[[388390]]

0x00、工作負載漏洞管理需求

在中大型政府或者企業(yè)安全治理過程當中，無法回避的一個問題就是承載業(yè)務(wù)系統(tǒng)的工作負載漏洞管理，無論是在平臺建設(shè)初期，上級監(jiān)管部門對平臺等保合規(guī)的監(jiān)管要求;還是護網(wǎng)重保期間或者日常安全運營的期間，防范來至犯罪集團APT攻擊。都需要針對工作負載做行之有效的漏洞運營管理。但是，在我接觸到的用戶中，安全運營團隊能充分利用安全產(chǎn)品，達到預期的效果用戶的不多。從工作負載漏洞管理價值角度思考，

一、安全防范效能提升工具

在CSO眼中，工作負載管理系統(tǒng)是安全防范效能提升工具，通過產(chǎn)品提供的能力，降低安全人員的時間投入，當您作為安全運營人員，負責上千臺或者上萬臺服務(wù)器的漏洞管理工作，你需要的是：

1、全網(wǎng)工作負載快速漏洞檢測

當你新到一家公司，無任何商業(yè)化的漏洞管理工具，這種情況，你只能在單機上通過傳統(tǒng)的腳本統(tǒng)計漏洞信息，然后匯總到一起，使用excel輸出漏洞報表。這種方法工時至少1人周。對于安全運營的投入ROI太低。

2、批量自動修復

檢測出來漏洞列表后，就需要修復，如果通過腳本修復，需要把修復不成功的原因上傳到服務(wù)端，同時，對修復過程中出現(xiàn)的各種各樣的問題，要及時處理。例如：物理機內(nèi)核補丁修復，云主機內(nèi)核漏洞修復失敗，容器內(nèi)置組件。

二、工作負載漏洞運營另外一個價值點在于提升安全防范能力。

1、當有最新漏洞出現(xiàn)的時候，需要及時修復，防止公網(wǎng)和內(nèi)網(wǎng)的0day入侵。

2、在護網(wǎng)/重保期間，由于業(yè)務(wù)系統(tǒng)組件迭代頻繁，導致很多新上的組件引入了新的漏洞，需要防止公網(wǎng)和內(nèi)網(wǎng)的0day入侵。例如：主機上應(yīng)用于本地提權(quán)的漏洞，web組件入侵常用的fastjson。

3、如果是政務(wù)云系統(tǒng)，那需要過合規(guī)這關(guān)，需要導出累積修復漏洞列表。

三、目標對象

目前，在公有云、私有云、混合云中，主要分兩部分，一是租戶側(cè)工作負載的漏洞管理，涉及到的對象，有虛擬主機、原生容器&K8s、用戶自建容器&K8s。虛擬主機是目前主流的工作負載，還有一些創(chuàng)新企業(yè)，為了，進一步提升資源利用率，開始嘗試容器平臺取代虛擬化平臺。所以自建容器&k8s需要支持。對于安全級別要求比較高的企業(yè)，容器平臺使用的原生容器(有精簡的操作系統(tǒng)做隔離)，這種場景也需要支持。對于平臺側(cè)安全，其實就是物理機、容器平臺。

0x01、產(chǎn)品設(shè)計

整體架構(gòu)設(shè)計

業(yè)務(wù)流程，分為漏洞庫建設(shè)，客戶端采集軟件信息上傳對比，漏洞信息展示與修復。

1、通過各種線上漏洞數(shù)據(jù)源，定期下載相關(guān)文件，xml解析，同時根據(jù)需求把各個漏洞數(shù)據(jù)寫入到elastic search中。

2、同時下載yum/apt源數(shù)據(jù)，把yum/apt對應(yīng)軟件的版本低于漏洞數(shù)據(jù)源期望的軟件版本，設(shè)置成不對用戶展示。對新增漏洞在測試環(huán)境中自動修復，返回修復失敗的軟件也設(shè)置對用戶不可見，實現(xiàn)漏洞庫準入管理。

3、前臺用戶點擊全局驗證時，通過服務(wù)器端任務(wù)管理系統(tǒng)，下發(fā)檢測命令，客戶端會上傳rpm、deb包數(shù)據(jù)。通過對比程序把存在漏洞的軟件寫入到漏洞展示庫elastic search中。

4、前臺用戶點擊自動修復時，通過服務(wù)器端任務(wù)管理系統(tǒng)，下發(fā)自動修復命令。由客戶端執(zhí)行，并且反饋結(jié)果到elastic search中。

模塊1：漏洞庫建設(shè)

@1、需要獲得RSHA和USN漏洞相關(guān)資源，主要是根據(jù)開源操作系統(tǒng)提供的漏洞公告，關(guān)聯(lián)對應(yīng)的CVE數(shù)據(jù)。然后通過CVE中CVSS對漏洞評級或者分類。中文部分調(diào)用自然語言學習API處理入庫。

https://oval.cisecurity.org/repository/download

http://cve.mitre.org/data/downloads/index.html

需要提取的字段

@2、提供產(chǎn)品調(diào)用OpenAPI

1、漏洞檢測OpenAPI

輸入：客戶端獲取到軟件名稱以及軟件版本，返回：以上所有字段

2、漏洞庫管理API

需要對漏洞庫實現(xiàn)準入機制;同時對入庫的各個字段進行編輯，包括：是否前端展示，中文描述，RHSA/USN安全公告中文，安全公告類型標識中文，安全公告類型標識英文

@3、提供增量更新機制

模塊2：客戶端采集數(shù)據(jù)

數(shù)據(jù)庫結(jié)構(gòu)設(shè)計

rpm -qa 獲取軟件包信息

yum deplist

通過日志模塊上傳到logstash，寫入到elastic search 服務(wù)器。

模塊3、漏洞展示&修復

數(shù)據(jù)展示部分：

通過主機視角、漏洞公告視角展示相關(guān)的漏洞信息。

同時通過漏洞安裝狀態(tài)返回，例如：依賴版本修復狀態(tài)， yum/apt源配置。

任務(wù)下發(fā)部分：

通過用戶界面觸發(fā)全局驗證、或者單臺驗證、或者單個漏洞驗證。通過任務(wù)控制模塊傳遞到客戶端，執(zhí)行日志上傳模塊。

0x02、漏洞運營

無論產(chǎn)品易用性做的有多好，也需要人員來維護。產(chǎn)品方面盡量做到標準化，當然也會碰到異常情況。這時候就需要，產(chǎn)品研發(fā)團隊和用戶漏洞運營團隊齊心協(xié)力把問題解決。

如若轉(zhuǎn)載，請注明原文地址。