漏洞定位:漏洞需要与相应的管理员进行匹配,以确定谁对其负责。主机漏洞主要靠IP匹
配。在一些组织中,应用程序类漏洞和主机类漏洞需要通知给不同的人。Windows和Linux
主机操作系统有基础设施组管理,而其上运行的WEB和应用有应用组管理。在某些情况下
,有可能在一台机器上运行多个应用程序,而这些应用程序由不同的应用程序管理员负责。
当然,这是罕见的。通常,在一台机器上运行的应用程序由某个应用程序管理员负责。当
漏洞与资产相关联时,有几个问题需要解决:
WEB和host:WEB格式等漏洞的规范化格式可能是http://xxx.xxx.xxx.xxx:8080/path/to/vul,,
而IP是http://XXX.XXX.XXX.XXX.XXX.如何规范化,有些产品采用protocol://IP:port/uri。
例如,windowsSMS17-010漏洞的格式可能是SMB://http://xxx.xxx.xxx,而SQL注入漏洞
的格式可能是http://xxx.xxx.xxx.xxx:8080/showArticle.但是会有如何判断之前的协议,一
般扫描仪是没有的。因此,一些制造商分别管理web资产和主机资产。
而IP是http://XXX.XXX.XXX.XXX.XXX.如何规范化,有些产品采用protocol://IP:port/uri。
例如,windowsSMS17-010漏洞的格式可能是SMB://http://xxx.xxx.xxx,而SQL注入漏洞
的格式可能是http://xxx.xxx.xxx.xxx:8080/showArticle.但是会有如何判断之前的协议,一
般扫描仪是没有的。因此,一些制造商分别管理web资产和主机资产。
应用漏洞与应用资产的关联:难点在于应用漏洞与资产的关联。资产需要分为操作系统和
应用程序,每个操作系统和应用程序都有多个管理员。应用漏洞往往需要IP和应用标签
进行匹配,前提是有应用资产信息(例如WEB漏洞的URL为http://IP:Port/path/to/vul,应
用标签为B应用,IP对应的资产在关联前应包含B应用信息)。
应用程序,每个操作系统和应用程序都有多个管理员。应用漏洞往往需要IP和应用标签
进行匹配,前提是有应用资产信息(例如WEB漏洞的URL为http://IP:Port/path/to/vul,应
用标签为B应用,IP对应的资产在关联前应包含B应用信息)。
资产遗漏:部分主机资产找不到,部分应用资产检测不完全,这是一个由来已久的问题
。这里推荐的基于Agent的资产检测产品,对于资产的识别和检测,比远程扫描要有效
得多。例如,一些HIDS产品已经具有非常丰富的资产识别功能。这一节其实涉及到资
产管理的内容。最基本的就是要有主机和应用的资产信息。本文暂不讨论,将在后续
文章中分享。
。这里推荐的基于Agent的资产检测产品,对于资产的识别和检测,比远程扫描要有效
得多。例如,一些HIDS产品已经具有非常丰富的资产识别功能。这一节其实涉及到资
产管理的内容。最基本的就是要有主机和应用的资产信息。本文暂不讨论,将在后续
文章中分享。
漏洞通知:之前的做法是给一个excel表格,然后发送给有漏洞知识库的关联管理员,
但是你会发现,当漏洞数量达到3位数时,发送电子邮件是一项非常劳动密集型的工
作。当然,如果电子流程做得好,可以和OA工单整合。但是你有没有想过,你会遇
到以下几种情况:部分员工没有工单系统账号:大型企业有很多外包员工,其中一些没
有权限访问工单系统,没有工单系统账号。你如何识别和报告他们?解决方案是建
立一个专门用于安全事件通知的集中工单系统,或者使用邮件、短信和工单进行通
知。
但是你会发现,当漏洞数量达到3位数时,发送电子邮件是一项非常劳动密集型的工
作。当然,如果电子流程做得好,可以和OA工单整合。但是你有没有想过,你会遇
到以下几种情况:部分员工没有工单系统账号:大型企业有很多外包员工,其中一些没
有权限访问工单系统,没有工单系统账号。你如何识别和报告他们?解决方案是建
立一个专门用于安全事件通知的集中工单系统,或者使用邮件、短信和工单进行通
知。
漏洞多导致工单多:漏洞少的时候,运维和R&D有心情配合你修复;数量太大的时候
,很容易造成工作订单的堆积无法完成,会给他们造成很大的心理压力。解决方案
是一次只推送几个高优先级的漏洞。
,很容易造成工作订单的堆积无法完成,会给他们造成很大的心理压力。解决方案
是一次只推送几个高优先级的漏洞。