icon漏洞管控平台介绍icon

漏洞管控平台是长亭科技自主研发的自动化、平台化的资产及漏洞管理产品。帮助用户建设以资产安全为核心,数据为驱动的资产和漏洞安全管理平台。平台将用户的检测能力、管理流程、内部数据、外部情报、各环节人员、事务(方法)等资产和漏洞相关的资源整合和管理。体系化解决由于数据分散、能力分散、流程松散、缺少决策、缺少协同而造成的各种碎片化的痛点和问题。构建网络安全核心竞争力,以组织整体的力量去应对实战化、体系化、常态化的网络攻击和监管。

icon平台功能icon

平台共分为八个功能模块:资产管理、漏洞管理、情报中心、检测管理、报告管理、工单管理、配置中心和系统管理。

各个功能模块主要实现的能力如下
(1)资产管理:全场景的资产数据采集、数据治理、管理和展示、暴露面识别及报警、多维度资产安全态势分析图表; (2)漏洞管理:全场景的漏洞数据采集、多源异构漏洞数据治理、漏洞数据清洗、优先级排序、漏洞生命周期状态管理; (3)情报中心:漏洞库、利用情报库、修复信息库、资产版本库全链条闭环知识库、查询、管理和共享;
(4)检测管理:资产检测、漏洞扫描、渗透测试工具集中调度管理;任务切分、生成、下发、状态监控、时间预测、容错处理等自动化管理;工具和整体检测能力指标性评价和可视化展示;
(5)报告管理:报告章节、样式、内容、输出格式、共享配置;报告生成和审计;
(6)工单管理:漏洞流转过程管理、工单与漏洞状态联动、人员工作量化指标;
(7)配置中心:功能开关、全局管理规则、数据初始化规则;自定义漏洞和资产数据字段、风险值加权计算规则、告警规则配置等;
(8)系统管理:多角色、多用户管理,数据权限与操作权限管理;系统升级、授权、日志管理;数据备份和恢复管理。
icon资产管理icon
全场景资产数据采集

平台具备从人工录入、文件导入、CMDB同步、终端安全系统同步、漏洞扫描结果、调度资产测绘工具主动探测等六种途径采集资产数据的能力。

多源资产数据治理

从多个来源采集的资产数据,其字段会碰到重复、冲突的情况,为获得完整的资产视图,需要对多源资产数据进行自动化的治理。包括冲突解决、数据字段去重合并等。主要能力包括:资产数据标准化、支持字段来源优先级设置、支持字段锁定、支持查看字段来源历史信息、支持人工选择资产字段值。

资产合规性管理

在互联网暴露面管理工作中,或者在其它的资产安全管理场景中,需要对不合规的资产进行监测、识别、告警和处理。 平台使用资产白名单功能,对资产的合规性进行管理。对于IP地址来说,不在白名单中的资产地址、端口和应用软件,就视为不合规项目,可自动对两次资产数据进行对比,识别出其中的不合规项,并自动进行报警。

资产图表

平台提供丰富的资产分析图表,包括对单个IP、网站、URL,以及分组输出多维度的图表。

资产历史数据管理

平台保存历次采集的资产数据信息。用户可查看和审计历次的数据,并可设置该历史数据是否有效,来决定是否对该数据进行统计分析。在历史数据管理中,用户可对任何两次历史数据进行比对,比较其中的变化情况。

资产数据查询检索

平台支持对分组属性、ip资产属性、网站资产属性的全部字段进行全库的查询和检索。

资产分组管理
平台在左侧通过多层级目录树的方式对资产进行管理,通过资产的分类、分层、分级管理,可帮助用户体现组织机构、业务结构等管理层级。点击全局或者局部分组,可随时掌握全局、分组局部、单个资产不同层级的资产、漏洞、风险情况。 分组目录可通过对用户进行数据权限的分配和授权,在各级分组下,查看各级分组下IP资产的端口、服务、漏洞数量、POC漏洞数量。并可手动和自动调整资产和分组的隶属关系,减少人工工作。
资产多视角管理
为了便于用户更方便的管理资产和漏洞,提供资产在不同视角下的分布情况及列表信息,提供丰富的管理和分析维度。15种IP资产视角:IP地址、主机名称、系统类型、设备类型、服务、端口、产品、联系人、重要程度、等级保护、涉密、A类、B类、C类、白名单;16种网站资产视角:网站、主机名称、系统类型、Web服务类型、技术架构、设备类型、FQDN、产品、联系人、重要程度、等级保护、涉密、一级域、二级域、三级域、白名单。
icon漏洞管理icon
可管理漏洞类型的全面性

平台可管理漏洞类型覆盖传统IT网络设备、工业互联网、物联网、APP、代码、容器漏洞。漏洞库覆盖CVE、CNNVD、CNVD漏洞条目。

漏洞属性丰富性和灵活管理

通过平台知识库提供丰富的漏洞知识链条,用户可查看全面的漏洞属性。 平台提供的标准漏洞属性中包含以下六个部分内容:基本属性、生命周期属性、原始检测信息、利用情报信息、网关防御信息、影响产品信息 平台允许用户为漏洞添加自定义属性,满足不同用户管理、分析漏洞的个性化需求。如添加漏洞批次、漏洞单位等。

全场景漏洞数据采集

平台支持人工录入、漏洞模版文件导入、漏洞扫描报告导入、驱动漏洞扫描工具主动扫描进行采集、驱动渗透测试工具主动渗透进行采集等方式采集漏洞数据。

漏洞数据标准化归一化处理

漏洞库如CVE、CNNVD、CNVD数据,与漏洞扫描数据、渗透测试的漏洞数据标准不同。每个收录组织、每个扫描器工具厂家都在维护自己的漏洞库标准,用户购置了多家厂商的扫描工具,就会普遍性的存在多个漏洞标准,这种情况造成用户的扫描结果数据无法进行整合和统一集中管理,造成了管理、费用成本增加,效率降低。

漏洞数据过滤和清洗

原始漏洞数据中,尤其是从扫描器中采集的漏洞原始数据,漏洞扫描原始数据包含大量的误报、干扰性、非风险漏洞数据,影响正确决策、管理效率,同时导致上层SOC、态势感知或大数据分析平台海量报警问题。造成管理和处置成本加大,风险暴露时间长,用户安全风险加大。平台使用初始化功能和基于漏洞生命周期状态的数据清洗和过滤功能,从繁杂原始数据中,自动过滤清洗原始数据,快速理清头绪。

漏洞生命周期闭环管理

漏洞生命周期闭环管理的过程就是用户风险控制的过程,平台通过漏洞生命周期的18个状态体现排除、忽略、接受、缓解、消除等不同的风险管控力度。同时提供闭环管理流程和操作管理。

漏洞风险值加权计算

漏洞基础风险值通常采用CVSS分值,CVSS是由FIRST组织维护的全球通用的漏洞评分准则,旨在为IT漏洞评级提供一个开放和标准化的方法。

漏洞优先级排序

Gartner在2018年威胁情报报告和2019年RBVM分析报告中指出,有2%-9%的漏洞是利用热度较高的,漏洞管控工作应该围绕这些展开。Tenable在2018年威胁情报报告中通过7个维度分析指出,应该关注3%最有风险的漏洞。因此利用威胁情报关联漏洞进行优先级排序成为当前漏洞优先排序的流行和有效技术。

漏洞时间轴

支持漏洞时间线管理,从漏洞公布时间、不同来源POC公布时间、Snort IPS规则公布时间、资产发现时间、漏洞发现时间、漏洞生命周期状态的跟踪。用户可根据不同漏洞,从不同时间点中提炼考核指标。

漏洞多视角管理

为了便于用户更方便的管理漏洞,提供漏洞在不同视角下的分布情况及列表信息,提供丰富的管理和分析维度。11种IP漏洞视角:IP列表、IP地址、漏洞名称、漏洞级别、漏洞类型、CVE编号、CWE、采集途径、探针品牌、端口、服务;9种网站漏洞视角:网站、漏洞影响URL、漏洞名称、漏洞级别、漏洞类型、CVE编号、CWE、采集途径、探针品牌。

icon情报中心icon
闭环知识库

平台知识库覆盖融合CVE、CNNVD、CNVD漏洞库,以及与异构漏洞数据的关联规则库,同时接入多源漏洞利用威胁情报源,及网络边界防御、产品厂家等漏洞修复信息源,进行安全数据治理,利用广泛的外部数据和情报为安全运营决策提供支撑。

漏洞库

漏洞库覆盖CVE、CNNVD、CNVD条目。平台漏洞库在此基础上进行漏洞库质量优化和提升,使之符合企业用户的要求。平台具有中国国家漏洞库CNNVD兼容性认证,可每天从CNNVD获取最新最全的漏洞信息。当前漏洞库条目数量超过15万条。 漏洞库同时包含了CVE、CNNVD、CNVD漏洞库条目与当前平台所对接十几个开源、商业漏洞扫描工具漏洞库条目的关联映射关系规则库。使用训练模型不断积累丰富该规则库,平台具备强大的标准化和归一化能力。

漏洞利用情报库

情报库验证信息来自互联网常用的漏洞攻击代码共享平台,具备:Metaspoit、Core Impact、Exploit-DB、CXSecurity、Packetstorm五个不同漏洞验证平台的漏洞验证数据和说明信息。为用户提供发现漏洞后快速验证、快速响应的技术能力,用户可根据所发现的漏洞快速检索对应的漏洞攻击和验证方法。

修复信息库

漏洞除了通过打补丁、组件升级和配置修改外,还可以通过IPS、WAF等网关设备进行防御,进行漏洞风险的缓解。在实际漏洞管控场景中,打补丁、组件升级可能会造成服务中断或不可用,用户实际场景并不具备这些条件。同时大型用户中,补丁或者升级需要较长的验证、审批、实施周期,这段时间就是最危险的暴露时间,通过网关侧防御可为用户赢的宝贵的响应时间。

版本信息库

在漏洞库信息的漏洞描述中,对漏洞影响到的厂商、产品和版本都是较为模糊和粗粒度的。对于漏洞管理后期进行资产定位、取样、漏洞预警缺少支撑作用。

四库关联形成知识闭环

平台在整合四个库的同时,对漏洞库、利用情报库、CPE库、IPS规则库互相关联,形成完成漏洞知识库链条。

icon检测管理icon
扫描能力的发展阶段

中大型用户网络规模庞大,计算环境和资产类型复杂,管理人员众多。尤其是在新基建融合基础设施的形势下,覆盖所有资产类型的的大规模、自动化全程全网资产和漏洞扫描能力是非常关键的能力之一。 从传统的一年若干次对重要目标的扫描,到解决扫描孤岛后,对全网的周期性扫描,再到采取异构扫描技术的全场景深度扫描,再到场景化、指标化、体系化的扫描,能够使用户掌握真实的、全景的、最新的资产和漏洞态势。

工具和任务调度管理框架

扫描工具和任务调度管理框架帮助用户解决扫描工具、场景管理的诸多问题,满足企业级各种复杂的组合检测需求和场景,使得脱离工具使用,关注业务需求和管理目标,从繁杂的重复性的事务工作中解放出来,消除大规模检测中的对于大量不同品牌工具的学习、配置、响应、运维成本和效率问题。

工具管理

平台内置与主流的16个开源、商业资产和漏洞扫描工具API接口,只需要在网络可达的情况,用户扫描工具配置地址、用户名和口令,平台即可进行工具的调度和管理。目前支持的工具列表如下,对于不在列表中的工具,可通过定制的方式加入到列表中。

任务管理

任务管理分为检测任务和工具两种。检测任务为用户在平台上建立的任务,工具任务为检测任务自动切分并下发到到扫描工具上的任务。用户可对检测任务、工具进行启动、暂停、停止等操作。

策略中心

管理多种、多个扫描检测工具时,在不同场景下,用户可能需要定制不同的策略,平台支持用户定制扫描工具策略并实现集中管理,并可批量下发到扫描工具中,实现对策略的高效管理。

扫描能力评价指标

平台具备对扫描工具以及所有工具组合在一起的整体扫描能力评价指标集。帮助用户预测、评价、优化扫描能力。 共分为三个部分:扫描工具能力指标、工具组能力指标、整体扫描和运行指标。

icon工单管理icon

平台具备工单管理功能,高效协同漏洞管理各环节人员,完成漏洞验证、修复、复测闭环管理,实现联防联控。

1)工单类型 平台工单类型分为四类:验证漏洞、修复漏洞、复测漏洞、人工渗透。
2)工单操作 共计12中工单操作,可满足不同角色、不同权限情况下工单流转的操作需求。分为:派单、接单、完成、转单、拒单、申请延期、删除、导出、催单、审核、延期、关闭等操作。
3)流程与通知 平台对四种工单类型具有不同的管理流程,同时对12种工单操作以及工单到期、超期可进行系统消息、邮件等通知。通知内容可通过工单变量进行自定义。
4)人员管理 平台可对渗透测试类型工单中的人员进行管理,包括个人信息、攻防技术能力、行业熟悉程度、资质、项目经验等情况。同时对人员工单数量,发现不同级别漏洞情况的统计、明细查询。
icon典型部署icon

平台在用户落地部署时,通常情况下需要与其他的安全基础设施打通接口,进行联动。实现资产和漏洞的统一管理和群防群治。典型的不是示意图如下所示:

icon核心优势icon

在网络攻击呈现政治化、军事化、致命化、常态化趋势背景下,在用户单位网络规模庞大、设备类型繁杂多样、大量设备暴露在互联网上、漏洞众多的情况下,平台体系化解决各环节存在的碎片化痛点,提升各环节不足之处。支撑用户持续提升认清漏洞风险,开展重点防护,联防联控,防范化解漏洞风险的能力和效率。主要来讲,平台具有以下三方面的优势:

1)多源异构资产和漏洞数据治理

多源异构资产数据治理,获取全景资产视图;多源异构漏洞数据标准化、归一化处理,全面掌握真实漏洞情况。

2)数据清洗和优先级排序

清洗原始漏洞数据,快速定位最有风险的10%漏洞。在10%漏洞数据中进行优先级排序,快速控制关键风险,合理有序安排管控工作。

3)集成和生态能力

与资产和漏洞数据源广泛的集成性,工具和任务自动调度管理框架,工具和检测能力评价指标集。与用户安全基础设施集成,开展漏洞联防联控。

icon典型案例—某银行信用卡中心“应用风险管理平台”icon

现状与问题: 某银行信用卡中心应用风险管理贯穿应用的整个生命周期,包括系统的立项、开发、上线、运维、消亡等阶段。其中包括了安全需求评审、项目代码、基础设施、应用等方面漏洞的持续发现和跟踪。以及整个生命周期涉及到的人员的协同。

1)应用风险管理平台涉及到四百多个业务系统,其资产类型和数量多,漏洞种类和数量的规模大,需要从组织机构、业务系统、资产、生命周期等不同视角管理,管理的复杂度高、负担较重;
2) 安全管理团队、安全服务外包团队、开发部门牵涉的人员事务非常多,协同性存在不足。对应用系统的交付效率、交付成本和安全性造成影响;
3)漏洞相关的管理制度和规范落地性较差,难以落实到人,管理指标难以考核;
4) 对应用的整体风险态势缺乏掌握。
icon建设方案icon

2.1.2 根据用户实际的状况和需求,基于既有平台,进行部分定制化开发,交付用户一套应用风险日常安全运营平台。实现IT资产数据扩展和同步、业务系统全周期漏洞管理、漏洞工单流转、漏洞状态消息通告、安全指标分析等能力。

icon用户受益icon

2.1.3 通过近2个月的系统建设,成功交付平台并上线。成为用户日常工作的运营支撑平台。

1) 以业务系统生命周期为核心,加速实现漏洞收敛,提高了应用系统安全水平和交付效率,缩短了业务系统上线前的时间成本;
2) 通过平台内部工单流转,实现安全运维团队、安全服务外包团队、开发团队间多类角色共6000余用户的协同,形成快速测试、快速分析、快速响应的运营能力;
3) 从大量的手工编写报告工作方式,过度到根据系统、权限、人员自动生成报告,并通过邮件自动发送单系统、多系统的多维度分析报告,解放大量人力,极大提高工作和协同效率;
4) 全局掌握400多个业务系统的应用风险态势,如系统类型、系统、工单之间的对比等多维度态势分析图表,通过漏洞的分布情况,进行专项整改;
5) 持续跟踪漏洞状态,考核如是否逾期,是否残留等一系列指标,将安全管理制度落实到位。
产品推荐 查看更多>>
    网宿科技 连接组网E-Connect

    基于网宿SD-WAN全球智能高速平台,通过部署CPE客户端,结合智能路由、业务隔离、数据加密等核心技术,为企业总分机构、数据中心、云平台等搭建高速网络,保障其快速、安全、稳定的全网互联互访。

    高效稳定

    全球服务

    弹性伸缩

    安全无线控制系统

    天清安全无线控制系统,能够针对WIFI网络技术特点,以企业建设和安全运行WIFI网络为出发点,极大的提升对WIFI网络的安全风险进行扫描和检测,提供实时的无线网络拓扑和网络连接情况,及时发现各种安全攻击事件。

    高效稳定

    安全可靠

    数篷科技零信任应用访问网关 DAAG

    零信任架构已被验证可以有效应对新时代的挑战,包括 BYOD 设备、远程办公、数据流转安全等。通过零信任应用网关保障应用访问安全,是企业迈向零信任架构的关键一步。

    高性能

    安全可靠

    高效稳定