近日,spring爆出rce高危漏洞,编号cnvd-2022-23942,已有多家企业因此遭受攻击。安全漏洞隐患不可一日不防,以规范化漏洞管理作为安全防护抓手显得愈来愈重要。
2021年9月,《网络产品安全漏洞管理规定》(以下简称《规定》)正式施行。《规定》旨在规范和指导网络产品提供者、网络运营者等主体单位对网络产品安全漏洞的管理工作。同时,《规定》中明确指出要以网络产品为主视角建立漏洞接收、验证、修补、报送的管理制度,实现对上下游整个供应链网络产品安全漏洞的规范化管理,因此主体单位建立规范化漏洞管理机制势在必行。
天融信提供脆弱性合规管理方案,以安全漏洞全生命周期管理为核心理念,从网络产品安全漏洞的识别、确认、修复、复查等全流程建立技术支撑手段,快速发现和处置网络产品安全漏洞,形成常态化、规范化漏洞管理机制。与此同时,贴合《规定》的漏洞管理要求,从漏洞接收、漏洞验证、漏洞修补、漏洞报送4个维度出发,为客户提供成熟全面的漏洞管理方案。
漏洞接收
《规定》要求
应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存漏洞信息接收日志不少于6个月。
应对办法
系统可纳管多类漏扫系统,通过制定漏洞检测规则,有效发现接收网络产品安全漏洞,同时天融信漏洞共享中心可接收各节点上报的漏洞信息形成情报共享互联,并且系统可以自定义存储释放时间,响应各类合规要求。
漏洞验证
《规定》要求
应当立即采取措施并组织对安全漏洞进行验证评估。
应对办法
内置丰富的漏洞库,并配合天融信云端漏洞情报中心及第三方情报中心获取最新漏洞情报,对网络资产漏洞的存在性、等级、类别等进行技术验证,结合天融信安服专家团队人工研判,从而实现安全漏洞验证评估工作的快速响应 。
漏洞修补
《规定》要求
应当及时组织对漏洞进行修补,将漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的wepoker官网登录入口的技术支持。
应对办法
对已研判确认的产品漏洞的严重程度,受影响范围等因素进行全方位评估,提供专业的漏洞修复方案及处置办法。内置流程化处置机制,可针对不同规模的安全团队实现高效的流程作业。
漏洞报送
《规定》要求
应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
应对办法
积极响应《规定》要求,向上开放报送接口,对接工信部漏洞信息共享平台,实现对安全漏洞信息的收集和上报。
天融信脆弱性合规管理方案以整合提升企业现有漏洞管理能力为目标,引入天融信脆弱性合规管理系统,驱动多类系统漏扫、web漏扫、基线检查等漏洞发现工具,对接天融信云端情报中心,全面识别网络资产并进行漏洞检测发现。在此基础上,优化漏洞处置流程协作业务管理员、安全管理员和安服人员进行漏洞处置,同时系统提供报送接口实现与工信部平台的对接上报。
面对企业日常运维作业
天融信脆弱性合规管理方案
针对不同场景
帮助客户建立规范化漏洞流程管理
新资产上线漏洞扫描
新资产上线前通常是系统漏洞缺陷存在最多的时机,需要对其进行全面检查,尽可能在上线前发现并修复漏洞。天融信脆弱性合规管理方案进一步完善新资产上线漏洞扫描流程,同时驱动多种类型扫描工具,整合各种漏洞检查能力进行综合发现。
定期资产脆弱性检查
天融信脆弱性合规管理方案可执行周期性检查策略,驱动扫描工具进行定期漏洞检查,实现自动化漏洞扫描、分析报告、告警通知、态势展示,降低定期资产脆弱性检查流程中人力投入,加强检查过程自动化。
重大漏洞的应急处置
当出现重大安全漏洞时,天融信脆弱性合规管理方案在云端第一时间推送漏洞情报信息到网络运营单位本地脆弱性合规管理系统,提供受影响资产特征、修复加固方案,帮助客户在重大漏洞应急处置流程中快速识别受影响资产范围,缩短应急响应时间。
topsec
天融信目前已陆续推出了主动防御、智能分析、集中管控、追踪溯源、攻防演练等多套安全运营业务场景方案,真正做到从客户痛点入手,形成业内场景最全面的方案组合套件。未来,天融信将持续紧贴政策要求,覆盖漏洞治理的全流程、多角度,有力保障网络产品安全性,完善网络安全运营工作中的漏洞治理能力,实现更加全面的安全运营。