攻擊面增長將成常態!天融信六步構筑漏洞閉環管理
如今,各行各業走上了向云端遷移之路,高度動態的云環境給傳統漏洞管理工作帶來越來越多的挑戰。一方面,網絡安全漏洞是大量網絡安全事件、網絡違法犯罪活動發生的罪魁禍首,防不勝防,即使是再嚴格的測試也無法根除網絡安全漏洞;另一方面,基礎電信企業經過多年建設,IT資產數量龐大,管理工作繁雜,云計算、大數據、工控和物聯網等新技術的廣泛應用,數字攻擊面持續增長將成為常態化趨勢,新的安全威脅不斷涌現。
由工業和信息化部、國家互聯網信息辦公室、公安部共同發布的《網絡產品安全漏洞管理規定》,作為《中華人民共和國網絡安全法》的重要配套規范,明確網絡產品提供者、網絡運營者,以及從事漏洞發現、收集、發布等活動的組織或個人等各類主體的責任和義務。此次規定的發布,標志著我國網絡產品安全漏洞管理工作的制度化、規范化、法治化。
漏洞管理作為企業安全建設的重要工作,需要一個清晰的、體系化的漏洞管理思路,以提高漏洞管理水平。為此,天融信提出網絡安全漏洞全生命周期閉環管理解決方案,以天融信漏洞管理平臺為主要載體,實施“六步走”策略,多角度覆蓋漏洞治理全流程,實現漏洞收集、驗證、處置、跟蹤的閉環管理效果。
第一步:對資產進行全量采集與發現,并通過自動化工單流轉建立標準化資產管理流程。
第二步:收集知名漏洞庫、開源社區、安全論壇、供應商官方網站等披露的漏洞信息,同步關聯存量資產,第一時間感知資產風險。
第三步:結合人工、自動化工具對漏洞有效性、真實性進行驗證,優先修復風險等級高的漏洞,提升漏洞修復效率。
第四步:持續跟蹤監測,對修復后的漏洞實施二次掃描研判,根據實際情況對防范措施做進一步改進。
第五步:建立漏洞發布內部審核機制,在滿足國家漏洞相關規定的情況下,按漏洞嚴重程度發布漏洞。
第六步:建立漏洞挖掘眾測機制,調動內、外部安全專家參與積極性,聯合多方技術能力,對業務系統和產品安全風險進行自查。
方案結合資產管理,漏洞收集、漏洞驗證、處置、眾測和報送等工作機制,持續提升網絡安全主動防御能力和水平,確保漏洞管理工作流程規范化、統一化、標準化,著力實現漏洞整改閉環管理。
全面化資產管理
借助天融信脆弱性掃描與管理系統對客戶資產全方位掃描探測,確保全面覆蓋漏洞管理對象。同時聯動天融信漏洞管理平臺對資產增刪、資產歸屬、工單流轉進行維護與管理。
流程化漏洞管理與處置
持續預警漏洞風險、關聯分析漏洞與資產、動態流轉漏洞驗證工單,全程跟蹤處置結果,實現漏洞精準化、流程化風險修復。
模塊化漏洞眾測
天融信漏洞管理平臺支持管理員發起眾測項目,對反饋的漏洞風險量化計分,鼓勵安全專家發揮其技術實力,更好地發現自有業務系統和產品的安全風險。
技術化漏洞挖洞
天融信安全服務團隊專注于網絡空間的攻擊技戰法、溯源、分析、防御技術的研究,挖掘傳統網絡空間及云、5G、IOT新環境下的軟硬件0day漏洞。
專業化漏洞庫建設
對接國家信息安全漏洞庫、開源漏洞情報、第三方威脅情報等漏洞來源,持續接收更新漏洞信息,可定制化實現與上級監管單位漏洞管理平臺任務指令的接收與響應。
定制化接口對接
打造上下貫通、部企協同、兩級聯動的安全漏洞監測與管理體系,實現行業安全漏洞態勢感知、風險預警、協同處置,提升行業安全漏洞管理能力。
方案價值
政策合規,實現漏洞及時修補:滿足《中華人民共和國網絡安全法》《網絡產品安全漏洞管理規定》以及《關鍵信息基礎設施安全保護條例》要求,實現對網絡產品、服務、系統等漏洞及時修補,提高網絡安全防護水平。
提高效率,降低業務風險:提升企業網絡安全漏洞管理工作效率,縮減安全漏洞發現、修復和有效監管時間,減少資產漏洞對網絡空間的安全威脅,提升國家關鍵基礎設施及業務系統安全性。
閉環管理,漏洞全生命周期防護:針對漏洞全生命周期防護,從資產采集、漏洞收集、漏洞驗證、漏洞處置、漏洞發布、漏洞跟蹤、漏洞消除進行全生命周期閉環管理,實現管理自動化、流程化。
多年來,天融信積極參與并承擔多項國家級、省部級重點網絡安全科研項目,持續為國家互聯網應急響應中心、中國信息安全測評中心提供大量技術及攻關支撐。目前,天融信已連續九年獲得國家信息安全漏洞庫(CNNVD)技術支撐單位(一級),連續四屆獲得國家信息安全漏洞共享平臺(CNVD)原創漏洞發現突出貢獻單位,首批獲得信創政務產品安全漏洞專業庫(CITIVD)技術支撐單位、工業和信息化部移動互聯網APP安全漏洞庫(CAPPVD),連續兩年獲得國家工業信息安全漏洞(CICSVD)優秀成員單位等榮譽。
