热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

态势感知之漏洞运营

0x00、前言漏洞管理是每个企业安全建设中首先要完成并且不可或缺的安全能力。它能帮助企业预防有可能发生的入侵事件。当然漏洞管理工作也需要和其它安全组件配合才能提前它的安全价值。在

0x00、前言

漏洞管理是每个企业安全建设中首先要完成并且不可或缺的安全能力。它能帮助企业预防有可能发生的入侵事件。当然漏洞管理工作也需要和其它安全组件配合才能提前它的安全价值。在安全预防方面,需要和主机合规基线、网络威胁漏洞扫描程序配合,在入侵检测方面,需要和EDR、NIDS等产品配合。通过这些安全组件的配合才能从简单的漏洞管理level 0 升级成漏洞运营管理 level 1 。

0x01、漏洞运营解决方案

态势感知之漏洞运营态势感知之漏洞运营

个人理解的漏洞运营大致可分为4个阶段

· 线下人工漏洞运营阶段

企业安全建设初级阶段,一穷二白的情况,没有任何漏洞管理工具,一般都使用开源的漏洞扫描攻击导出excel表格,然后去找业务方去修复,有时业务方不重视安全,整个漏洞生命周期要拉的很长,被入侵的可能就大大增加。最后都是发现服务器被入侵了才重视起来。监控0 day方面,基本上靠朋友圈。

· 线上漏洞管理阶段

需要产品化漏洞管理的整个过程,需要有针对主机的不同操作系统的系统漏洞管理平台。做好基础漏洞数据的收集,对新上线的服务需要经过SDL审核,通过才能上线,同时需要拥有一套统一的漏洞扫描平台,帮助你快速掌握自己服务器IP、域名等资产漏洞状态。漏洞监控需要线上SRC服务,可以从供应商接入。

· 线上漏洞运营阶段

在上一阶段,对漏洞数据有充分准备的情况下,我们需要动态关联这个漏洞,它在黑客入侵过程中能体现多少价值。所以需要通过态势感知大数据平台动态关联HIDS、EDR、合规基线等相关的数据。做到动态识别入侵路径。并且形成知识库,漏洞复盘等。

· 线上漏洞运营自动化阶段

通过AI的手段,例如NLP快速理解漏洞知识库,漏洞舆情监控等。达成的目标:漏洞运营不需要人的参与。

0x02、如何动态关联漏洞信息

1、我们目前拥有的数据源

态势感知之漏洞运营

2、如何关联态势感知之漏洞运营

态势感知之漏洞运营

描述

前置条件:每天自动化爬取MITRE CVE数据库、微软官方KB数据库、企业内安装的软件对应官网漏洞相关的索引,去重更新,尽量保证信息的准确性。PHP大马

1、首先通过EDR上报过来的主机标识和CMDB数据库关联,得到主机归属相关信息,如果是云环境,一般通过流数据的方式通知。2、通过EDR上报的安装软件信息与CVE影响组件关联,获取CVE编号、漏洞名称、漏洞等级、漏洞描述等信息。奇热影视3、通过关联后,找到漏洞等级高的软件,查看其关联的进程历史启动信息,遍历进程树,查找是否有网络连接记录与NIDS告警中的有关应用漏洞攻击的匹配。这部分也是计算量比较大的,建议使用flink双流join功能。最终得到来至网络层攻击的相关信息。

这样我们就可以自豪的告诉用户,我们的漏洞运营平台能真正的动态识别入侵路径。运营人员在打补丁的时候就不会有那么多抵触情绪了。


推荐阅读
  • 本文详细介绍了如何解决DNS服务器配置转发无法解析的问题,包括编辑主配置文件和重启域名服务的具体步骤。 ... [详细]
  • 网站访问全流程解析
    本文详细介绍了从用户在浏览器中输入一个域名(如www.yy.com)到页面完全展示的整个过程,包括DNS解析、TCP连接、请求响应等多个步骤。 ... [详细]
  • 本文介绍了如何利用HTTP隧道技术在受限网络环境中绕过IDS和防火墙等安全设备,实现RDP端口的暴力破解攻击。文章详细描述了部署过程、攻击实施及流量分析,旨在提升网络安全意识。 ... [详细]
  • 秒建一个后台管理系统?用这5个开源免费的Java项目就够了
    秒建一个后台管理系统?用这5个开源免费的Java项目就够了 ... [详细]
  • 解决 Windows Server 2016 网络连接问题
    本文详细介绍了如何解决 Windows Server 2016 在使用无线网络 (WLAN) 和有线网络 (以太网) 时遇到的连接问题。包括添加必要的功能和安装正确的驱动程序。 ... [详细]
  • 本文详细介绍了MySQL数据库的基础语法与核心操作,涵盖从基础概念到具体应用的多个方面。首先,文章从基础知识入手,逐步深入到创建和修改数据表的操作。接着,详细讲解了如何进行数据的插入、更新与删除。在查询部分,不仅介绍了DISTINCT和LIMIT的使用方法,还探讨了排序、过滤和通配符的应用。此外,文章还涵盖了计算字段以及多种函数的使用,包括文本处理、日期和时间处理及数值处理等。通过这些内容,读者可以全面掌握MySQL数据库的核心操作技巧。 ... [详细]
  • FreeBSD环境下PHP GD库安装问题的详细解决方案
    在 FreeBSD 环境下,安装 PHP GD 库时可能会遇到一些常见的问题。本文详细介绍了从配置到编译的完整步骤,包括解决依赖关系、配置选项以及常见错误的处理方法。通过这些详细的指导,开发者可以顺利地在 FreeBSD 上完成 PHP GD 库的安装,确保其正常运行。此外,本文还提供了一些优化建议,帮助提高安装过程的效率和稳定性。 ... [详细]
  • 在 Axublog 1.1.0 版本的 `c_login.php` 文件中发现了一个严重的 SQL 注入漏洞。该漏洞允许攻击者通过操纵登录请求中的参数,注入恶意 SQL 代码,从而可能获取敏感信息或对数据库进行未授权操作。建议用户尽快更新到最新版本并采取相应的安全措施以防止潜在的风险。 ... [详细]
  • 成都服务器租赁适用于哪些网站业务部署——Vecloud专业解析
    成都,作为四川省的省会,不仅是西南地区唯一的副省级城市,也是国家重要的高新技术产业基地和商贸物流中心。Vecloud专业解析指出,成都服务器租赁服务特别适合各类网站业务的部署,尤其是需要高效、稳定和安全的在线应用。无论是电子商务平台、内容管理系统还是大数据分析,成都的服务器租赁都能提供强大的支持,满足不同企业的需求。 ... [详细]
  • CTF竞赛中文件上传技巧与安全绕过方法深入解析
    CTF竞赛中文件上传技巧与安全绕过方法深入解析 ... [详细]
  • 解决Parallels Desktop错误15265的方法
    本文详细介绍了在使用Parallels Desktop时遇到错误15265的多种解决方案,包括检查网络连接、关闭代理服务器和修改主机文件等步骤。 ... [详细]
  • 在使用 Cacti 进行监控时,发现已运行的转码机未产生流量,导致 Cacti 监控界面显示该转码机处于宕机状态。进一步检查 Cacti 日志,发现数据库中存在 SQL 查询失败的问题,错误代码为 145。此问题可能是由于数据库表损坏或索引失效所致,建议对相关表进行修复操作以恢复监控功能。 ... [详细]
  • 性能测试中的关键监控指标与深入分析
    在软件性能测试中,关键监控指标的选取至关重要。主要目的包括:1. 评估系统的当前性能,确保其符合预期的性能标准;2. 发现软件性能瓶颈,定位潜在问题;3. 优化系统性能,提高用户体验。通过综合分析这些指标,可以全面了解系统的运行状态,为后续的性能改进提供科学依据。 ... [详细]
  • 在将Excel数据导入MySQL数据库的过程中,如何确保不会生成重复记录?本文介绍了一种方法,通过PHP脚本检查数据库中是否存在相同的“Code”字段值,从而避免重复记录的产生。该方法不仅提高了数据导入的准确性,还增强了系统的健壮性。 ... [详细]
  • 本文深入探讨了Ajax的工作机制及其在现代Web开发中的应用。Ajax作为一种异步通信技术,改变了传统的客户端与服务器直接交互的模式。通过引入Ajax,客户端与服务器之间的通信变得更加高效和灵活。文章详细分析了Ajax的核心原理,包括XMLHttpRequest对象的使用、数据传输格式(如JSON和XML)以及事件处理机制。此外,还介绍了Ajax在提升用户体验、实现动态页面更新等方面的具体应用,并讨论了其在当前Web开发中的重要性和未来发展趋势。 ... [详细]
author-avatar
坨大大
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有