图/南鱼
文/尚书
今日小满。只是小满并未大满。小满是农作物“灌浆”时期,颗粒看起来好像饱满了,其实还只灌了个“半饱”,并未成熟,故称“小满”。就像做漏洞扫描和管理,做了扫描出了结果,可以说是小满,而进行了后续的分析、分配、修复、知识库录入,才算是大满。
由于各金融企业内对信息安全投入不同,领导重视程度不同,业务规模不同等原因,导致各家企业信息安全工作成熟度出现较大差异。信息安全成熟度高的金融企业会对现有系统进行定期主机及Web应用漏洞的扫描,且通常能使用多家漏洞扫描工具,并购买第三方针对重要系统的渗透测试服务,尽可能将漏洞风险扼杀在摇篮里。
然而面临的问题就是对多种扫描工具的结果没有整合去重,漏洞数量多且由于缺少人力所以修复难,没有一个平台来做整合和后续的跟进管理。况且由于不知道漏洞——资产——业务三者的具体对应关系,从而无法进行优先修复排序,就算重金购入多种扫描工具,也并未提高工作效率,简化工作流程。
而信息安全成熟度不高的金融企业,在漏洞管理方面,则更加无力。漏洞扫描不定时,对扫描结果无跟踪,既不知己——企业无法掌握其内部资产信息变动情况,漏洞扫描亦只针对已知资产,并且做不到定期扫描和持续监测;也不知彼——漏洞影响范围,如何修复。
以上情境就导致了企业安全人员内心始终隐隐不安,总觉得当下的平稳只是一种侥幸,心里永远存在着对“万一”的恐惧和每次爆发漏洞之后手足无措的焦虑。
信息安全从业者希望能有一个平台、一款产品、一个工具,能让漏洞管理能就像我们对自己淘宝订单的管理一样清晰便捷。漏洞的状态可以被细分为待领取,待修复,已修复,已复核,关闭。而漏洞的领取人信息、影响的资产范围、资产对应的业务系统,都能清楚明白地展现在信息安全人的眼前。用最少的鼠标点击数,在最快的时间,获取最有价值的信息。这也就是近年频繁出现在各个安全厂商的宣传页和大会印刷品上仅次于态势感知和威胁情报的漏洞全生命周期管理。
24节气观星帖
24节气观星帖是数字观星推出的节气小贴士,每月两期。每一期,我们会发布一张节气图,同时附带一些网络安全行业的小知识、小热点。
北京数字观星科技有限公司
数字时代的智能安全运营服务商,基于威胁情报数据,围绕客户资产提供安全运营服务:
- 资产发现与管理;
- 威胁监测与分析;
- 智能化应急响应;
- 漏洞全生命周期管理。