靳晓飞:VIPKID在安全漏洞管理平台化的探索与实践
|作者:靳晓飞 VIPKID安全负责人,高级安全专家。
概要
本次分享会从技术、管理和运营三个层面开展开介绍企业如何做好安全漏洞管理,其中会重点分享VIPKID在安全漏洞管理平台建设方面的实践经验。
一、安全漏洞生命周期
二、常见的安全漏洞管理手段及问题
三、如何做好安全漏洞管理工作
四、VIPKID的探索与实践
关于企业 IT (信息安全) 投入产出情况
图片引用自
Cyber Threat Analysis – Adding Attack Prediction to Cybersecurity
安全漏洞生命周期
漏洞和人一样是有生命周期的,从甲方安全运营视角来看,漏洞生命周期可以简单分为漏洞产生、漏洞发现、漏洞修复和漏洞消亡四个阶段。
如何高效管理安全漏洞,快速响应和推动漏洞修复,有效降低安全风险,我们来这里和大家来共同探讨这个备受关注的话题。
常见的安全漏洞管理手段与问题
业界主流的安全漏洞管理手段可以分为四种:
手工线下管理
相对初级和原始,效率低,无法做到漏洞全生命周期的线上跟踪与处理,无法精细化运营漏洞。
工单系统/Bug管理平台
实现了漏洞流程的线上处理,但因使用的是第三方系统定制化程度低,无法完全满足需求。
自研漏洞管理平台
定制化程度高,契合自身业务场景,可实现自动化的漏洞管理。以上这四种漏洞管理方式各有特点,每个企业在不同的安全阶段可能使用过其中一种或几种。
推动漏洞修复过程中遇到的困难和问题:
1、对不到对应漏洞修复负责人;
2、漏洞修复周期长、效率低;
3、业务方不配合或支持、业务方不理解或意识不到漏洞的危害及严重性;
4、没有系统支撑,无法主动掌握漏洞态势;
5、没有漏洞管理制度或有制度无法有效落地执行;……
如何做好安全漏洞管理工作?
我个人认为,要想解决上面提到的这些问题,需要从技术、管理和运营三个层面入手,如下图:
VIPKID的探索与实践
依据上面的思路,VIPKID在技术、管理和运营方面做了以下实践,如果大家有更好的解决方案,也欢迎一起交流探讨。
技术层面
自研VK安全漏洞管理平台,用于管理公司所有的安全漏洞,实现漏洞生命周期的线上跟踪与处理;
管理层面
制定并实施《VK安全漏洞管理制度》、《VK安全接口人制度》,这两个制度明确了漏洞整体处理流程、等级评估依据、修复时长和对应的安全接口人等;
运营层面
定义并明确漏洞运营指标、专人负责,从多个维度实现漏洞风险的量化和可视化;
VIPKID整个漏洞生命周期可以分为五个阶段,在这过程中一旦漏洞状态发生变化,系统都会自动触发邮件提醒给相关方。
1、漏洞提交
安全人员在漏洞管理平台提交漏洞
2、漏洞接收
安全接口人收到新漏洞邮件提醒,可以登录漏洞管理平台查看漏洞详情,完成漏洞修复排期工作
3、漏洞修复
安全接口人可以自己修复漏洞,也可以通过漏洞管理平台指派团队内其他成员修复
4、漏洞验证
安全接口人完成漏洞修复后可以通过平台发起“验证申请”,漏洞提交人收到验证提醒邮件。若该漏洞被修复,则“验证通过”并进入下一步;若漏洞未被修复,则“验证未通过”并退回第二阶段
5、漏洞公开
漏洞修复完成且“验证通过”,会对内部人员公开,系统会同步给漏洞提交人、安全接口人发送漏洞公开邮件提醒
VIPKID安全漏洞管理平台基于漏洞全生命周期建立,实现了五大核心功能。五大核心功能分别是资产管理、漏洞管理、漏洞态势、用户中心和安全知识库。
在这里我只分享部分功能的设计细节,感兴趣可以留言讨论:
漏洞管理部
漏洞态势部分
用户中心部分
通过该漏洞管理平台,我们实现了漏洞全生命周期的线上管控、做到了量化和可视化漏洞风险,通过对漏洞数据进行统计和分析,从而可以主动掌控公司整体的漏洞态势和弱点。最后将历史漏洞和安全经验积累和有效沉淀,形成公司的安全知识库,也可以在一定程度上为安全漏洞管理和运营工作提供方向和依据。但是光有漏洞管理平台还不够,如果有平台但是大家都不用,那么平台的价值是体现不出来的。所以,我们在管理层面制定和实施了《安全漏洞管理》和《安全接口人制度》。通过这两个制度来定义和明确了安全漏洞的处理流程、漏洞等级划分和依据、漏洞修复优先级和时长以及安全接口人的设立原则、职责和对应的能力要求。在漏洞运营层面,定义了漏洞整体修复率、高风险漏洞修复率、内、外部漏洞发现占比和漏洞数量收敛趋势等指标,来评估和量化漏洞运营工作的效果。
总结
要想做好漏洞管理工作,需要通过技术、管理和运营三个层面共同协作,相互触进,缺一不可。
1、通过管理手段来明确和规范漏洞修复处理流程与安全接口人职责;
2、通过技术手段来实现和保障漏洞处理流程的高效和落地执行,以及量化和可视化漏洞风险,从技术维度支撑漏洞管理和运营工作的开展;
3、最后通过持续的漏洞运营来使整个漏洞处理流程形成完整闭环和不断优化漏洞处理整体流程,最终实现持续提升漏洞管理水平和能力的目的。
微信公众号
微信视频号