對(duì)于企業(yè)內(nèi)部的安全負(fù)責(zé)人來說，漏洞管理就像一個(gè)無(wú)底洞。新的應(yīng)用不斷上線，老系統(tǒng)更新版本，讓漏洞源源不斷。長(zhǎng)久下來，好像漏洞無(wú)窮無(wú)盡，怎么都修不完。漏洞挖掘和漏洞管理就像一個(gè)無(wú)底洞，是一個(gè)永遠(yuǎn)不能填平的坑。

漏洞管理這個(gè)概念業(yè)界提出來也是有很久了，但是一直沒有特別好的實(shí)踐案例?？偨Y(jié)起來導(dǎo)致這樣的情況的原因主要有以下5個(gè)方面：

1. 漏洞來源多

安全管理工作最重要的一點(diǎn)，就是不斷的發(fā)現(xiàn)自身弱點(diǎn)并加強(qiáng)自身，所以用各種手段發(fā)現(xiàn)自身網(wǎng)絡(luò)的弱點(diǎn)，是至關(guān)重要的一環(huán)。

隨著企業(yè)安全建設(shè)的不斷深入，漏洞發(fā)現(xiàn)的渠道變得越來越多。包括：系統(tǒng)漏洞掃描器、web漏洞掃描器、代碼審計(jì)系統(tǒng)、基線檢查工具、POC漏洞驗(yàn)證腳本、人工滲透測(cè)試、甚至自建或第三方代管的SRC。

2. 修復(fù)涉及人員多

整個(gè)漏洞安全管理的漏洞發(fā)現(xiàn)、漏洞驗(yàn)證、漏洞修復(fù)、漏洞跟蹤和驗(yàn)收等工作環(huán)節(jié)中，會(huì)有各類崗位上的人員參與。包括：第三方安全廠商安全服務(wù)外包人員、內(nèi)部安全管理團(tuán)隊(duì)、內(nèi)部的產(chǎn)品研發(fā)團(tuán)隊(duì)、第三方產(chǎn)品研發(fā)團(tuán)隊(duì)、安全負(fù)責(zé)人和安全部門上級(jí)領(lǐng)導(dǎo)。與各個(gè)環(huán)節(jié)的人員溝通協(xié)調(diào)的工作相當(dāng)復(fù)雜，消耗相當(dāng)多的精力。

3. 工作結(jié)果數(shù)據(jù)雜

在企業(yè)安全管理的過程中，安全漏洞管理是復(fù)雜繁瑣、讓人頭痛的事情，漏洞錄入、跟進(jìn)、處理、驗(yàn)證、修復(fù)完成整個(gè)循壞下來。期間會(huì)出現(xiàn)無(wú)數(shù)的文檔，包括漏洞說明文檔、漏洞驗(yàn)證文檔、漏洞修復(fù)建議文檔、各類漏洞修復(fù)的過程文檔和各個(gè)環(huán)節(jié)的溝通信息。會(huì)出現(xiàn)成千上萬(wàn)的信息。這需要好的方法與技巧，不然著實(shí)讓人充滿疲憊與無(wú)力感。

4. 對(duì)接廠商和品牌多

第三方的安全服務(wù)始終是安全管理工作投入最多的部分。漏洞挖掘的工作涉及的范圍多，涉及的廠商和人員多、涉及到的設(shè)備類型也多。外包工作的管理繁雜，如何科學(xué)的評(píng)估廠商的能力需要完整的數(shù)據(jù)支撐。

5. 安全管理平臺(tái)多

態(tài)勢(shì)感知、SOC、SIEM等系統(tǒng)都需要大量的數(shù)據(jù)。大多數(shù)是圍繞著流量、日志、告警為核心的平臺(tái)，但是漏洞的管理數(shù)據(jù)維度多，來源雜，要將該類數(shù)據(jù)納入到統(tǒng)一管理平臺(tái)涉及的工作十分的多，維護(hù)起來也非常復(fù)雜。想要做好自動(dòng)化調(diào)度更是涉及的工作內(nèi)容繁復(fù)。

在具體的漏洞管理工作中，我們面臨的問題遠(yuǎn)遠(yuǎn)不止上述這些。那么一個(gè)好的漏洞管理平臺(tái)需要具備哪些自我修養(yǎng)，才能解決上述問題呢?

筆者認(rèn)為一款好的漏洞管理平臺(tái)應(yīng)該具備以下幾個(gè)特征：全面且開放、自動(dòng)化和流程化、及時(shí)響應(yīng)和數(shù)據(jù)支撐決策，用于應(yīng)對(duì)上述的問題。

1. 全面且開放：

全面收錄漏洞相關(guān)的數(shù)據(jù)，做到一個(gè)平臺(tái)覆蓋所有漏洞相關(guān)的數(shù)據(jù)。

第一：具備資產(chǎn)探測(cè)能力，可以全方位的覆蓋管轄資產(chǎn)，不遺漏任何可能存在的薄弱環(huán)節(jié)。不論是硬件還是軟件，不論是應(yīng)用還是數(shù)據(jù)，這些都需要通過明確的資產(chǎn)臺(tái)賬記錄，并分配明確的安全責(zé)任人。保證漏洞檢測(cè)對(duì)象覆蓋全面;

第二：對(duì)各類來源的漏洞秉持開放態(tài)度，接受所有品牌和各種類型來源的漏洞數(shù)據(jù)，包括漏洞掃描器、基線檢測(cè)、代碼審計(jì)、灰盒檢測(cè)工具、風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、眾測(cè)、企業(yè)SRC等平臺(tái)數(shù)據(jù)。數(shù)據(jù)來源覆蓋全面;

第三：對(duì)為企業(yè)做滲透測(cè)試、代碼審計(jì)、漏洞掃描、基線檢測(cè)的三方安全服務(wù)廠商開放并建立對(duì)應(yīng)身份的賬號(hào)，便于三方安全服務(wù)廠商基于漏洞管理平臺(tái)工作。并可以通過漏洞管理系統(tǒng)統(tǒng)一下發(fā)各類漏洞檢測(cè)任務(wù)至第三方服務(wù)商，形成更加高效的協(xié)作方式，提高效率、方便管理;

第四：可將資產(chǎn)和漏洞數(shù)據(jù)對(duì)內(nèi)部的統(tǒng)一安全管理平臺(tái)開放，提供為統(tǒng)一安全管理平臺(tái)輸入資產(chǎn)和漏洞相關(guān)數(shù)據(jù)的能力。

2. 自動(dòng)化和流程化：

第一，自動(dòng)調(diào)度：具備可以自動(dòng)化調(diào)度各類掃描器，自動(dòng)收集漏洞數(shù)據(jù)。讓數(shù)據(jù)收集的工作不再只是通過表格傳遞，讓數(shù)據(jù)可以有歷史依據(jù)，方便查找和后續(xù)的漏洞管理;

第二，自動(dòng)任務(wù)：合理的周期掃描不僅可以幫助公司更快發(fā)現(xiàn)漏洞，還可以幫助他們大大降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。具備靈活的制定計(jì)劃任務(wù)的能力，可根據(jù)漏洞驗(yàn)證和修復(fù)節(jié)奏來制定計(jì)劃任務(wù)，讓漏洞掃描任務(wù)低調(diào)靜默執(zhí)行;

第三，處置流程：將漏洞通過客戶現(xiàn)有的工作流程下發(fā)，盡可能讓安全管理團(tuán)隊(duì)和其他業(yè)務(wù)部門的配合工作可同步到企業(yè)內(nèi)部的工作流程中去，不另開流程讓漏洞管理平臺(tái)低調(diào)運(yùn)行，不讓客戶內(nèi)部配合成本增加。

3. 及時(shí)響應(yīng)：

第一：及時(shí)的1day漏洞響應(yīng)能力，可快速通過資產(chǎn)臺(tái)賬各類指紋條件進(jìn)行過濾，定位受影響資產(chǎn)，及時(shí)決策;

第二：通過SAAS化的漏洞響應(yīng)中心快速通報(bào)和同步新漏洞的POC，協(xié)助客戶快速驗(yàn)證漏洞是否存在于企業(yè)內(nèi)部資產(chǎn)中。披露了漏洞利用詳情的重大漏洞，其對(duì)應(yīng)的POC響應(yīng)時(shí)長(zhǎng)不能超過24小時(shí)，從而更加及時(shí)的應(yīng)對(duì)新型漏洞。

4. 數(shù)據(jù)支撐決策：

第一：所有漏洞數(shù)據(jù)可以清晰的統(tǒng)計(jì)出，待驗(yàn)證、待修復(fù)、待驗(yàn)收等各項(xiàng)關(guān)鍵指標(biāo)，也可以基于業(yè)務(wù)場(chǎng)景、系統(tǒng)管理部門、問題處置時(shí)長(zhǎng)等各種維度統(tǒng)計(jì)漏洞各項(xiàng)數(shù)據(jù)。以便安全團(tuán)隊(duì)基于數(shù)據(jù)推進(jìn)和匯報(bào)工作。讓漏洞管理工作的決策有理可循，有據(jù)可依;

第二：通過平臺(tái)發(fā)放第三方外包人員賬號(hào)，滲透測(cè)試、漏洞掃描、基線檢測(cè)、風(fēng)險(xiǎn)評(píng)估、代碼審計(jì)這一類的安全服務(wù)工作的成果數(shù)據(jù)都錄入到系統(tǒng)，可更好的查看工作進(jìn)度。也可以通過平臺(tái)輸出統(tǒng)一的報(bào)告文檔。種類眾多的安全服務(wù)周期性強(qiáng)，數(shù)據(jù)文檔多，判斷一個(gè)服務(wù)商的工作成果是否好，不再只是通過幾次優(yōu)秀表現(xiàn)、主觀感受和關(guān)系親疏來判斷，而是可以基于累計(jì)的整體數(shù)據(jù)綜合評(píng)估，有理有據(jù);

第三：資產(chǎn)數(shù)據(jù)、漏洞數(shù)據(jù)結(jié)合業(yè)務(wù)場(chǎng)景更加綜合的分析得出哪些部分需要加強(qiáng)防御策略，基于業(yè)務(wù)重要性和漏洞嚴(yán)重性判斷，調(diào)整漏洞修復(fù)策略的優(yōu)先級(jí)。

總結(jié)：

一個(gè)好的平臺(tái)可以讓漏洞管理工作更加輕松有效，讓更多的精力投入到如何加強(qiáng)漏洞挖掘能力和提高安全事件響應(yīng)能力的建設(shè)上去。