北京天融信科技有限公司
免費會員
近日,Spring爆出RCE高危漏洞,編號CNVD-2022-23942,已有多家企業(yè)因此遭受攻擊。安全漏洞隱患不可一日不防,以規(guī)范化漏洞管理作為安全防護抓手顯得愈來愈重要。
2021年9月,《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(以下簡稱《規(guī)定》)正式施行。《規(guī)定》旨在規(guī)范和指導(dǎo)網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運營者等主體單位對網(wǎng)絡(luò)產(chǎn)品安全漏洞的管理工作。同時,《規(guī)定》中明確指出要以網(wǎng)絡(luò)產(chǎn)品為主視角建立漏洞接收、驗證、修補、報送的管理制度,實現(xiàn)對上下游整個供應(yīng)鏈網(wǎng)絡(luò)產(chǎn)品安全漏洞的規(guī)范化管理,因此主體單位建立規(guī)范化漏洞管理機制勢在必行。
天融信提供脆弱性合規(guī)管理方案,以安全漏洞全生命周期管理為核心理念,從網(wǎng)絡(luò)產(chǎn)品安全漏洞的識別、確認(rèn)、修復(fù)、復(fù)查等全流程建立技術(shù)支撐手段,快速發(fā)現(xiàn)和處置網(wǎng)絡(luò)產(chǎn)品安全漏洞,形成常態(tài)化、規(guī)范化漏洞管理機制。與此同時,貼合《規(guī)定》的漏洞管理要求,從漏洞接收、漏洞驗證、漏洞修補、漏洞報送4個維度出發(fā),為客戶提供成熟全面的漏洞管理方案。
1、漏洞接收
《規(guī)定》要求
應(yīng)當(dāng)建立健全網(wǎng)絡(luò)產(chǎn)品安全漏洞信息接收渠道并保持暢通,留存漏洞信息接收日志不少于6個月。
應(yīng)對辦法
系統(tǒng)可納管多類漏掃系統(tǒng),通過制定漏洞檢測規(guī)則,有效發(fā)現(xiàn)接收網(wǎng)絡(luò)產(chǎn)品安全漏洞,同時天融信漏洞共享中心可接收各節(jié)點上報的漏洞信息形成情報共享互聯(lián),并且系統(tǒng)可以自定義存儲釋放時間,響應(yīng)各類合規(guī)要求。
2、漏洞驗證
《規(guī)定》要求
應(yīng)當(dāng)立即采取措施并組織對安全漏洞進(jìn)行驗證評估。
應(yīng)對辦法
內(nèi)置豐富的漏洞庫,并配合天融信云端漏洞情報中心及第三方情報中心獲取漏洞情報,對網(wǎng)絡(luò)資產(chǎn)漏洞的存在性、等級、類別等進(jìn)行技術(shù)驗證,結(jié)合天融信安服專家團隊人工研判,從而實現(xiàn)安全漏洞驗證評估工作的快速響應(yīng) 。
3、漏洞修補
《規(guī)定》要求
應(yīng)當(dāng)及時組織對漏洞進(jìn)行修補,將漏洞風(fēng)險及修補方式告知可能受影響的產(chǎn)品用戶,并提供必要的技術(shù)支持。
應(yīng)對辦法
對已研判確認(rèn)的產(chǎn)品漏洞的嚴(yán)重程度,受影響范圍等因素進(jìn)行評估,提供專業(yè)的漏洞修復(fù)方案及處置辦法。內(nèi)置流程化處置機制,可針對不同規(guī)模的安全團隊實現(xiàn)高效的流程作業(yè)。
4、漏洞報送
《規(guī)定》要求
應(yīng)當(dāng)在2日內(nèi)向網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。
應(yīng)對辦法
積極響應(yīng)《規(guī)定》要求,向上開放報送接口,對接漏洞信息共享平臺,實現(xiàn)對安全漏洞信息的收集和上報。
天融信脆弱性合規(guī)管理方案以整合提升企業(yè)現(xiàn)有漏洞管理能力為目標(biāo),引入天融信脆弱性合規(guī)管理系統(tǒng),驅(qū)動多類系統(tǒng)漏掃、Web漏掃、基線檢查等漏洞發(fā)現(xiàn)工具,對接天融信云端情報中心,全面識別網(wǎng)絡(luò)資產(chǎn)并進(jìn)行漏洞檢測發(fā)現(xiàn)。在此基礎(chǔ)上,優(yōu)化漏洞處置流程協(xié)作業(yè)務(wù)管理員、安全管理員和安服人員進(jìn)行漏洞處置,同時系統(tǒng)提供報送接口實現(xiàn)與平臺的對接上報。
面對企業(yè)日常運維作業(yè)
天融信脆弱性合規(guī)管理方案
針對不同場景
幫助客戶建立規(guī)范化漏洞流程管理
新資產(chǎn)上線漏洞掃描
新資產(chǎn)上線前通常是系統(tǒng)漏洞缺陷存在最多的時機,需要對其進(jìn)行全面檢查,盡可能在上線前發(fā)現(xiàn)并修復(fù)漏洞。天融信脆弱性合規(guī)管理方案進(jìn)一步完善新資產(chǎn)上線漏洞掃描流程,同時驅(qū)動多種類型掃描工具,整合各種漏洞檢查能力進(jìn)行綜合發(fā)現(xiàn)。
定期資產(chǎn)脆弱性檢查
天融信脆弱性合規(guī)管理方案可執(zhí)行周期性檢查策略,驅(qū)動掃描工具進(jìn)行定期漏洞檢查,實現(xiàn)自動化漏洞掃描、分析報告、告警通知、態(tài)勢展示,降低定期資產(chǎn)脆弱性檢查流程中人力投入,加強檢查過程自動化。
重大漏洞的應(yīng)急處置
當(dāng)出現(xiàn)重大安全漏洞時,天融信脆弱性合規(guī)管理方案在云端時間推送漏洞情報信息到網(wǎng)絡(luò)運營單位本地脆弱性合規(guī)管理系統(tǒng),提供受影響資產(chǎn)特征、修復(fù)加固方案,幫助客戶在重大漏洞應(yīng)急處置流程中快速識別受影響資產(chǎn)范圍,縮短應(yīng)急響應(yīng)時間。
TOPSEC
天融信目前已陸續(xù)推出了主動防御、智能分析、集中管控、追蹤溯源、演練等多套安全運營業(yè)務(wù)場景方案,真正做到從客戶痛點入手,形成業(yè)內(nèi)場景面的方案組合套件。未來,天融信將持續(xù)緊貼政策要求,覆蓋漏洞治理的全流程、多角度,有力保障網(wǎng)絡(luò)產(chǎn)品安全性,完善網(wǎng)絡(luò)安全運營工作中的漏洞治理能力,實現(xiàn)更加全面的安全運營。
