我正在寻找参考文档或关于漏洞评估、扫描和管理过程的最终结果的参考文档,这些过程对于一个在安全性方面投资良好的大型组织来说是一个完全成熟的“令人印象深刻”的水平。
我知道大多数人都建议基础知识,大多数论文都强调了这一点,例如“制定计划,扫描,然后修复,冲洗并重复”。我知道要扫描什么以及为什么。我参考了许多论文,例如NIST 800-53 R4和Sans - 实施漏洞管理流程。没有一个能让我全面了解漏洞管理的令人印象深刻的状态,例如在构建阶段之后但在部署之前自动进行按需扫描,以防止以后发现问题。
我的问题:
成熟的漏洞评估和管理实施或流程的最佳示例或参考材料是什么?
我们的行业是否有事实上的资源作为漏洞扫描和管理成熟流程的巅峰之作?
Gartner 以分析的方式更新了很多涵盖该主题的研究论文——http: //blogs.gartner.com/anton-chuvakin/2015/12/29/a-quick-update-on-our-research/
但是,这是许多人没有资源的付费墙。451 Group 对此处看到的 CORE INSIGHT 产品进行了分析 -- http://www.coresecurity.com/system/files/attachments/451-Research-Reprint-Core-Security-Nov14.pdf -- 这篇论文提到了许多该空间中的其他供应商,即使有些已更改名称。
NIST CSF 和其他主要框架除了“做 vuln mgmt”(不是一个很好的答案)之外几乎没有提供什么指导。
我的建议是了解您在漏洞管理、漏洞评估和漏洞扫描以及渗透测试和红队分析、红队参与和网络演习方面已经投入了什么。一个参考点,特别是对于网络演习,是 MITRE。我真的很喜欢网络练习手册。
在经典或遗留环境中,尤其是您所描述的大型安装基础架构中 - 您通常只会看到两个主要的商业供应商在玩,但可能还有一些其他供应商联合起来以形成更大的 vuln mgmt 图片。最好的 Tenable 并没有看到其他供应商之间的大量集成,这就是为什么 Qualys 似乎是一个占主导地位的供应商——Tripwire(以前的 nCircle)是第二位(尽管 Nessus 是 CVE 数量的事实上的标准)它可以主动扫描以及它可以收集的深度和准确性,尤其是在凭证扫描时——Qualys 擅长非凭证扫描)。其他的,例如 Trustwave TrustKeeper 和 Dell/EMC/RSA 会浮现在脑海中,但只是偶然的,可能是从结构化程序的角度来看,例如合规驱动。
我的网络模型排除了上述很多情况。在我希望包含在 NIST CSF 或类似标准的未来版本中的模型中,OpenGroup FAIR 风险分析模型处于最前沿,威胁评估驱动着整个画面——其中漏洞总是 100%。该模型要求网络运营团队负责漏洞管理和评估流程,包括漏洞扫描。现代控制,例如应用程序白名单与 EDR 相结合,或者相反,网络行为分析与沙盒爆炸式恶意软件分发网络检测相结合(或全部四个)会导致漏洞扫描出现严重问题(反之亦然)。因此,需要一种新的漏洞管理和评估模型。
在为漏洞管理和评估的新框架构建概念时,我设计了一些众所周知的好技术。首先是放弃连续扫描和时间点评估。漏洞管理和评估的概念与其他漏洞、利用和威胁数据进行了规范化。SensePost 在这里打开了我对这个概念的想法——https: //www.sensepost.com/blog/2014/using-maltego-to-explore-threat-vulnerability-data/——但许多其他参与者,包括 Splunk 和 vFeed 项目,都在继续这种做法。不成文的框架与两个主要概念有关:红队分析和红队参与。红队分析 (RTA) 是一种涉及对可能的威胁和目标进行理论化的技术,其中特定的武器、TTP 和战略区域(例如滩头阵地)被放置在一个表格中并通过场景进行工作。这通常是一个为期 6 个月的计划阶段,然后是红队参与,为期 6 周的动手评估。
在红队参与中,可能会或可能不会使用传统的漏洞评估和扫描工具。PowerShellEmpire 等主要工具包可能不包含 nmap、Nessus、NeXpose 或任何其他漏洞扫描程序,因为它已经包含高级规避技术 (AET),例如 SPN 扫描和/或 find-fruit 脚本。我可以想象许多场景确实包括 Nessus 插件(用于特定的、计划的测试用例),或者使用 NeXpose 仅用于指纹识别。nmap 通常以尽可能慢的速度完成,并带有补丁和修改以提供 AET,并且一次仅端口 - 尽管更好地利用带宽和时间可能是诸如pbscan之类的工具. 可以与其中任何一个一起使用的其他 AET 工具是 SniffJoke 和/或 McAfee Evader。如今,商业工具无法提供这些攻击性功能——而且我还没有在任何路线图上看到它。
几乎任何大型基础设施都会导致从事 RTA 和红队参与的分析师利用数据聚合工具。我的主要推荐是 LAIR 框架、Faraday 和 Dradis Pro——尽管 Splunk 无疑可以成为长期或相关需求(即与其他数据点的集成,例如威胁和利用数据)的重要来源。这让我想到了另一点,如何集成安全配置管理数据。许多框架都谈到了安全配置管理(例如,PCI DSS 第 2.2 节),但同样没有给出主要指导。互联网安全中心免费提供其基准和一些工具,但 CIS-CAT 工具和其他元素被锁定在他们的付费墙后面。一些通过 OVAL 进行的 MITRE 工作可在 FOSS 工具、ovaldi 中获得,并通过Joval商业化. 一些供应商确实提供了补丁、漏洞和配置管理之间的差距分析,但它们很难配置——我认为您更有可能在使用 Splunk Enterprise 等平台的网络运营计划中取得成功。
Splunk 在他们最近的 SplunkSec 会议上很好地解释了其中一些范例——https://conf.splunk.com/session/2015/conf2015_CMerchant_Oracle_SecurityCompliance_AffordableSecurityMakingThe.pdf——以及SANS 在最近关于漏洞数据分析的论文中——https ://www.sans.org/reading-room/whitepapers/metrics/applying-data-analytics-vulnerability-data-36532