CN114866285B - 一种统一指挥的漏洞全生命周期自动化智能系统 - Google Patents
一种统一指挥的漏洞全生命周期自动化智能系统 Download PDFInfo
- Publication number
- CN114866285B CN114866285B CN202210359721.6A CN202210359721A CN114866285B CN 114866285 B CN114866285 B CN 114866285B CN 202210359721 A CN202210359721 A CN 202210359721A CN 114866285 B CN114866285 B CN 114866285B
- Authority
- CN
- China
- Prior art keywords
- subsystem
- vulnerability
- information
- loopholes
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 claims abstract description 32
- 238000012795 verification Methods 0.000 claims abstract description 25
- 230000002787 reinforcement Effects 0.000 claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 21
- 238000013102 re-test Methods 0.000 claims abstract description 19
- 238000004458 analytical method Methods 0.000 claims abstract description 9
- 238000011282 treatment Methods 0.000 claims abstract description 9
- 230000008439 repair process Effects 0.000 claims description 26
- 238000013515 script Methods 0.000 claims description 16
- 238000012360 testing method Methods 0.000 claims description 10
- 230000000903 blocking effect Effects 0.000 claims description 6
- 238000011217 control strategy Methods 0.000 claims description 6
- 230000001681 protective effect Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 5
- 230000008520 organization Effects 0.000 claims description 4
- 230000001376 precipitating effect Effects 0.000 claims description 4
- 238000012790 confirmation Methods 0.000 claims description 3
- 230000002950 deficient Effects 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 3
- 238000011418 maintenance treatment Methods 0.000 claims description 3
- 238000004519 manufacturing process Methods 0.000 claims description 3
- 230000003014 reinforcing effect Effects 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 8
- 230000004044 response Effects 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005485 electric heating Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000013049 sediment Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
一种统一指挥的漏洞全生命周期自动化智能系统,属于网络安全的技术领域。系统包括10个相互独立子系统以及指挥中台,子系统分别是发现子系统、情报子系统、监控子系统、验证子系统、修复子系统、防护子系统、知识子系统、流程子系统、复测子系统、加固子系统;各个子系统共同组成的更全面的漏洞处置闭环措施。该智能系统可根据事先预案和智能分析后生成的漏洞处置优先级及优化后的自动化编排方案。本发明帮助用户减少漏洞处置闭环的成本,更清晰全面把控企业整体漏洞情况,由指挥中台统一指挥调度,让漏洞管理更加简单高效。
Description
技术领域
本发明涉及一种统一指挥的漏洞全生命周期自动化智能系统,属于网络安全的技术领域。
背景技术
漏洞(Vulnerability)是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞管理是企业网络安全重要的一环,一旦漏洞被利用成功,可能会造成业务中断、数据泄露等重大损失。当前也有不少漏洞管理产品,但往往存在如下不足:
1、漏洞数量太多,让人无从下手;
2、处置一个漏洞需要跨多个平台操作;
3、时效性差,爆发紧急热点漏洞后响应不及时;
4、缺乏有效的流程支撑,重复劳动效率低;
5、缺乏符合企业自身的漏洞知识和解决方案的积累沉淀;
6、需要投入较大的运维人力进行处置。
发明内容
本发明的目的是提供一种统一指挥的漏洞全生命周期自动化智能系统,该系统通过统一指挥调度让漏洞的管理更高效地循环渐进,保障企业的网络安全;可更大程度上释放运维人力。
本发明采用的技术方案为:一种统一指挥的漏洞全生命周期自动化智能系统,该系统包括10个相互独立子系统以及指挥中台,子系统分别是发现子系统、情报子系统、监控子系统、验证子系统、修复子系统、防护子系统、知识子系统、流程子系统、复测子系统、加固子系统。
所述发现子系统用于发现漏洞,发现子系统采用自带漏洞扫描功能或接入其他第三方厂商的漏洞扫描设备;
情报子系统用于收集最新漏洞情报信息并开展相应监控防护措施,通过API接口方式接入云端最新实时的漏洞预警信息,将该信息上报至指挥中台,由指挥中台输出特定需要进行监控的资产并调度监控子系统进行任务。
监控子系统用于对企业内部资产进行持续监控,结合最新的漏洞情报信息,提前发现更多严重性的漏洞并做出相应防护措施;由指挥中台输出企业内部需要监控的资产信息进行监控,一旦发现存在新的严重性高的漏洞会反馈至指挥中台,由指挥中台启动热点漏洞预警剧本进行自动化编排处置闭环;当一个漏洞被处置完毕后,监控子系统依旧会对其进行一段时间的监控,防止漏洞没真正修复或者防护措施有缺陷。
验证子系统用于验证漏洞的有效性,对企业内部资产进行对应漏洞的验证,同时提供手动执行验证的方法。
修复子系统用于修复漏洞;防护子系统用于降低漏洞的影响面。
知识子系统用于积累沉淀符合企业自身的漏洞知识和解决方案,包括历史发生的严重漏洞影响事件;将情报子系统获取的最新漏洞预警信息和系统发现的漏洞及其原理、详情信息、解决方案,一并录入至该系统;同时针对企业内部的资产信息进行确认录入,资产信息包括核心业务的资产、存在不能打补丁情况的资产、发生过严重漏洞影响事件的资产、需要重点持续关注的资产及资产的关联影响面;一旦系统发现有漏洞,即可由指挥中台调度知识子系统,通过相应的漏洞信息、资产信息输出最佳的解决方案。
流程子系统用于协助人员按指定有效的流程快速响应闭环;在修复漏洞的过程中,对于需要通知其他部门/组织人员进行配合协助的情况下,指挥中台会跟进资产和人员组织结构信息给出最佳的解决方案,通常人员只需要在流程工单上确认对应的关键信息和提供运维处置漏洞需要的信息或者按照指引进行漏洞修复/防护。
复测子系统用于检测漏洞是否真正被修复,会对被通知已经修复的漏洞进行一次复测。
加固子系统用于加固防护,接收指挥中台做出的被修复或者已经做了一定的防护措施的漏洞是否还需要进行防护加固措施的分析决策,分析决策是根据资产的网络影响面和已有防护措施进行判断的;所述防护加固措施包括再缩小端口开放面、新增应用控制策略。
所述指挥中台负责统一调度各个子系统进行自动化工作,根据企业的网络和业务场景因素不断改进各种漏洞的最优解决方案,从而快速调度各子系统进行有效的处置闭环。
所述发现子系统中自带漏洞扫描功能:基于漏洞数据库,通过扫描对指定远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为;漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫;
接入其他第三方厂商的漏洞扫描设备:通过API接口方式对其漏洞扫描设备进行下发扫描任务,接收扫描结果数据,结合系统的资产、漏洞信息进行融合,得出漏洞扫描结果。
所述修复子系统修复的过程为:
(1)获取官网/厂商的补丁;
(2)分析补丁的依赖和系统的兼容性以及补丁的影响;
(3)条件允许则建立回滚计划,防止补丁对业务造成未知影响;
(4)在测试环境测试补丁修复情况;
(5)在部分生产环境测试补丁修复情况;
(6)进行灰度上线补丁计划,乃至全量补丁修复;
(7)分析补丁修复后的系统稳定并监控;
(8)进行验证补丁是否修复成功,漏洞是否依然存在。
所述防护子系统中对于很多无法直接根除漏洞进行补丁修复的情况,采取降低漏洞影响的操作,选择以下操作中的一种或几种:
(1)隔离系统网络,包括防火墙规则和网络区域划分;
(2)联动防火墙新增网络访问控制策略,缩小网络影响面;
(3)联动EDR终端类安全产品进行限制或者阻断;
(4)阻断有漏洞软件的网络连接;
(5)联动防火墙对其进行端口限制或者阻断。
一种统一指挥的漏洞全生命周期自动化智能系统的工作方法,漏洞处置闭环分为6个阶段,分别是漏洞发现、漏洞验证、漏洞处置、漏洞复测、加固防护、持续跟踪;其中漏洞发现阶段由发现子系统、情报子系统、监控子系统负责;漏洞验证阶段由验证子系统负责;漏洞处置阶段由修复子系统、防护子系统、知识子系统、流程子系统负责;漏洞复测阶段由复测子系统负责;加固防护阶段由加固子系统负责;持续跟踪由监控子系统负责;
指挥中台负责统一指挥调度各个子系统,集成SOAR的能力,内置漏洞处置剧本,当有发现漏洞会再根据企业的内部资产和网络情况给出更合适的解决方案,同时调整相应的剧本进行自动化编排处置闭环。
本发明的有益效果为:该系统包括10个相互独立子系统以及指挥中台,子系统分别是发现子系统、情报子系统、监控子系统、验证子系统、修复子系统、防护子系统、知识子系统、流程子系统、复测子系统、加固子系统;各个子系统共同组成的更全面的漏洞处置闭环措施。该智能系统可根据事先预案和智能分析后生成的漏洞处置优先级及优化后的自动化编排方案。本发明帮助用户减少漏洞处置闭环的成本,更清晰全面把控企业整体漏洞情况,由指挥中台统一指挥调度,让漏洞管理更加简单高效。
附图说明
图1是工作流程图。
图2是一个漏洞通常的管理全流程。
图3是漏洞处置前的分析流程。
图4是一种漏洞的处置剧本。
具体实施方式
下面结合附图和具体实施例,对本发明的技术方案进行具体说明。
本申请的技术术语包括:
漏洞(Vulnerability):是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。SOAR(SecurityOrchestration,Automation,and Response)是安全编排、自动化和响应。是一系列技术的合集,它能够帮助企业收集安全运营团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下,利用人机结合的方式帮助安全运营人员定义、排序和驱动标准化的事件响应活动。
Playbook:即剧本,是SOAR最核心功能,SOAR可以根据剧本进行编排和自动化,能够有效地简化安全运营人员的手工作业。
POC(Proof of Concept):是业界流行的针对客户具体应用的验证性测试,根据用户对采用系统提出的性能要求和扩展需求的指标,在选用服务器上进行真实数据的运行,对承载用户数据量和运行时间进行实际测算,并根据用户未来业务扩展的需求加大数据量以验证系统和平台的承载能力和性能变化。在这里特指漏洞POC,用来验证证明该漏洞是否存在,确定漏洞的有效性和提供证据,并不是利用方法也无法直接利用。
本发明解决漏洞管理耗人力效率低无有效流程的问题并提供更全面的处置闭环措施。
1.1、系统整体简介
系统由10个相互独立子系统组成,分别是发现子系统、情报子系统、监控子系统、验证子系统、修复子系统、防护子系统、知识子系统、流程子系统、复测子系统、加固子系统。另外还有一个指挥中台,负责统一调度各个子系统进行自动化工作,根据企业的网络和业务场景等因素不断改进各种漏洞的最优解决方案,从而快速调度各子系统进行有效的处置闭环。
整体的漏洞处置闭环分为6个阶段,分别是漏洞发现、漏洞验证、漏洞处置、漏洞复测、加固防护、持续跟踪。其中漏洞发现阶段由发现子系统、情报子系统、监控子系统负责;漏洞验证阶段由验证子系统负责;漏洞处置阶段由修复子系统、防护子系统、知识子系统、流程子系统负责;漏洞复测阶段由复测子系统负责;加固防护阶段由加固子系统负责;持续跟踪由监控子系统负责。
1.2、发现子系统以发现漏洞为目的。主要手段有:
①自带漏洞扫描功能,基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。
②接入其他第三方厂商的漏洞扫描设备,通过API接口方式对其漏洞扫描设备进行下发扫描任务,接收扫描结果数据,结合系统的资产、漏洞信息进行融合,得出更加全面且准确的漏洞扫描结果。集各家所长,自成一体。
1.3、情报子系统以收集最新漏洞情报信息并开展相应监控防护措施为目的。通过API接口方式接入云端最新实时的漏洞预警信息,讲该信息上报至指挥中台,由指挥中台输出特定需要进行监控的资产并调度监控子系统进行任务。
1.4、监控子系统以对企业内部资产进行持续监控,结合最新的漏洞情报信息,提前发现更多严重性的漏洞并做出相应防护措施为目的。当情报子系统接收到最新的漏洞预警信息,结合漏洞的原理、影响面,由指挥中台输出企业内部需要监控的资产并及时调度监控子系统进行监控。一旦发现存在新的严重性高的漏洞会反馈至指挥中台,由指挥中台启动热点漏洞预警剧本进行自动化编排处置闭环。当一个漏洞被处置完毕后,监控子系统依旧会对其进行一段时间的监控,防止漏洞没真正修复或者防护措施有缺陷。
1.5、验证子系统以验证漏洞的有效性为目的。系统开发者选用开源的POC框架,当情报子系统有提供新的热点漏洞预警信息时候,只需要熟悉漏洞的原理和详情,准备好漏洞靶场,即可开始编写该漏洞的POC脚本。验证完毕后会上传至验证子系统,对企业内部资产进行对应漏洞的验证。同时也会提供手动执行验证的方法。
1.6、修复子系统以修复漏洞为目的。修复的过程如下:
①获取官网/厂商的补丁;
②分析补丁的依赖和系统的兼容性以及补丁的影响;
③如果条件允许,建立回滚计划,防止补丁对业务造成未知影响;
④在测试环境测试补丁修复情况;
⑤在部分生产环境测试补丁修复情况;
⑥进行灰度上线补丁计划,乃至全量补丁修复;
⑦分析补丁修复后的系统稳定并监控;
⑧进行验证补丁是否修复成功,漏洞是否依然存在。
1.7、防护子系统以降低漏洞的影响面为目的。对于很多无法直接根除漏洞进行补丁修复的情况,比如可能影响业务中断,补丁暂时不支持某系统或软件等情况。我们要采取降低漏洞影响的操作,可能涉及的操作如下:
①隔离系统网络,包括防火墙规则和网络区域划分;
②联动防火墙新增网络访问控制策略,缩小网络影响面;
③联动EDR终端类安全产品进行限制或者阻断;
④阻断有漏洞软件的网络连接;
⑤联动防火墙对其进行端口限制或者阻断。
1.8、知识子系统以积累沉淀符合企业自身的漏洞知识和解决方案为目的,包括历史发生的严重漏洞影响事件。对于情报子系统获取的最新漏洞预警信息和系统发现的漏洞、及其原理、详情信息、解决方案,一并录入至该系统。同时针对企业内部的资产信息进行确认录入,如哪些资产是核心业务,哪些资产存在不能打补丁的情况,哪些资产发生过严重漏洞影响事件,哪些资产需要重点持续关注,哪些资产的关联影响面是多大等。一旦系统发现有漏洞,即可由指挥中台调度知识子系统,通过相应的漏洞信息、资产信息输出最佳的解决方案。
1.9、流程子系统以协助人员按指定有效的流程快速响应闭环为目的。在修复漏洞的过程中,对于需要通知其他部门/组织人员进行配合协助的情况下,指挥中台会跟进资产和人员组织结构信息给出最佳的解决方案,通常人员只需要在流程工单上确认对应的关键信息和提供运维处置漏洞需要的信息即可或者按照指引进行漏洞修复/防护。
1.10、复测子系统以确保漏洞已经真正被修复为目的。当一个漏洞被通知已经修复,该子系统会对该漏洞进行一次复测,确保漏洞被真正修复。
1.11、加固子系统以防止漏洞还有可乘之机为目的。当一个漏洞被修复或者已经做了一定的防护措施。这时候指挥中台会根据资产的网络影响面和已有防护措施进一步分析决策,判断是否还需要做更深入的防护加固措施,如再缩小端口开放面、新增应用控制策略等。
1.12、指挥中台
负责统一指挥调度各个子系统,集成SOAR的能力,内置各种类型的漏洞处置剧本,当有发现漏洞会再根据企业的内部资产和网络情况给出更合适的解决方案,同时调整相应的剧本进行自动化编排处置闭环。
一个漏洞通常的管理全流程:漏洞发现(情报子系统、监控子系统和扫描子系统)-漏洞验证(验证子系统)-漏洞处置(流程子系统、知识子系统、防护子系统、修复子系统)-漏洞复测(由修复子系统修改后,再由复测子系统进行复测)-加固防护(加固子系统)-持续跟踪(监控子系统)。
在漏洞处置之前,指挥中台会根据事先预案和企业内部资产、网络情况等环境因子进行分析才输出更合适的处置解决方案。
得益于知识子系统积累沉淀了丰富的漏洞库信息,能及时应对各种Nday漏洞、历史上企业发生过的漏洞;而情报子系统实时提供新发现的漏洞、0day漏洞、热点漏洞信息,让企业在处理这些漏洞时候也有足够的信息支撑。
当企业发现或者需要处置一个漏洞的时候,分析流程如下:
S1.基于两个子系统提供的漏洞信息:漏洞获取权限难易度、漏洞可用性影响;中台会计算出一个权重值,区间为0-2。
S2.针对企业内网存在该漏洞的资产所在的IP网段、网络区域,结合该资产的网络访问关系、访问权限进行筛选出可能被影响到的拥有机密信息的其他资产,中台根据可能被影响到的机密信息重要性和数量计算出一个权重值,区间为0-2。S3.漏洞时间因子,权重值区间为0-1。一个漏洞从被发现开始0day到Nday,因为网络防守方处于被动和解决方案缺乏的情况下,一周内会急速由0增加至1,后再持续减小。结合情报信息,对外部黑客利用该漏洞的成熟度、手段多少,以及对互联网影响的IP数量,在一定的时间节点后,权重值会再次上升增加。
S4.针对企业内网存在该漏洞的资产进行评估其重要程度,重要程度的判断因素为是否核心服务器、是否对外业务系统、是否重要数据库,权重值为0-1。
S5.资产被漏洞利用后的影响面,主要统计出可能被影响到资产数量,包括跳板机被影响后波及到的资产,权重值为0-1。
S6.基于上面几个权重值进行累加,得出一个整体的权重值,值越大表示漏洞处置优先级越高。在特定时期,比如护网期间、重保期间、某0day爆发期间,各个权重值区间也允许人为进行临时性的调整。
S7.若企业内部历史上曾经发生过同样漏洞,中台优先调度当时处置该漏洞的响应剧本进行下发执行。
S8.事先漏洞处置剧本,也是个知识积累沉淀,半自动+人工的方式。主要针对具体的漏洞利用手段而自动生成的处置流程,比如永恒之蓝漏洞,则重点对445端口进行处置和排查;再加上人工针对企业资产情况、网络情况和组织架构情况进行调整调优,比如某核心服务器是归属某部门,但运维责任人是某厂商,网络访问权限是某IT人员负责,会同时给各自责任体分发任务进行快速处置。漏洞处置剧本,由SOAR根据其剧本进行编排和自动化执行。比如联动防火墙封禁端口、联动EDR进行微隔离、联动某种通信工具发信息通知业务部门人员等一系列原本需要人为跨平台操作的事项,通通由系统自动化调度实现。
本发明帮助用户减少漏洞处置闭环的成本,更清晰全面把控企业整体漏洞情况,由指挥中台统一指挥调度,让漏洞管理更加简单高效。
Claims (5)
1.一种统一指挥的漏洞全生命周期自动化智能系统,其特征在于:该系统包括10个相互独立子系统以及指挥中台,子系统分别是发现子系统、情报子系统、监控子系统、验证子系统、修复子系统、防护子系统、知识子系统、流程子系统、复测子系统、加固子系统;
所述发现子系统用于发现漏洞,发现子系统采用自带漏洞扫描功能或接入其他第三方厂商的漏洞扫描设备;
情报子系统用于收集最新漏洞情报信息并开展相应监控防护措施,通过API接口方式接入云端最新实时的漏洞预警信息,将该信息上报至指挥中台,由指挥中台输出特定需要进行监控的资产并调度监控子系统进行任务;
监控子系统用于对企业内部资产进行持续监控,结合最新的漏洞情报信息,提前发现更多严重性的漏洞并做出相应防护措施;由指挥中台输出企业内部需要监控的资产信息进行监控,一旦发现存在新的严重性高的漏洞会反馈至指挥中台,由指挥中台启动热点漏洞预警剧本进行自动化编排处置闭环;当一个漏洞被处置完毕后,监控子系统依旧会对其进行一段时间的监控,防止漏洞没真正修复或者防护措施有缺陷;
验证子系统用于验证漏洞的有效性,对企业内部资产进行对应漏洞的验证,同时提供手动执行验证的方法;
修复子系统用于修复漏洞;防护子系统用于降低漏洞的影响面;
知识子系统用于积累沉淀符合企业自身的漏洞知识和解决方案,包括历史发生的严重漏洞影响事件;将情报子系统获取的最新漏洞预警信息和系统发现的漏洞及其原理、详情信息、解决方案,一并录入至该系统;同时针对企业内部的资产信息进行确认录入,资产信息包括核心业务的资产、存在不能打补丁情况的资产、发生过严重漏洞影响事件的资产、需要重点持续关注的资产及资产的关联影响面;一旦系统发现有漏洞,即可由指挥中台调度知识子系统,通过相应的漏洞信息、资产信息输出最佳的解决方案;
流程子系统用于协助人员按指定有效的流程快速响应闭环;在修复漏洞的过程中,对于需要通知其他部门/组织人员进行配合协助的情况下,指挥中台会跟进资产和人员组织结构信息给出最佳的解决方案,通常人员只需要在流程工单上确认对应的关键信息和提供运维处置漏洞需要的信息或者按照指引进行漏洞修复/防护;
复测子系统用于检测漏洞是否真正被修复,会对被通知已经修复的漏洞进行一次复测;
加固子系统用于加固防护,接收指挥中台做出的被修复或者已经做了一定的防护措施的漏洞是否还需要进行防护加固措施的分析决策,分析决策是根据资产的网络影响面和已有防护措施进行判断的;所述防护加固措施包括再缩小端口开放面、新增应用控制策略;
所述指挥中台负责统一调度各个子系统进行自动化工作,根据企业的网络和业务场景因素不断改进各种漏洞的最优解决方案,从而快速调度各子系统进行有效的处置闭环。
2.根据权利要求1所述的一种统一指挥的漏洞全生命周期自动化智能系统,其特征在于:所述发现子系统中自带漏洞扫描功能:基于漏洞数据库,通过扫描对指定远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为;漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫;
接入其他第三方厂商的漏洞扫描设备:通过API接口方式对其漏洞扫描设备进行下发扫描任务,接收扫描结果数据,结合系统的资产、漏洞信息进行融合,得出漏洞扫描结果。
3.根据权利要求1所述的一种统一指挥的漏洞全生命周期自动化智能系统,其特征在于:所述修复子系统修复的过程为:
(1)获取官网/厂商的补丁;
(2)分析补丁的依赖和系统的兼容性以及补丁的影响;
(3)条件允许则建立回滚计划,防止补丁对业务造成未知影响;
(4)在测试环境测试补丁修复情况;
(5)在部分生产环境测试补丁修复情况;
(6)进行灰度上线补丁计划,乃至全量补丁修复;
(7)分析补丁修复后的系统稳定并监控;
(8)进行验证补丁是否修复成功,漏洞是否依然存在。
4.根据权利要求1所述的一种统一指挥的漏洞全生命周期自动化智能系统,其特征在于:所述防护子系统中对于很多无法直接根除漏洞进行补丁修复的情况,采取降低漏洞影响的操作,选择以下操作中的一种或几种:
(1)隔离系统网络,包括防火墙规则和网络区域划分;
(2)联动防火墙新增网络访问控制策略,缩小网络影响面;
(3)联动EDR终端类安全产品进行限制或者阻断;
(4)阻断有漏洞软件的网络连接;
(5)联动防火墙对其进行端口限制或者阻断。
5.根据权利要求1所述的一种统一指挥的漏洞全生命周期自动化智能系统的工作方法,其特征在于:漏洞处置闭环分为6个阶段,分别是漏洞发现、漏洞验证、漏洞处置、漏洞复测、加固防护、持续跟踪;其中漏洞发现阶段由发现子系统、情报子系统、监控子系统负责;漏洞验证阶段由验证子系统负责;漏洞处置阶段由修复子系统、防护子系统、知识子系统、流程子系统负责;漏洞复测阶段由复测子系统负责;加固防护阶段由加固子系统负责;持续跟踪由监控子系统负责;
指挥中台负责统一指挥调度各个子系统,集成SOAR的能力,内置漏洞处置剧本,当有发现漏洞会再根据企业的内部资产和网络情况给出更合适的解决方案,同时调整相应的剧本进行自动化编排处置闭环。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210359721.6A CN114866285B (zh) | 2022-04-07 | 2022-04-07 | 一种统一指挥的漏洞全生命周期自动化智能系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210359721.6A CN114866285B (zh) | 2022-04-07 | 2022-04-07 | 一种统一指挥的漏洞全生命周期自动化智能系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114866285A CN114866285A (zh) | 2022-08-05 |
CN114866285B true CN114866285B (zh) | 2023-10-27 |
Family
ID=82629198
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210359721.6A Active CN114866285B (zh) | 2022-04-07 | 2022-04-07 | 一种统一指挥的漏洞全生命周期自动化智能系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114866285B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453432A (zh) * | 2016-12-20 | 2017-02-22 | 国网江西省电力公司信息通信分公司 | 基于漏洞扫描和威胁情报的统一漏洞管理与预警平台 |
CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
CN109246153A (zh) * | 2018-11-09 | 2019-01-18 | 中国银行股份有限公司 | 网络安全态势分析模型和网络安全评估方法 |
CN109413109A (zh) * | 2018-12-18 | 2019-03-01 | 中国人民解放军国防科技大学 | 基于有限状态机的面向天地一体化网络安全状态分析方法 |
CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
CN111199042A (zh) * | 2019-12-17 | 2020-05-26 | 中国南方电网有限责任公司超高压输电公司 | 一种安全高效漏洞管理系统 |
US11070496B1 (en) * | 2020-03-13 | 2021-07-20 | Jpmorgan Chase Bank, N.A. | Method and apparatus for providing vulnerability feedback |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002056176A (ja) * | 2000-06-01 | 2002-02-20 | Asgent Inc | セキュリティポリシー構築方法及び装置並びにセキュリティポリシー構築を支援する方法及び装置 |
-
2022
- 2022-04-07 CN CN202210359721.6A patent/CN114866285B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
CN106453432A (zh) * | 2016-12-20 | 2017-02-22 | 国网江西省电力公司信息通信分公司 | 基于漏洞扫描和威胁情报的统一漏洞管理与预警平台 |
CN109246153A (zh) * | 2018-11-09 | 2019-01-18 | 中国银行股份有限公司 | 网络安全态势分析模型和网络安全评估方法 |
CN109413109A (zh) * | 2018-12-18 | 2019-03-01 | 中国人民解放军国防科技大学 | 基于有限状态机的面向天地一体化网络安全状态分析方法 |
CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
CN111199042A (zh) * | 2019-12-17 | 2020-05-26 | 中国南方电网有限责任公司超高压输电公司 | 一种安全高效漏洞管理系统 |
US11070496B1 (en) * | 2020-03-13 | 2021-07-20 | Jpmorgan Chase Bank, N.A. | Method and apparatus for providing vulnerability feedback |
Non-Patent Citations (2)
Title |
---|
安全漏洞的完整生命周期管理;段保平;;网络安全和信息化(10);全文 * |
构筑漏洞情报机制 推进漏洞全生命周期管理;王晨昊;黄建;;中国金融电脑(09);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114866285A (zh) | 2022-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10901727B2 (en) | Monitoring code sensitivity to cause software build breaks during software project development | |
US10310968B2 (en) | Developing software project plans based on developer sensitivity ratings detected from monitoring developer error patterns | |
CN109583711B (zh) | 一种安全风险评估全过程管理系统 | |
US20150301515A1 (en) | Method, Device and Computer Program for Monitoring an Industrial Control System | |
CN109672663B (zh) | 一种安全威胁事件的闭环式网络安全监管方法及系统 | |
CN104683127A (zh) | 一种设备弱口令集中核查的方法和系统 | |
CN114329498A (zh) | 一种数据中心运维安全管控方法及装置 | |
CN116155531A (zh) | 一种基于soar的网络设备安全管理的方法、装置及电子设备 | |
CN116227918A (zh) | 一种用于药品安全的监管方法及系统 | |
CN114866285B (zh) | 一种统一指挥的漏洞全生命周期自动化智能系统 | |
CN114625074A (zh) | 一种用于火电机组dcs系统的安全防护系统及方法 | |
CN116950882A (zh) | 一种数字能源空压站的远程管理系统 | |
CN106407836B (zh) | 一种数据非法修改行为自动检测的方法及装置 | |
CN115618353B (zh) | 一种工业生产安全的识别系统及方法 | |
CN116668107A (zh) | 一种自动巡查及网络攻击溯源方法 | |
CN113067835B (zh) | 一种集成自适应失陷指标处理系统 | |
Macak et al. | Scenarios for process-aware insider attack detection in manufacturing | |
CN115361203A (zh) | 一种基于分布式扫描引擎的脆弱性分析方法 | |
CN115208699A (zh) | 一种安全编排和自动化响应方法 | |
CN114047906A (zh) | 一种面相引擎的应用软件开发方法 | |
CN113946822A (zh) | 安全风险监控方法、系统、计算机设备和存储介质 | |
CN112615812A (zh) | 一种信息网络统一漏洞多维度安全情报收集分析管理系统 | |
CN116089965B (zh) | 一种基于sod风险模型的信息安全应急管理系统及方法 | |
Thomas | Cyber security evaluation of II&C technologies | |
WO2023206522A1 (en) | Method, apparatusand device for hardening assets in ot system and storage medium and computer program product |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |