【SDL最初實踐】安全響應
- 2020 年 3 月 4 日
- 筆記
「 漏洞總是在不斷的湧現,即使是前面的各項安全活動中均已達標,產品在上線後依舊會面臨新增漏洞的攻擊。對於安全風險的警覺和發現能力以及渠道,需要逐步建立並完善、運營。」
01
—
安全目標
在傳統軟體開發生命周期中,與技術相關的最後一階段是響應,微軟在該階段所推崇的安全活動為執行事件響應計劃。在實際落地時,可針對響應的渠道進行擴展,比如從漏洞預警資訊監測、從SRC接收到產品相關的漏洞資訊等入手;也可將被動式接收產品漏洞資訊,轉變為每季度進行漏洞掃描,主動發現已上線產品的漏洞並進行安全響應。
對於已發生的資訊安全事件,則需要按照預先設定好的應急響應手冊進行事件處置,此處不做展開。
02
—
安全活動
在安全響應階段,安全活動主要圍繞安全事件響應、季度漏洞掃描、安全威脅預警開展。
1)安全事件響應
此處的安全事件響應較為狹義,主要是指產品由於存在安全漏洞或缺陷導致的被攻擊、業務受影響等事件的應急處置。發現的手段除了直接監測產品異常、安全設備上的攻擊類告警,還有從SRC、POC等平台上接收到的漏洞。
2)季度漏洞掃描
在線產品的定期漏洞掃描十分有必要,可持續發現產品中由於功能變更、掃描描器規則更新等帶來的新漏洞。較為常見的做法是黑盒掃描,選擇合適的時間使用商業或自研的掃描器對目標系統進行掃描。通常會有一些比較棘手的問題,比如非登錄掃描發現較少有價值的漏洞,登錄掃描實現起來難度不小且很可能對線上環境帶來臟數據、造成服務中斷等影響。
3)安全威脅預警
針對公司產品的技術架構、第三方組件名稱與版本、使用的框架等資產資訊進行有效的漏洞預警,可以將該部分的安全變為主動。通過對CVE漏洞、CNVD漏洞庫、中國外安全公司的安全風險通告監測,適時發現相關的漏洞資訊以作出相應措施。
03
—
安全實踐
1)對外接收漏洞響應
目前絕大多數非自主發現的漏洞都來源於SRC,由此見得SRC作為企業對外接收漏洞渠道的重要程度與必要性。在接收到漏洞並進行處理時,有幾項工作需要注意:
- 漏洞響應時間:這是對安全人員的SLA要求,針對不同風險等級的漏洞設置不一樣的處置時間,處置動作包括:驗證漏洞、同步漏洞至漏洞管理系統、指定漏洞修復人、推動漏洞修復等。
- 漏洞修復時間:根據漏洞的不同風險等級制定完成修復時間,此處的修復由於是生產環境中,所以會比安全測試階段發現漏洞要求修復的時間短。自漏洞響應開始計時:
- 漏洞復盤工作:通過漏洞資訊反推至日常的安全工作中,主要體現在安全測試、安全防護、安全運營三方面: ①安全測試:是否經過安全測試才上線、安全測試時為什麼沒有發現、漏洞掃描器規則是否有覆蓋 ②安全防護:漏洞地址是否在安全資產管理平台、是否有檢測到白帽子的payload ③安全運營:經過綜合分析後對漏洞進行定級,並判斷作為安全事件進行通報
2)線上系統漏洞掃描不足與坑點
生產環境的定期巡檢掃描,可以解決工具能力級別的安全漏洞,避免被白帽子提交簡單的漏洞及被監管單位進行掃描時通報。同時,還面臨著掃描效果的挑戰與帶來線上安全事故的風險。需要不斷完善掃描器規則,並在掃描前做好相關人員的知會工作。
- 掃描效果:定期的掃描工作可能由於掃描規則沒有新增、安全防護等因素導致難以發現漏洞。針對掃描規則方面,可以通過不斷新增掃描規則進行完善,若是商業漏掃,則可以通過交叉使用不同的掃描器進行加強;對於安全防護,可以在防護設備上設置白名單或通過內網進行掃描,既需要在開啟防護策略時掃描,也需要暢通無阻無防護狀態下的掃描。
- 安全風險:線上環境的功能設計不合理、業務邏輯不合常規等問題,很可能導致掃描器工作時,產生大量的垃圾數據或直接造成系統功能受影響甚至不可用。在掃描前,郵件通知到資產責任人、ops、安全設備管理人員是必要的步驟,以便於正確處理掃描產生的惡意流量與發生事故後第一時間能恢復。
3)漏洞預警渠道與處置機制
關於漏洞的預警,需要在了解公司資產的情況下開展才能全面、高效、準確基礎上,進行評估後再啟動內部的預警與處置。
- 資產管理:普遍存在的難題之一,但是對於漏洞預警方面不得不去面對這個刺頭,唯有把它當做日常工作開展才會有好的結果。借用領導的一句話「平時多流汗,應急少流血」
- 漏洞渠道:常見的漏洞渠道有Twitter、CVE漏洞平台、CNVD漏洞平台、奇安信cert等,自動化的監測並告警到相關責任人,及時響應並作出預判。
- 處置流程:通常包括接收預警、評估影響、啟動預警、漏洞跟進、驗證總結等流程。其中,評估影響範圍與漏洞跟進較為難做,涉及到很多因素,比如資產所處網路環境(內/外網)、資產的重要程度(核心/一般資產)、預警漏洞的風險等級(高危/中危/低危)、利用難易程度(難/簡單)、找不到漏洞修復責任人等。
- 啟動預警:根據漏洞的影響評估結論,對內部發布公告或郵件通知,其內容可包括漏洞描述、風險等級、影響範圍(版本)、處置建議、參考鏈接。
04
—
持續優化
作為SDL的最後一環節,不再是具體到某一個產品針對性的開展安全活動,而是通用的、常規進行安全運營。漏洞預警處置中的漏洞推修落實情況,一直是公認頭疼的事情。先不說漏洞是否在不影響生產環境下完美修復,就連存在漏洞的資產有哪些可能都梳理不全,這也反映出資產安全管理、漏洞管理的痛點,屬於較為綜合類的難題。介入安全運營的思路,把能發現的資產先推修,持續地發現問題並把能發現的問題都解決,終將迎來不菲的成績。
