“資產(chǎn)不清、漏洞不明、情報缺失、流程不通等基礎(chǔ)安全問題多年來一直困擾企業(yè)和組織，不把家底盤點(diǎn)清楚，無法對自身安全狀況做到全局掌握，對安全事件的處置會出現(xiàn)無序的狀態(tài)，就難以滿足當(dāng)前安全運(yùn)營實戰(zhàn)化、體系化、常態(tài)化的要求。”8月28日，在2021北京網(wǎng)絡(luò)安全大會(BCS2021)上，奇安信發(fā)布了“系統(tǒng)安全運(yùn)行服務(wù)支撐平臺”，針對基礎(chǔ)安全現(xiàn)狀與挑戰(zhàn)，為政企客戶探索出了一條行之有效的實戰(zhàn)化安全運(yùn)行之路。

　　　　“老”問題面臨新挑戰(zhàn)

　　當(dāng)前，困擾網(wǎng)絡(luò)安全領(lǐng)域多年的問題大致可分為兩個方面，一方面，資產(chǎn)、配置、漏洞和補(bǔ)丁(簡稱“資配漏補(bǔ)”)的管理是最基本的問題;另一方面，隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)資產(chǎn)的廣度和復(fù)雜度持續(xù)增加，但一直未找到有效的管理方法。舊有的建設(shè)模式缺乏系統(tǒng)化、體系化的思維，造成了管理、系統(tǒng)和流程之間處于割裂狀態(tài)，最終造成了資產(chǎn)不清、漏洞不明、系統(tǒng)未按合規(guī)要求進(jìn)行加固、漏洞處置緩慢、安全運(yùn)營無法閉環(huán)等一系列管理和技術(shù)問題，從而導(dǎo)致企業(yè)和組織在網(wǎng)絡(luò)安全實戰(zhàn)化條件下越來越處于被動地位。

　　與此同時，當(dāng)前的網(wǎng)絡(luò)安全形勢和用戶的數(shù)字化轉(zhuǎn)型也促使我們需要重新思考包括資配漏補(bǔ)管理在內(nèi)的基礎(chǔ)安全的建設(shè)理念和思路。一方面，面對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，基礎(chǔ)安全工作正在從合規(guī)導(dǎo)向演進(jìn)為對抗導(dǎo)向，基礎(chǔ)安全工作要能支撐安全對抗;另一方面，基礎(chǔ)安全工作必須順應(yīng)數(shù)字化轉(zhuǎn)型的潮流，要與業(yè)務(wù)結(jié)合，與IT結(jié)合。

　　回顧最近幾年的重大保障和實戰(zhàn)演練工作，絕大多數(shù)時候，系統(tǒng)被攻陷都源于失陷網(wǎng)絡(luò)中的系統(tǒng)存在缺陷、漏洞和配置不當(dāng)?shù)葐栴}。系統(tǒng)的漏洞管理，尤其是漏洞修補(bǔ)和緩解十分關(guān)鍵。而要進(jìn)行真正有效的漏洞管理，首先需要摸清資產(chǎn)，否則一個漏洞曝出來，也難以搞清楚受影響的資產(chǎn)和波及的范圍。而就算搞清楚了受影響的資產(chǎn)，很多時候也顧慮重重，不敢打補(bǔ)丁，不知道如何修復(fù)。

　　此外，當(dāng)前大部分企業(yè)和組織在包括資配漏補(bǔ)在內(nèi)的基礎(chǔ)安全工作上已經(jīng)做出了大量的投入，這些投入并非都是無效的。如何盤活已有投入，發(fā)揮現(xiàn)有資源的潛能以應(yīng)對新的安全形勢，也是需要考慮的。

　　針對上述挑戰(zhàn)和需求，面向資配漏補(bǔ)的管理亟需一套全新的方法論和技術(shù)路線。

　　　　“系統(tǒng)安全”應(yīng)運(yùn)而生

　　奇安信敏銳地認(rèn)識到資配漏補(bǔ)管理是整個安全防護(hù)體系建設(shè)的基石，將與資配漏補(bǔ)管理相關(guān)的閉環(huán)管理與運(yùn)行稱為“系統(tǒng)安全”，并將其列為網(wǎng)絡(luò)安全滑動標(biāo)尺模型中基礎(chǔ)架構(gòu)安全的重要組成部分。

　　同時，奇安信創(chuàng)造性地提出了“面向資配漏補(bǔ)的系統(tǒng)安全”(簡稱“系統(tǒng)安全”)理念和體系架構(gòu)，主張以系統(tǒng)工程(涌現(xiàn)論)的思維，通過數(shù)據(jù)集成、控制集成和過程集成，將資配漏補(bǔ)的各個系統(tǒng)和流程串接在一起，實現(xiàn)“數(shù)據(jù)驅(qū)動的安全任務(wù)處理工單化”，消除管理的藩籬，實現(xiàn)系統(tǒng)安全運(yùn)行的閉環(huán)。

　　2020年3月，奇安信將“面向資配漏補(bǔ)的系統(tǒng)安全”納入了新一代安全體系框架，并作為十大工程之一進(jìn)行了對外發(fā)布。

　　2021年5月13日，奇安信國內(nèi)首發(fā)了“面向資配漏補(bǔ)的系統(tǒng)安全”的運(yùn)行構(gòu)想圖，進(jìn)一步闡述了新形勢下建設(shè)資配漏補(bǔ)管理閉環(huán)的方法論和預(yù)期效果。

　　“面向資配漏補(bǔ)的系統(tǒng)安全”用數(shù)據(jù)驅(qū)動的實戰(zhàn)化安全運(yùn)行模式打通資產(chǎn)、配置、漏洞和補(bǔ)丁管理等四大基礎(chǔ)安全流程，環(huán)環(huán)相扣，融入大運(yùn)維，收縮攻擊面，保持安全姿態(tài)，有效控制數(shù)字化運(yùn)營的基礎(chǔ)風(fēng)險。

　　系統(tǒng)安全運(yùn)行服務(wù)支撐平臺發(fā)布，落地“系統(tǒng)安全”

　　為了踐行“面向資配漏補(bǔ)的系統(tǒng)安全”工程，奇安信于BCS2021上正式發(fā)布了“系統(tǒng)安全運(yùn)行服務(wù)支撐平臺”(SSOPv6.0)。作為“面向資配漏補(bǔ)的系統(tǒng)安全”工程的技術(shù)平臺，配合“系統(tǒng)安全”的運(yùn)行流程，為“系統(tǒng)安全”服務(wù)運(yùn)行人員的工作提供運(yùn)行平臺支撐，為用戶實現(xiàn)“系統(tǒng)安全”效果提供了成功路徑。

　　據(jù)介紹，系統(tǒng)安全運(yùn)行服務(wù)支撐平臺采用數(shù)據(jù)驅(qū)動和流程驅(qū)動的雙核混動模式。在系統(tǒng)安全運(yùn)行流程的牽引下，平臺通過項目、任務(wù)和作業(yè)調(diào)度等機(jī)制，對接和集成多源異構(gòu)的資配漏補(bǔ)管理工具和表格，持續(xù)采集資配漏補(bǔ)要素信息，并送入數(shù)據(jù)中臺進(jìn)行ETL，按照內(nèi)置的系統(tǒng)安全數(shù)據(jù)模型，實現(xiàn)要素信息的存儲，并進(jìn)行碰撞分析;通過資產(chǎn)清點(diǎn)分析、配置合規(guī)分析、漏洞敞口分析、補(bǔ)丁修復(fù)分析等方法，識別并產(chǎn)生系統(tǒng)安全問題。平臺根據(jù)系統(tǒng)安全問題的不同類型，觸發(fā)相應(yīng)的處置過程，結(jié)合IT運(yùn)維流程，推動安全團(tuán)隊、IT運(yùn)維團(tuán)隊和資產(chǎn)責(zé)任人的協(xié)作和互動，實現(xiàn)問題處置的閉環(huán)，并將反饋結(jié)果送入數(shù)據(jù)中臺，觸發(fā)新一輪的碰撞分析。通過這種持續(xù)的閉環(huán)運(yùn)行，實現(xiàn)持續(xù)的資產(chǎn)納管和對資產(chǎn)安全姿態(tài)的全程掌控，并最終實現(xiàn)系統(tǒng)安全的實戰(zhàn)化、體系化、常態(tài)化運(yùn)行。

　　　展開來說，系統(tǒng)安全運(yùn)行服務(wù)支撐平臺包含以下幾個特色功能：

　　(一)基于開放架構(gòu)的資配漏補(bǔ)管理工具集成。平臺能夠采集企業(yè)和組織中存在的分散的資產(chǎn)信息。基于開放式、可擴(kuò)展架構(gòu)設(shè)計，平臺能夠通過多種方式對接和集成國內(nèi)外各種品牌和型號的資配漏補(bǔ)管理工具，譬如各類資產(chǎn)測繪系統(tǒng)、漏洞掃描工具、配置核查工具、漏洞管理產(chǎn)品、主機(jī)管理產(chǎn)品、終端管理產(chǎn)品、CMDB、IT資產(chǎn)管理系統(tǒng)等。

　　(二)基于大數(shù)據(jù)分析的持續(xù)資產(chǎn)清點(diǎn)。平臺基于大數(shù)據(jù)分析，并融合數(shù)據(jù)倉庫技術(shù)和圖數(shù)據(jù)分析技術(shù)，實現(xiàn)資產(chǎn)的持續(xù)清點(diǎn);通過整合資產(chǎn)、配置、漏洞等要素信息，采用多種碰撞比對分析算法，識別各種資產(chǎn)安全問題，并通過人機(jī)交互的問題處置過程維持資產(chǎn)清單的完整性、準(zhǔn)確性和一致性。

　　(三)基于時空建模的統(tǒng)一資產(chǎn)安全信息庫。奇安信國內(nèi)首個實現(xiàn)了對資產(chǎn)的時空建模，將資產(chǎn)的安全屬性空間和時間維度進(jìn)行疊加，建立了一個具備時空特征的統(tǒng)一資產(chǎn)安全信息庫，能夠記錄每個資產(chǎn)的每個安全屬性的歷史變化，并能夠參與檢索分析。

　　(四)基于切片的漏洞補(bǔ)丁情報。奇安信國內(nèi)首家推出了基于切片的漏洞補(bǔ)丁情報生產(chǎn)方式，為用戶提供漸進(jìn)疊加式持續(xù)裝配的NOX漏洞補(bǔ)丁情報，在保證情報輸出及時性、高效性的基礎(chǔ)上，實現(xiàn)了情報內(nèi)容的豐富性。奇安信NOX漏洞補(bǔ)丁情報不僅融合了CVE、CVD、CNVD、CNNVD等漏洞庫的通用信息，還特別包括了漏洞的POC信息、EXP信息、配置(OVAL)信息、檢測信息、緩解措施信息、補(bǔ)丁有效性信息。此外，基于奇安信威脅情報中心領(lǐng)先的全球探查能力，還在漏洞補(bǔ)丁情報中推出了漏洞熱度評價、漏洞定級評價。最后，NOX漏洞補(bǔ)丁情報能夠輸入到平臺中參與持續(xù)的資產(chǎn)漏洞碰撞分析。

　　(五)基于流程的常態(tài)化系統(tǒng)安全運(yùn)行。平臺一方面基于數(shù)據(jù)驅(qū)動幫助用戶構(gòu)建全面準(zhǔn)確統(tǒng)一的資產(chǎn)安全信息庫，另一方面基于流程驅(qū)動常態(tài)化的安全運(yùn)行工作。奇安信設(shè)計了一套面向系統(tǒng)安全的運(yùn)行流程框架和模板，能夠幫助用戶快速實現(xiàn)個性化的實戰(zhàn)化安全運(yùn)行，將資配漏補(bǔ)管理工作融入到日常的安全運(yùn)行中。

　　(六)基于編排的自動化漏洞緩解。平臺借助奇安信領(lǐng)先的SOAR技術(shù)，實現(xiàn)了編排化的漏洞緩解。用戶能夠預(yù)置的劇本，在安全運(yùn)行流程的牽引下，聯(lián)動WAF、IPS、FW等安全設(shè)備，實現(xiàn)對特定漏洞的自動化緩解和解除，大幅提升系統(tǒng)安全問題處置的效率。

　　展望我國的十四五規(guī)劃，企業(yè)和組織的數(shù)字化轉(zhuǎn)型將進(jìn)入爆發(fā)期，網(wǎng)絡(luò)空間安全將面臨更加嚴(yán)峻的挑戰(zhàn)。要筑牢安全根基，就必須優(yōu)先解決好資產(chǎn)不清、漏洞不明、情報缺失、流程不通等基礎(chǔ)安全問題，這正是“系統(tǒng)安全”的目標(biāo)所在。“系統(tǒng)安全”建設(shè)作為基礎(chǔ)安全的重點(diǎn)工作，能夠為安全防護(hù)提供助力，也能為數(shù)據(jù)安全提供助力，為零信任安全提供支撐，是各類安全能力的基礎(chǔ)。奇安信推出的系統(tǒng)安全運(yùn)行服務(wù)支撐平臺，為實現(xiàn)上述目標(biāo)提供了一條切實可行的行動路徑。