CN114866285B - 一种统一指挥的漏洞全生命周期自动化智能系统 - Google Patents

Abstract

一种统一指挥的漏洞全生命周期自动化智能系统，属于网络安全的技术领域。系统包括10个相互独立子系统以及指挥中台，子系统分别是发现子系统、情报子系统、监控子系统、验证子系统、修复子系统、防护子系统、知识子系统、流程子系统、复测子系统、加固子系统；各个子系统共同组成的更全面的漏洞处置闭环措施。该智能系统可根据事先预案和智能分析后生成的漏洞处置优先级及优化后的自动化编排方案。本发明帮助用户减少漏洞处置闭环的成本，更清晰全面把控企业整体漏洞情况，由指挥中台统一指挥调度，让漏洞管理更加简单高效。

Description

一种统一指挥的漏洞全生命周期自动化智能系统

技术领域

本发明涉及一种统一指挥的漏洞全生命周期自动化智能系统，属于网络安全的技术领域。

背景技术

漏洞(Vulnerability)是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞管理是企业网络安全重要的一环，一旦漏洞被利用成功，可能会造成业务中断、数据泄露等重大损失。当前也有不少漏洞管理产品，但往往存在如下不足：

1、漏洞数量太多，让人无从下手；

2、处置一个漏洞需要跨多个平台操作；

3、时效性差，爆发紧急热点漏洞后响应不及时；

4、缺乏有效的流程支撑，重复劳动效率低；

5、缺乏符合企业自身的漏洞知识和解决方案的积累沉淀；

6、需要投入较大的运维人力进行处置。

发明内容

本发明的目的是提供一种统一指挥的漏洞全生命周期自动化智能系统，该系统通过统一指挥调度让漏洞的管理更高效地循环渐进，保障企业的网络安全；可更大程度上释放运维人力。

本发明采用的技术方案为：一种统一指挥的漏洞全生命周期自动化智能系统，该系统包括10个相互独立子系统以及指挥中台，子系统分别是发现子系统、情报子系统、监控子系统、验证子系统、修复子系统、防护子系统、知识子系统、流程子系统、复测子系统、加固子系统。

所述发现子系统用于发现漏洞，发现子系统采用自带漏洞扫描功能或接入其他第三方厂商的漏洞扫描设备；

情报子系统用于收集最新漏洞情报信息并开展相应监控防护措施，通过API接口方式接入云端最新实时的漏洞预警信息，将该信息上报至指挥中台，由指挥中台输出特定需要进行监控的资产并调度监控子系统进行任务。

监控子系统用于对企业内部资产进行持续监控，结合最新的漏洞情报信息，提前发现更多严重性的漏洞并做出相应防护措施；由指挥中台输出企业内部需要监控的资产信息进行监控，一旦发现存在新的严重性高的漏洞会反馈至指挥中台，由指挥中台启动热点漏洞预警剧本进行自动化编排处置闭环；当一个漏洞被处置完毕后，监控子系统依旧会对其进行一段时间的监控，防止漏洞没真正修复或者防护措施有缺陷。

验证子系统用于验证漏洞的有效性，对企业内部资产进行对应漏洞的验证，同时提供手动执行验证的方法。

修复子系统用于修复漏洞；防护子系统用于降低漏洞的影响面。

知识子系统用于积累沉淀符合企业自身的漏洞知识和解决方案，包括历史发生的严重漏洞影响事件；将情报子系统获取的最新漏洞预警信息和系统发现的漏洞及其原理、详情信息、解决方案，一并录入至该系统；同时针对企业内部的资产信息进行确认录入，资产信息包括核心业务的资产、存在不能打补丁情况的资产、发生过严重漏洞影响事件的资产、需要重点持续关注的资产及资产的关联影响面；一旦系统发现有漏洞，即可由指挥中台调度知识子系统，通过相应的漏洞信息、资产信息输出最佳的解决方案。

流程子系统用于协助人员按指定有效的流程快速响应闭环；在修复漏洞的过程中，对于需要通知其他部门/组织人员进行配合协助的情况下，指挥中台会跟进资产和人员组织结构信息给出最佳的解决方案，通常人员只需要在流程工单上确认对应的关键信息和提供运维处置漏洞需要的信息或者按照指引进行漏洞修复/防护。

复测子系统用于检测漏洞是否真正被修复，会对被通知已经修复的漏洞进行一次复测。

加固子系统用于加固防护，接收指挥中台做出的被修复或者已经做了一定的防护措施的漏洞是否还需要进行防护加固措施的分析决策，分析决策是根据资产的网络影响面和已有防护措施进行判断的；所述防护加固措施包括再缩小端口开放面、新增应用控制策略。

所述指挥中台负责统一调度各个子系统进行自动化工作，根据企业的网络和业务场景因素不断改进各种漏洞的最优解决方案，从而快速调度各子系统进行有效的处置闭环。

所述发现子系统中自带漏洞扫描功能：基于漏洞数据库，通过扫描对指定远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测行为；漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫；

接入其他第三方厂商的漏洞扫描设备：通过API接口方式对其漏洞扫描设备进行下发扫描任务，接收扫描结果数据，结合系统的资产、漏洞信息进行融合，得出漏洞扫描结果。

所述修复子系统修复的过程为：

(1)获取官网/厂商的补丁；

(2)分析补丁的依赖和系统的兼容性以及补丁的影响；

(3)条件允许则建立回滚计划，防止补丁对业务造成未知影响；

(4)在测试环境测试补丁修复情况；

(5)在部分生产环境测试补丁修复情况；

(6)进行灰度上线补丁计划，乃至全量补丁修复；

(7)分析补丁修复后的系统稳定并监控；

(8)进行验证补丁是否修复成功，漏洞是否依然存在。

所述防护子系统中对于很多无法直接根除漏洞进行补丁修复的情况，采取降低漏洞影响的操作，选择以下操作中的一种或几种：

(1)隔离系统网络，包括防火墙规则和网络区域划分；

(2)联动防火墙新增网络访问控制策略，缩小网络影响面；

(3)联动EDR终端类安全产品进行限制或者阻断；

(4)阻断有漏洞软件的网络连接；

(5)联动防火墙对其进行端口限制或者阻断。

一种统一指挥的漏洞全生命周期自动化智能系统的工作方法，漏洞处置闭环分为6个阶段，分别是漏洞发现、漏洞验证、漏洞处置、漏洞复测、加固防护、持续跟踪；其中漏洞发现阶段由发现子系统、情报子系统、监控子系统负责；漏洞验证阶段由验证子系统负责；漏洞处置阶段由修复子系统、防护子系统、知识子系统、流程子系统负责；漏洞复测阶段由复测子系统负责；加固防护阶段由加固子系统负责；持续跟踪由监控子系统负责；

指挥中台负责统一指挥调度各个子系统，集成SOAR的能力，内置漏洞处置剧本，当有发现漏洞会再根据企业的内部资产和网络情况给出更合适的解决方案，同时调整相应的剧本进行自动化编排处置闭环。

本发明的有益效果为：该系统包括10个相互独立子系统以及指挥中台，子系统分别是发现子系统、情报子系统、监控子系统、验证子系统、修复子系统、防护子系统、知识子系统、流程子系统、复测子系统、加固子系统；各个子系统共同组成的更全面的漏洞处置闭环措施。该智能系统可根据事先预案和智能分析后生成的漏洞处置优先级及优化后的自动化编排方案。本发明帮助用户减少漏洞处置闭环的成本，更清晰全面把控企业整体漏洞情况，由指挥中台统一指挥调度，让漏洞管理更加简单高效。

附图说明

图1是工作流程图。

图2是一个漏洞通常的管理全流程。

图3是漏洞处置前的分析流程。

图4是一种漏洞的处置剧本。

具体实施方式

下面结合附图和具体实施例，对本发明的技术方案进行具体说明。

本申请的技术术语包括：

漏洞(Vulnerability)：是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。SOAR(SecurityOrchestration,Automation,and Response)是安全编排、自动化和响应。是一系列技术的合集，它能够帮助企业收集安全运营团队监控到的各种信息(包括各种安全系统产生的告警)，并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下，利用人机结合的方式帮助安全运营人员定义、排序和驱动标准化的事件响应活动。

Playbook：即剧本，是SOAR最核心功能，SOAR可以根据剧本进行编排和自动化，能够有效地简化安全运营人员的手工作业。

POC(Proof of Concept)：是业界流行的针对客户具体应用的验证性测试，根据用户对采用系统提出的性能要求和扩展需求的指标，在选用服务器上进行真实数据的运行，对承载用户数据量和运行时间进行实际测算，并根据用户未来业务扩展的需求加大数据量以验证系统和平台的承载能力和性能变化。在这里特指漏洞POC，用来验证证明该漏洞是否存在，确定漏洞的有效性和提供证据，并不是利用方法也无法直接利用。

本发明解决漏洞管理耗人力效率低无有效流程的问题并提供更全面的处置闭环措施。

1.1、系统整体简介

系统由10个相互独立子系统组成，分别是发现子系统、情报子系统、监控子系统、验证子系统、修复子系统、防护子系统、知识子系统、流程子系统、复测子系统、加固子系统。另外还有一个指挥中台，负责统一调度各个子系统进行自动化工作，根据企业的网络和业务场景等因素不断改进各种漏洞的最优解决方案，从而快速调度各子系统进行有效的处置闭环。

整体的漏洞处置闭环分为6个阶段，分别是漏洞发现、漏洞验证、漏洞处置、漏洞复测、加固防护、持续跟踪。其中漏洞发现阶段由发现子系统、情报子系统、监控子系统负责；漏洞验证阶段由验证子系统负责；漏洞处置阶段由修复子系统、防护子系统、知识子系统、流程子系统负责；漏洞复测阶段由复测子系统负责；加固防护阶段由加固子系统负责；持续跟踪由监控子系统负责。

1.2、发现子系统以发现漏洞为目的。主要手段有：

①自带漏洞扫描功能，基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测行为。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。

②接入其他第三方厂商的漏洞扫描设备，通过API接口方式对其漏洞扫描设备进行下发扫描任务，接收扫描结果数据，结合系统的资产、漏洞信息进行融合，得出更加全面且准确的漏洞扫描结果。集各家所长，自成一体。

1.3、情报子系统以收集最新漏洞情报信息并开展相应监控防护措施为目的。通过API接口方式接入云端最新实时的漏洞预警信息，讲该信息上报至指挥中台，由指挥中台输出特定需要进行监控的资产并调度监控子系统进行任务。

1.4、监控子系统以对企业内部资产进行持续监控，结合最新的漏洞情报信息，提前发现更多严重性的漏洞并做出相应防护措施为目的。当情报子系统接收到最新的漏洞预警信息，结合漏洞的原理、影响面，由指挥中台输出企业内部需要监控的资产并及时调度监控子系统进行监控。一旦发现存在新的严重性高的漏洞会反馈至指挥中台，由指挥中台启动热点漏洞预警剧本进行自动化编排处置闭环。当一个漏洞被处置完毕后，监控子系统依旧会对其进行一段时间的监控，防止漏洞没真正修复或者防护措施有缺陷。

1.5、验证子系统以验证漏洞的有效性为目的。系统开发者选用开源的POC框架，当情报子系统有提供新的热点漏洞预警信息时候，只需要熟悉漏洞的原理和详情，准备好漏洞靶场，即可开始编写该漏洞的POC脚本。验证完毕后会上传至验证子系统，对企业内部资产进行对应漏洞的验证。同时也会提供手动执行验证的方法。

1.6、修复子系统以修复漏洞为目的。修复的过程如下：

①获取官网/厂商的补丁；

②分析补丁的依赖和系统的兼容性以及补丁的影响；

③如果条件允许，建立回滚计划，防止补丁对业务造成未知影响；

④在测试环境测试补丁修复情况；

⑤在部分生产环境测试补丁修复情况；

⑥进行灰度上线补丁计划，乃至全量补丁修复；

⑦分析补丁修复后的系统稳定并监控；

⑧进行验证补丁是否修复成功，漏洞是否依然存在。

1.7、防护子系统以降低漏洞的影响面为目的。对于很多无法直接根除漏洞进行补丁修复的情况，比如可能影响业务中断，补丁暂时不支持某系统或软件等情况。我们要采取降低漏洞影响的操作，可能涉及的操作如下：

①隔离系统网络，包括防火墙规则和网络区域划分；

②联动防火墙新增网络访问控制策略，缩小网络影响面；

③联动EDR终端类安全产品进行限制或者阻断；

④阻断有漏洞软件的网络连接；

⑤联动防火墙对其进行端口限制或者阻断。

1.8、知识子系统以积累沉淀符合企业自身的漏洞知识和解决方案为目的，包括历史发生的严重漏洞影响事件。对于情报子系统获取的最新漏洞预警信息和系统发现的漏洞、及其原理、详情信息、解决方案，一并录入至该系统。同时针对企业内部的资产信息进行确认录入，如哪些资产是核心业务，哪些资产存在不能打补丁的情况，哪些资产发生过严重漏洞影响事件，哪些资产需要重点持续关注，哪些资产的关联影响面是多大等。一旦系统发现有漏洞，即可由指挥中台调度知识子系统，通过相应的漏洞信息、资产信息输出最佳的解决方案。

1.9、流程子系统以协助人员按指定有效的流程快速响应闭环为目的。在修复漏洞的过程中，对于需要通知其他部门/组织人员进行配合协助的情况下，指挥中台会跟进资产和人员组织结构信息给出最佳的解决方案，通常人员只需要在流程工单上确认对应的关键信息和提供运维处置漏洞需要的信息即可或者按照指引进行漏洞修复/防护。

1.10、复测子系统以确保漏洞已经真正被修复为目的。当一个漏洞被通知已经修复，该子系统会对该漏洞进行一次复测，确保漏洞被真正修复。

1.11、加固子系统以防止漏洞还有可乘之机为目的。当一个漏洞被修复或者已经做了一定的防护措施。这时候指挥中台会根据资产的网络影响面和已有防护措施进一步分析决策，判断是否还需要做更深入的防护加固措施，如再缩小端口开放面、新增应用控制策略等。

1.12、指挥中台

负责统一指挥调度各个子系统，集成SOAR的能力，内置各种类型的漏洞处置剧本，当有发现漏洞会再根据企业的内部资产和网络情况给出更合适的解决方案，同时调整相应的剧本进行自动化编排处置闭环。

一个漏洞通常的管理全流程：漏洞发现(情报子系统、监控子系统和扫描子系统)-漏洞验证(验证子系统)-漏洞处置(流程子系统、知识子系统、防护子系统、修复子系统)-漏洞复测(由修复子系统修改后，再由复测子系统进行复测)-加固防护(加固子系统)-持续跟踪(监控子系统)。

在漏洞处置之前，指挥中台会根据事先预案和企业内部资产、网络情况等环境因子进行分析才输出更合适的处置解决方案。

得益于知识子系统积累沉淀了丰富的漏洞库信息，能及时应对各种Nday漏洞、历史上企业发生过的漏洞；而情报子系统实时提供新发现的漏洞、0day漏洞、热点漏洞信息，让企业在处理这些漏洞时候也有足够的信息支撑。

当企业发现或者需要处置一个漏洞的时候，分析流程如下：

S1.基于两个子系统提供的漏洞信息：漏洞获取权限难易度、漏洞可用性影响；中台会计算出一个权重值，区间为0-2。

S2.针对企业内网存在该漏洞的资产所在的IP网段、网络区域，结合该资产的网络访问关系、访问权限进行筛选出可能被影响到的拥有机密信息的其他资产，中台根据可能被影响到的机密信息重要性和数量计算出一个权重值，区间为0-2。S3.漏洞时间因子，权重值区间为0-1。一个漏洞从被发现开始0day到Nday，因为网络防守方处于被动和解决方案缺乏的情况下，一周内会急速由0增加至1，后再持续减小。结合情报信息，对外部黑客利用该漏洞的成熟度、手段多少，以及对互联网影响的IP数量，在一定的时间节点后，权重值会再次上升增加。

S4.针对企业内网存在该漏洞的资产进行评估其重要程度，重要程度的判断因素为是否核心服务器、是否对外业务系统、是否重要数据库，权重值为0-1。

S5.资产被漏洞利用后的影响面，主要统计出可能被影响到资产数量，包括跳板机被影响后波及到的资产，权重值为0-1。

S6.基于上面几个权重值进行累加，得出一个整体的权重值，值越大表示漏洞处置优先级越高。在特定时期，比如护网期间、重保期间、某0day爆发期间，各个权重值区间也允许人为进行临时性的调整。

S7.若企业内部历史上曾经发生过同样漏洞，中台优先调度当时处置该漏洞的响应剧本进行下发执行。

S8.事先漏洞处置剧本，也是个知识积累沉淀，半自动+人工的方式。主要针对具体的漏洞利用手段而自动生成的处置流程，比如永恒之蓝漏洞，则重点对445端口进行处置和排查；再加上人工针对企业资产情况、网络情况和组织架构情况进行调整调优，比如某核心服务器是归属某部门，但运维责任人是某厂商，网络访问权限是某IT人员负责，会同时给各自责任体分发任务进行快速处置。漏洞处置剧本，由SOAR根据其剧本进行编排和自动化执行。比如联动防火墙封禁端口、联动EDR进行微隔离、联动某种通信工具发信息通知业务部门人员等一系列原本需要人为跨平台操作的事项，通通由系统自动化调度实现。

本发明帮助用户减少漏洞处置闭环的成本，更清晰全面把控企业整体漏洞情况，由指挥中台统一指挥调度，让漏洞管理更加简单高效。

Claims (5)

1.一种统一指挥的漏洞全生命周期自动化智能系统，其特征在于：该系统包括10个相互独立子系统以及指挥中台，子系统分别是发现子系统、情报子系统、监控子系统、验证子系统、修复子系统、防护子系统、知识子系统、流程子系统、复测子系统、加固子系统；

所述发现子系统用于发现漏洞，发现子系统采用自带漏洞扫描功能或接入其他第三方厂商的漏洞扫描设备；

情报子系统用于收集最新漏洞情报信息并开展相应监控防护措施，通过API接口方式接入云端最新实时的漏洞预警信息，将该信息上报至指挥中台，由指挥中台输出特定需要进行监控的资产并调度监控子系统进行任务；

监控子系统用于对企业内部资产进行持续监控，结合最新的漏洞情报信息，提前发现更多严重性的漏洞并做出相应防护措施；由指挥中台输出企业内部需要监控的资产信息进行监控，一旦发现存在新的严重性高的漏洞会反馈至指挥中台，由指挥中台启动热点漏洞预警剧本进行自动化编排处置闭环；当一个漏洞被处置完毕后，监控子系统依旧会对其进行一段时间的监控，防止漏洞没真正修复或者防护措施有缺陷；

验证子系统用于验证漏洞的有效性，对企业内部资产进行对应漏洞的验证，同时提供手动执行验证的方法；

修复子系统用于修复漏洞；防护子系统用于降低漏洞的影响面；

知识子系统用于积累沉淀符合企业自身的漏洞知识和解决方案，包括历史发生的严重漏洞影响事件；将情报子系统获取的最新漏洞预警信息和系统发现的漏洞及其原理、详情信息、解决方案，一并录入至该系统；同时针对企业内部的资产信息进行确认录入，资产信息包括核心业务的资产、存在不能打补丁情况的资产、发生过严重漏洞影响事件的资产、需要重点持续关注的资产及资产的关联影响面；一旦系统发现有漏洞，即可由指挥中台调度知识子系统，通过相应的漏洞信息、资产信息输出最佳的解决方案；

流程子系统用于协助人员按指定有效的流程快速响应闭环；在修复漏洞的过程中，对于需要通知其他部门/组织人员进行配合协助的情况下，指挥中台会跟进资产和人员组织结构信息给出最佳的解决方案，通常人员只需要在流程工单上确认对应的关键信息和提供运维处置漏洞需要的信息或者按照指引进行漏洞修复/防护；

复测子系统用于检测漏洞是否真正被修复，会对被通知已经修复的漏洞进行一次复测；

加固子系统用于加固防护，接收指挥中台做出的被修复或者已经做了一定的防护措施的漏洞是否还需要进行防护加固措施的分析决策，分析决策是根据资产的网络影响面和已有防护措施进行判断的；所述防护加固措施包括再缩小端口开放面、新增应用控制策略；

所述指挥中台负责统一调度各个子系统进行自动化工作，根据企业的网络和业务场景因素不断改进各种漏洞的最优解决方案，从而快速调度各子系统进行有效的处置闭环。

2.根据权利要求1所述的一种统一指挥的漏洞全生命周期自动化智能系统，其特征在于：所述发现子系统中自带漏洞扫描功能：基于漏洞数据库，通过扫描对指定远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测行为；漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫；

接入其他第三方厂商的漏洞扫描设备：通过API接口方式对其漏洞扫描设备进行下发扫描任务，接收扫描结果数据，结合系统的资产、漏洞信息进行融合，得出漏洞扫描结果。

3.根据权利要求1所述的一种统一指挥的漏洞全生命周期自动化智能系统，其特征在于：所述修复子系统修复的过程为：

(1)获取官网/厂商的补丁；

(2)分析补丁的依赖和系统的兼容性以及补丁的影响；

(3)条件允许则建立回滚计划，防止补丁对业务造成未知影响；

(4)在测试环境测试补丁修复情况；

(5)在部分生产环境测试补丁修复情况；

(6)进行灰度上线补丁计划，乃至全量补丁修复；

(7)分析补丁修复后的系统稳定并监控；

(8)进行验证补丁是否修复成功，漏洞是否依然存在。

4.根据权利要求1所述的一种统一指挥的漏洞全生命周期自动化智能系统，其特征在于：所述防护子系统中对于很多无法直接根除漏洞进行补丁修复的情况，采取降低漏洞影响的操作，选择以下操作中的一种或几种：

(1)隔离系统网络，包括防火墙规则和网络区域划分；

(2)联动防火墙新增网络访问控制策略，缩小网络影响面；

(3)联动EDR终端类安全产品进行限制或者阻断；

(4)阻断有漏洞软件的网络连接；

(5)联动防火墙对其进行端口限制或者阻断。

5.根据权利要求1所述的一种统一指挥的漏洞全生命周期自动化智能系统的工作方法，其特征在于：漏洞处置闭环分为6个阶段，分别是漏洞发现、漏洞验证、漏洞处置、漏洞复测、加固防护、持续跟踪；其中漏洞发现阶段由发现子系统、情报子系统、监控子系统负责；漏洞验证阶段由验证子系统负责；漏洞处置阶段由修复子系统、防护子系统、知识子系统、流程子系统负责；漏洞复测阶段由复测子系统负责；加固防护阶段由加固子系统负责；持续跟踪由监控子系统负责；

指挥中台负责统一指挥调度各个子系统，集成SOAR的能力，内置漏洞处置剧本，当有发现漏洞会再根据企业的内部资产和网络情况给出更合适的解决方案，同时调整相应的剧本进行自动化编排处置闭环。