0x00、工作负载漏管理要求
在中大型 *** 或企业的安全管理过程中,不可避免的问题之一是承载业务系统的工作负荷漏洞管理。无论是在平台建设初期,上级监管部门对平台等合规监管要求,还是在 *** 保护或日常安全运行期间,防止犯罪集团APT攻击。有必要对工作负荷进行有效的漏洞操作和管理。然而,在我接触到的用户中,很少有安全操作团队能够充分利用安全产品,达到预期的效果。从工作负荷漏洞管理的价值来看,
一、安全防范效率提高工具
在CSO在我们看来,工作负荷管理系统是提高安全预防效率的工具。当您作为一名安全运营商,负责数千台或数万台服务器的漏洞管理时,您需要的是:
1、全网工作负载快速漏洞检测
当你来到一家没有任何商业漏洞管理工具的新公司时,在这种情况下,你只能通过传统的脚本在单机上统计漏洞信息,然后汇总在一起使用excel输出漏洞报表。这种 *** 至少工作一周。投资安全运行ROI太低。
2、批量自动修复
检测到漏洞列表后,需要修复。如果通过脚本修复,需要将修复失败的原因上传到服务端。同时,应及时处理修复过程中的各种问题。例如:物理机内核补丁修复、云主机内核漏洞修复失败、容器内置组件。
二、工作负荷漏洞运行的另一个价值点是提高安全防范能力。
1、当出现最新漏洞时,需要及时修复,防止公网和内网0day入侵。
2、在护网/重保期间,由于业务系统组件迭代频繁,许多新组件引入了新的漏洞,需要防止公网和内网0day入侵。例如:本地提权漏洞应用于主机,web常用的组件入侵fastjson。
3、若为政务云系统,则需要通过合规,需要导出累计修复漏洞列表。
三、目标对象
目前,公共云、私有云和混合云主要分为两部分。一是租户侧工作负荷的漏洞管理,涉及虚拟主机和原始容器&K8s、用户自建容器&K8s。虚拟主机是提高资源利用率,虚拟主机是目前的主流工作负用容器平台取代虚拟化平台,以进一步提高资源利用率。因此,自建容器&k8s需要支持。对于安全水平要求较高的企业,还需要支持容器平台使用的原始容器(采用简化的操作系统进行隔离)。对于平台侧的安全,实际上是物理机器和容器平台。
0x01、产品设计
整体架构设计
业务流程分为漏洞库建设、客户收集软件信息上传对比、漏洞信息显示和修复。
1、定期下载各种在线漏洞数据源,xml同时,根据需要将漏洞数据写入elastic search中。
2、同时下载yum/apt源数据,把yum/apt相应软件的版本低于漏洞数据源预期的软件版本,设置为不显示给用户。在测试环境中自动修复新洞,用户无法看到返回修复失败的软件,实现漏洞库访问管理。
3、当前台用户点击全局验证时,客户端会通过服务器端任务管理系统上传检测命令rpm、deb包数据。通过比较程序将漏洞软件写入漏洞显示库elastic search中。
4、点击自动修复时,前台用户通过服务器端任务管理系统发出自动修复命令。由客户端执行,反馈结果elastic search中。
模块1:漏洞库建设
@1、需要获得RSHA和USN漏洞相关资源,主要是根据开源操作系统提供的漏洞公告,关联对应的CVE数据。然后通过CVE中CVSS对漏洞进行评级或分类。中文部分用自然语言学习API处理入库。
https://oval.cisecurity.org/repository/download
http://cve.mitre.org/data/downloads/index.html
要提取的字段
@2、提 *** 品调用OpenAPI
1、漏洞检测OpenAPI
输入:客户端获取软件名称和软件版本,返回:上述所有字段
2、漏洞库管理API
要实现漏洞库的准入机制;同时编辑入库的各个字段,包括:是否前端显示,中文描述,RHSA/USN中文安全公告,中文安全公告类型,英文安全公告类型
@3、提供增量更新机制
模块2:客户端收集数据
数据库结构设计
rpm -qa 获取软件包信息
yum deplist
上传到日志模块logstash,写入到elastic search 服务器。
模块3、漏洞显示&修复
数据显示部分:
相关漏洞信息通过主机视角和漏洞公告视角显示。
通过漏洞安装状态返回,例如:依赖版本修复状态,yum/apt源配置。
任务分发部分:
通过用户界面触发全局验证,或单个验证,或单个漏洞验证。将执行日志上传到客户端。
0x02、漏洞运营
无论产品的易用性有多好,都需要人员来维护。产品应尽可能标准化,当然也会遇到异常情况。此时,产品研发团队和用户漏洞运营团队需要共同努力解决问题。
若转载,请注明原文地址。