多维安全漏洞治理是一个系统工程,它关注于提升数据信息资产的安全性,特别是在安全管理领域中,如何利用CMDB(配置管理数据库)等工具和平台来实现漏洞管理的高效执行。东方证券邬晓磊在《多维安全漏洞治理.pdf》中详细讨论了管理中的痛点、方案与实践以及收获与展望。
在管理痛点方面,邬晓磊指出了资产威胁管理所面临的几个主要挑战:信息维度多、数据种类多、数据依赖人工处理以及数据关联度不高。这些痛点使得企业在安全治理方面存在盲点和低效的问题。面对这些挑战,解决思路包括提高CMDB的价值,实现多平台信息的融合化,以及不断提高自动化的水平。
在方案与实践方面,文档中提到了使用高价值CMDB来提升业务层、应用层、软件实例层以及基础架构层的信息融合。通过CMDB,可以实现对不同层次资产的实时数据和静态数据的监控与分析,从而对资产进行有效的风险评估和威胁情报管理。在实践方面,东方证券应用了奇安信CMDB威胁情报队列/存储系统来实现监控、分析、可视化和输出资产统计信息。核心组件包括静态基础数据库、外部工具(如威胁情报、扫描器等)、实时数据环境、数据可视化以及关联处理和信息转换等。
在漏洞管理方面,文档强调了持续监测漏洞变化的重要性。通过每周对漏洞库进行快照比对分析,可以自动化地得到漏洞修复的情况,并将这些信息与CMDB资产库中的负责人信息关联起来。一旦发现漏洞,系统可以自动通过工单或邮件通知安全负责人进行处理。漏洞的流程化处理涉及从新设备信息的获取、漏洞扫描器任务的自动下发、漏洞信息的整合、工单整改以及持续监控直至漏洞修复等环节。
在实时威胁发现方面,文档描述了如何将安全实时日志集中至Elasticsearch进行保存和分析。通过Kibana插件Sentinl配置实时触发的告警规则和动作,提取关键信息进行SQL关联分析和威胁情报关联,从而实现对攻击行为的及时发现和响应。
每日报表的制作也是多维安全漏洞治理的一个重要环节,文档中提及通过ESindex中的数据进行安全维度的分类统计,将每日攻击情况及相关信息发送给安全负责人。数据源包括ES_search、ES_action_api、mysql等,通过对这些数据的聚合、关联分析、过滤规则、生成报表、信息推送等操作,最终实现对威胁情况的汇总和展示。
总体而言,多维安全漏洞治理是一种综合性的安全管理措施,它需要将各种管理策略、技术手段和自动化工具结合起来,以确保信息资产的安全。通过持续监测、流程化处理、实时威胁发现和日报表的制作,可以有效地构建起一个完整的信息安全管理闭环。在这一过程中,CMDB发挥了核心作用,它不仅是资产信息的集中地,还是自动化安全流程的重要支撑平台。随着技术的发展,特别是大数据、人工智能在安全领域的应用,多维安全漏洞治理将变得更加智能化、自动化,从而为企业带来更高水平的安全防护。
