漏洞信息作为威胁情报的重要组成部分,是安全团队制定防护策略、验证安全有效性的基础依据。作为国内大型股份制商业银行之一,市值千亿且跻身世界500强的企业,安全团队对漏洞管理方面提出了更高的要求并着重解决以下问题:
如何最大化发挥漏洞情报的价值,提升主动防御能力?金融集团以斗象VIP漏洞情报生产运营平台(以下简称VIP平台)为地基,交出了一份「漏洞情报」深度运营“高分答卷”。
一、聚焦3%漏洞:大浪淘沙,科学筛查
该集团日常运营中可能面临来自硬件、软件网络、协议、加密算法等多个层面的海量的安全漏洞,安全团队疲于不停地排查漏洞、打补丁,试图将影响降至最低。但据统计,在所有披露的通用漏洞中大约有60%的漏洞被CVSS评为高危或者严重漏洞,而实际上最有可能被利用的漏洞占比不足3%。
斗象VIP平台在CVSS V4基础上,国内率先引入“VPT漏洞优先级评估系数”,其结合漏洞实际影响面、当前攻防利用态势、业界评价、监管要求与修复方案水平等多要素,对漏洞风险值进行科学加权计算,创建了一套更贴近用户业务实际,反映真实安全威胁情况的TVPR漏洞评分体系,这一系统能够更准确地评估漏洞风险等级,为企业制定漏洞修复优先级提供有效参考,让企业核心精力聚焦在那3%最可能被利用的漏洞上。
TVPR漏洞评分参数
二、全盘漏扫一遍:从5天缩减到24小时
金融集团拥有15个事业部,100+分子机构,各个组织系统中多存在交融和跨区域协同的情况,如此庞大且多样化的业务系统,面对突发漏洞,遭受攻击的风险是不可估量的。传统漏扫工具完成一遍扫描至少需要1个月,还得建立在漏洞利用链明确,具备可扫描性的前提下。以往该集团至少也需要5天以上的排查周期才能有效定位漏洞情况,采用斗象VIP后一般可控制在24小时之内,即可完成对相关资产的排查和漏洞定位。
斗象VIP依托百万级应用和系统组件指纹库,将漏洞情报中的涉及组件与企业资管平台的资产指纹信息进行自动关联。无需扫描即可精准、迅速定位漏洞可能影响的具体范围。
利用资产指纹信息进行自动关联
面对监管机构发布的漏洞整改通知,集团信息安全团队可以充分利用平台的风险排查功能,先通过版本比对自动化识别并划定受漏洞威胁的实际资产边界,接着向受影响的资产负责人下发排查单,资产负责人可利用斗象Osprey2 POC扫描引擎下发原理性扫描,进一步验证漏洞有效性并反馈实际面临的风险情况。这一系列操作,实现从发现漏洞、定位影响到确认风险、反馈结果的全自动化应急响应处置闭环。
利用Osprey2 POC扫描引擎下发
三、情报驱动“订阅式”巡航:可观测、可运营、可订阅、可机读
大量的静态漏洞报告,让该集团安全人员应接不暇,由于大部分漏洞报告都源于人工手动出具的一次性报告,报告结果还需要人肉搬运分析,评判漏洞的实际危害也需要多方验证,效率可想而知,一旦发布后想二次利用调用过程也很消耗精力。
斗象VIP平台通过API接口订阅服务,能够实现多源原始情报数据的实时在线同步与持续更新管理运营,特别针对漏洞主体信息进行深度关联分析,它整合了POC/EXP等关键利用信息,以及详细的漏洞利用分析报告和完整的利用过程记录,覆盖多维度安全态势。
另外,斗象VIP以通过 API接口无缝对接以Json格式输出情报数据,极大的增强了以其他系统如各类漏洞管理系统、资产管理系统、漏扫系统集成构建自动化“机读”能力。彻底颠覆了传统依赖人工处理安全情报的工作模式。显著提升了集团对安全威胁的自动化关联分析能力和即时告警响应效率,实现了企业安全防护工作的革命性升级。
四、情报联动主动防御:漏洞暴露窗口的前置防护
在漏洞暴露窗口期,斗象VIP也为金融集团提供了全方位,多元化的漏洞处置方案。不仅及时提供官方补丁信息,还内置了IDS/IPS/热补丁等修复措施,这些深度定制的防护规则可无缝嵌入集团现有的各类安全设备,如Web应用防火墙(WAF),实现对潜在威胁的实时监控与长期有效防御。
此外,斗象科技进一步强化了该集团的安全防护体系,一方面通过斗象OBS旁路响应处置系统灵活的旁路部署快速对接集团各层级防护设施;另一方面通过斗象PVP对抗式溯源蜜罐系统建立与真实资产、业务高度仿真的“陷阱”,迷惑、诱捕、溯源、反制攻击者。与VIP平台形成了紧密配合,为该集团建设起漏洞收集、清洗、处置、反制的体系化漏洞防护体系。显著增强了集团安全团队在漏洞情报运营领域的专业能力,实现了从被动防御向主动狩猎分析的战略转变。
斗象VIP内置的修复规则(例)
客户评价
该金融集团信息安全团队主管说:“斗象VIP平台无疑是我们获取最新、最详尽漏洞信息的重要倚仗,它不仅能够实时更新全球范围内的各类安全漏洞情报,而且通过运用先进的技术手段与完善的运营机制,使得我们在洞悉安全威胁态势、评估漏洞风险及制定应对策略等方面实现了显著提升。”
采用斗象VIP平台后,企业对于关键漏洞的发现、研判乃至修复窗口期管理等环节都得到了前所未有的自动化支持。这一转变极大地优化了工作流程,显著提高了从漏洞识别到处置执行整个链条的运营效率,真正意义上助力企业在瞬息万变的网络安全环境中始终保持“领先一步”的优势。