2021-4-15奇安信VM漏洞管理系统盛华安事业部系统安全工程组1建设必要性漏洞管理建设背景随着互联网的日益发展，越来越多的漏洞逐渐被发现，资产受到的威胁也在逐渐增加，导致需要在漏洞方面分配大量的人手进行维护。由于组织网络和系统中资产基数较大，管理较为混乱，甚至出现了资产无法识别的情况；平时也需要不同的维护人员针对不同的平台、不同的系统进行漏洞的检测及加固工作，缺少对于漏洞相关工作的统一管理系统，导致对于发现的漏洞在加固和整改工作方面缺少有效的监督和管理手段。 网络运营部门面临资产数量庞大、漏洞来源多、漏洞数量大、漏洞管理困难及分析维度单一的困惑。在宏观管理上，无法掌握全景资产、漏洞、威胁、风险态势，无法掌握漏洞防护情况，漏洞管理运维层层脱节，难以形成合力。漏洞检测中，数据无法整合，进行集中管理和汇总分析，应用服务漏洞和代码漏洞解决方面存在问题，检测缺乏自动化手段，机制得不到自检和提升。如何判断漏洞是否真实存在，漏洞的可利用性信息获取严重不足，对渗透测试工作的管理和评价不足，能力得不到有效提升；在漏洞修复中，没有办法快速抓取关键漏洞。缺少工具，无法全面管理和跟踪修复工作，复测工作难以开展，无法评价修复效果；漏洞分析报告可读性差，无法获取有价值的信息。没有挖掘数据价值，角度不够，缺乏新意。获取报告周期长，无法适应新的漏洞形势。缺乏提前预警，漏洞爆发时，事前不知，事后被动漏洞爆发时，无法定位漏洞，无法快速告警及派发工单任务。漏洞与攻击爆炸式增长漏洞数量逐年递增，根据CNNVD国家漏洞库统计，2017年上半年的漏洞数量已经超出了过去全年的漏洞总量。2018年共出现24160个漏洞。漏洞出现速度加快，平均每月出现2013个，每天出现66个。而这个增长速度随着工业互联网、5G等新技术的出现，还会迭代递增。随着新兴技术的研究运用、IT领域多向的拓展，在2021年漏洞和攻击增长的趋势更为迅猛。 从IBM公布的数据可以看到历年来被攻击和利用漏洞数量，在近年呈现一种爆炸增长的趋势。 从一个漏洞被宣布到它开始在外部被利用，以前我们有大约一个月的时间，在2017年我们有大约一周的时间（平均），现在可能只有24h的时间国家层面的监管决心 战略 法律 条例 规定 标准《国家信息化发展战略纲要》提升全天候全方位感知网络安全态势能力，做好等级保护、风险评估、漏洞发现等基础性工作，完善网络安全监测预警和网络安全重大事件应急处置机制《中华人民共和国网络安全法》提第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告《关键信息基础设施安全保护条例（征求意见稿）》第三十三条运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的，应当及时采取措施消除风险隐患，涉及重大风险的应当按规定向有关部门报告《网络安全漏洞管理规定（征求意见稿）》立即对漏洞进行验证，对相关网络产品应当在90日内采取漏洞修补或防范措施，对相关网络服务或系统应当在10日内采取漏洞修补或防范措施《GBT22239-2019信息安全技术网络安全等级保护基本要求》入侵防范：应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞应对未来安全挑战的需求随着虚拟计算、大数据、5G、IPV6等新技术的应用，计算环境越来越复杂，管理的资产类型和规模越来越庞大，资产动态变化，资产信息变更越来越频繁。带来更多的不确定性。使得资产和漏洞管理难度和复杂性大大增加，管理问题越来越棘手。新兴技术崛起管理资产庞大复杂资产变更频繁 资产风险暴露面扩大无资产漏洞闭环管理缺乏体系化运行平台资产规模几何级的增长，带来的是网络威胁数量的几何级增长，导致的结果将是更多的不可预料的网络安全风险，需要尽快建设资产和漏洞闭环管理，以系统安全管理平台为运转中心，尽快形成体系化的系统安全管理能力。 针对护网行动工作的需求“护网行动”是国家网络安全主管部门为落实国家网络安全法律、法规，而发起的长期专项行动，旨在检验各单位信息基础设施和重点网站网络安全的综合防御能力和水平。关键信息基础设施是护网中的重点目标，各单位和部门必须守土尽责，密切配合，完善预案，积极应对，切实强化国家关键信息基础设施安全防护，加快构建“攻防兼备”的关键信息基础设施安全保障体系，实现全天候全方位感知和有效防护。这就需要运用实战化的系统安全体系对资产和漏洞进行全面的梳理，以找到和控制风险暴露面，缩小攻击面，提升安全防御水平。护网行动趋向于常态化被动防御→主动防御被迫拔网线断业务重边界轻内网临时抱佛脚类防护现状加强基础架构安全趋势因基础架构安全不完善导致一攻即破，业务被迫中断 2观念亟需转变，不能固守老思维