提供全面的脆弱性風險檢查與評估方案。
◆ 豐富的漏洞庫資源
一體化漏洞掃描系統內置了豐富的漏洞庫資源,可覆蓋全面的資產類型,并兼容CVE、CNCVE、CNNVD、CNVD、CVSS等多種漏洞標準,同時針對爆發的0day漏洞在24小時內提供響應,為漏洞管理工作提供了可靠支撐。
◆ 靈活的場景適應能力
一體化漏洞掃描系統包含了便攜式、桌面式、機架式和虛擬化等多種規格形態,可以根據不同的網絡和需求場景靈活選擇,提升了場景的適應性。
方案價值
◆ 提升對熱點漏洞的監控能力
方案可以幫助客戶做到對熱點漏洞的跟蹤,通過及時的漏洞庫更新和常態化的風險滲透測試,可以快速進行新增風險的定位與影響范圍定損,及時制定相應的修復與整改方案,降低生產損失。
◆ 增強整體的安全管理能力
方案集成了資產識別、掃描檢測、漏洞驗證、修復建議和跟蹤管理等一系列安全模塊,提供了從發現到驗證再到修復跟蹤的閉環管理能力,可以很大程度上減輕一線運維人員的工作壓力,提高安全管理工作的效率。同時,方案提供了資產和漏洞兩種脆弱性管理的維度,方便運維人員從重點資產和熱點漏洞兩個方向進行風險跟蹤,厘清暴露面風險。