诸子笔会2022 | 9月盘点，打卡积分及月奖公布

原创绵总安在 2022-10-30

自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。14位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会2022.09月回顾及盘点。

安在征文活动9月主题：查漏补缺

在累计21天的征文星球打卡中，9位笔会专家共计打卡117次。查漏补缺的过程似乎就是网络安全从业者的一生。供应链安全风险越来越明显，补丁质量却日趋下滑，安全从业者应该如何面对日趋复杂又让人捉襟见肘的安全漏洞和补丁呢？对此，9位专家针对定期检“查”、修复“漏”洞、打好“补”丁、封好“缺”口等方面展开了细致地讨论。
在此摘选个中优秀观点，向各位分享。

定期检“查”

►为什么开源组件作为开发安全难以逾越的屏障，成为软件供应链安全和软件成分分析（SCA）热门的赛道？根源在于互联网和数字化导致的信息系统自主研发，打破了商业产品的研发安全过程管理（SSDLC），在关注持续集成与交付的DevOps浪潮中，开源组件成为信息化系统密不可分的一部分，而忽视了开源组件自身的特征，以及管理措施不到位，造成大量的技术欠债需要整改，翻工。

各种团队怀着各种目的开源自家的软件产品，开源组件已经成为互联网和数字化产业技术能力对外输出，以及技术路线众包和商业产品活跃、打磨、验证的绝佳路径，但这也带来了和商业软件与组件不同的安全风险。

►定期开展安全检查是从被动防御向主动防御思路的转变，在事件发生前全面开展安全检查，帮助发现企业内部有可能存在的风险，检查的模式可以有春秋检查这样的常态化安全检查，也可以是在重大活动保障前的专项检查，或者是在国家重要法律法规和政策意见发布后的基线合规检查。检查的目的是发现问题，进而快速解决问题。不论是哪种模式的驱动，都是开展主动安全防御能力建设的基础。

定期检查也可以充分调动企业风险自评估的积极性，风险评估的目的是通过对企业资产的全面梳理，识别潜在的脆弱性和威胁，调动关键资源对核心业务完成定性或定量的合理评估。资产梳理是网络安全建设最基础的工作，也是大多数企业最容易忽视的环节，直接导致后期应急响应效率低下和企业安全资源的浪费。查是为了在攻击者之前发现问题，包括资产是否管理全面，漏洞是否整改有效，安全意识是否需要加强等方面，也能够指导管理层建立合理的安全策略和目标，在资源投入和预算分配时恰当合理。

►一般而言，安全漏洞管理包含了漏洞的发现、报告、接受、验证、处置、发布、跟踪等环节，通过PDCA形成一个完整的安全漏洞管理闭环。参考GBT30276 网络安全漏洞管理规范的定义，我简单介绍一下。

网络安全漏洞管理包含以下阶段：

■漏洞发现和报告：漏洞发现者通过人工或者自动的方法对漏洞进行探测、分析，证实漏洞存在的真实性，并由漏洞报告者将获得的漏洞信息向漏洞接收者报告；

■漏洞接收：通过相应途径接收漏洞信息；

■漏洞验证：收到漏洞报告后，进行漏洞信息的技术验证；满足相应要求可终止后续漏洞管理流程；

■漏洞处置：对漏洞进行修复，或制定并测试漏洞修复或防范措施，可包括升级版本、补丁、更改配置等方式；

■漏洞发布：通过网站、邮件列表等渠道将漏洞信息向社会或受影响的用户发布；

■漏洞跟踪：在漏洞发布后跟踪监测漏洞修复情况、产品或服务的稳定性等；视情况对漏洞修复或防范措施做进一步改进；满足相应要求可终止漏洞管理流程。

每一个阶段都有其对应的管理要求，这里我不做具体的阐述，但要强调一点，漏洞的发布是需要遵循国家相关的规定的，在该漏洞未修复或有防范措施前是不得发布的，如果违反相关规定，后果还是很严重的。

修复“漏”洞

►针对检查中发现的安全隐患，需要及时处置，其中最重要的一项就是漏洞管理和漏洞修复。漏洞的存在包含系统漏洞、应用漏洞、数据库漏洞等方面，多方面如此众多的漏洞，不仅对技术人员的能力要求高，更重要的是修复的时效性和有效性，既要保证在漏洞发现的第一时间完成修复，还得保证修复的漏洞符合整改要求。

因此，漏洞管理平台的搭建是非常必要的，融合各个层面的漏洞数据资源，关联企业内部业务数据和组织数据，建立从漏洞发现、漏洞验证、漏洞修复、漏洞跟踪和验收维护等方面的线上化漏洞管理流程，指导精准定位和快速响应，同时可以沉淀经验、积累数据，通过数据分析和可视化展示来协助管理层决策。

►以前段时间的Log4j漏洞为例，由于从漏洞通报到发布解决漏洞的版本之间存在时间差，如果我们一味快速上线新发布的版本，受限于上述时间差和上线窗口，必然会将我们的资产暴露于危险之中，甚至上线匆忙发布的新版本还可能引入新的风险。我们应该采取通用的缓解措施（如引入RASP实现及时止血），然后等待新版本集中测试完成后再进行统一更新，这样更有利于保障生产运行稳定。

以日志脱敏为例，每个应用整改的成本是非常高的，其中包括梳理、处理和检查等多项工作，每个项目组至少需要一个月以上的工作量，我们有没有办法通过在某个点上对数据进行动态脱敏呢？部分个人信息是有明显特征的，所以实际上是有可能的，如果应用在建设时统一了接口元数据，整改效果会加理想。

►除非企业了解其内部和云上安装了什么，否则不可能知道硬件或软件应用需要哪些供应商补丁。这时候需要系统清单来了解支持的操作系统和关键业务功能，这包括物联网和IIOT（工业物联网）设备，有效的补丁管理需要准确的资产管理。它还需要可以管理风险的可管理应用程序列表。这是创建应用程序允许列表的一个很好的支持方式，将应用程序置于允许列表中需要 IT 和管理层的批准，还包括取消用户安装任何未出现在列表中的应用程序的相关功能。

►CNCF的云原生对可观测性的定义包含日志、度量与跟踪。日志大家并不陌生，它是数据驱动安全的第一要素，但遗憾的是在数字化时代和互联网场景下，日志其实是个难度比较大的技术活。除了需要关注数据合规与安全的风险之外，日志的粒度会引起存储和分析的指数级增长，如果不做好相应的规划，很可能日志功能仅有1-3天的周期甚至直接关闭，等到我们需要使用的时候，例如去做溯源和取证，才发现可能找不到可用的数据。

另外一个数据驱动安全的要素。大家谈的最多的是流量、全流量，基于核心交换机的分光实现数据全流量的采集和分析，从出口一个维度而言，也无可厚非，也确实起到一定的作用，态势感知、API安全都有应用。当下的问题是在容器云、微服务、零信任的背景下，缺少内部流量的分析与跟踪，仅能对外部的攻击和威胁实现基于出口节点的识别与判断，缺失了内部安全控制的风险威胁发现与预警。

打好“补”丁

►企业在网络安全建设过程中不可能是完美的，需要将各种补丁打好。制度不健全使得企业安全工作杂乱无章，安全责任不明确，职责分工不清晰，导致出现安全事件频发，安全责任推诿，安全资源浪费等现象。企业首先要建立规范化的安全制度，将制度严格落实到日常工作中，如果在工作中发现无法覆盖的缺失，应及时根据场景完成制度修订并进行宣贯培训，有效的制度是企业安全发展的根本。为了确保安全建设能力可以应对攻击，还需要根据业务特点建立针对性的应急响应方案，对应急响应方案开展培训、演练和验证，保证在发生网络安全事件后，相关人员可以根据应急响应方案有序开展工作，快速恢复业务，降低企业损失。

为了提升网络安全的建设能力，需要结合企业不同的安全场景进行流程化管理，安全信息和事件管理(SIEM)、安全编排自动化响应（SOAR）、安全运营中心（SOC）等工具平台就是通过流程化的功能将数据收集、案例管理、标准化、工作流分析相结合，集成各方面的技术能力，为企业构建主动防御能力提供良好的支撑环境。

►我从自己的个人视角看到物流行业崛起的强大社会需求，于是在2013年主编了《物流信息技术》，而且是西北工业大学出版社给予出版的。这部教材像我的孩子，也是我的长子，后来又重修再版了两次，一次是天津科技出版社出版的，第三次是清华大学出版社出版的。从国家的“天地图”到GIS地理信息系统；从国外的GPS到中国自己的北斗系统；从我们仰望星空到“无人机＋”作为这部教材的结束一章，我把物流信息技术的基础做了普及，在疫情施虐三年且没有离开的当下，物流体系支撑了几乎所有国家的国计民生，柴米油盐是最底层的需求，马虎不得。居家封控、静态管理等必须保持安全社交距离，网络技术正好弥补了这个短板，物流快递保障了一日三餐，就算是交通管制、居家静态管理也无大碍。

►有些人认为，复盘只是对过去经验进行总结，这样对于变化快的事物，比如安全事件、安全漏洞会不会没有意义？在笔者看来，这种想法是不科学的。

复盘不是简单地回顾、重复过去事情的经过，而是需要进行深入的分析，找到事物的内在规律，并以开放的心态进行全面的反思，包括对于应对策略也需要随着环境变化进行调整。虽然安全事件变化快，但肯定也存在一定规律和关键成功要素，尤其是应该快速试错、迭代优化。

►国内厂商的大量办公系统、财务系统由于本身的安全开发能力和质量管理能力限制，加之漏洞管理机制的不健全，在每年的大型活动时期都会暴露出大量的0day漏洞，对于企业的漏洞防御、修复等工作会产生极大的困扰。特别是漏洞的对外发布能力以及为用户及时修复的后期服务能力，是一个娇大的短板。

封好“缺”口

►随着物联网、5G、云计算等新兴技术发展和企业数字化转型需要，使得企业网络空间范围和类型也发生了巨大变化，同时开放给攻击者的“缺”口也会越来越多，企业的攻击面管理将势在必行。攻击面管理是一种从攻击者的角度对企业网络攻击敞口进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全管理方法，其最大特性就是以攻击者视角来审视企业内部资产可能存在的攻击面。攻击面主要体现在企业暴露给攻击者各个层面的安全弱点，企业需要做的工作就是如何快速地掌握这些“缺”口，用最有效的方式封好，将整体网络空间尽可能完成闭合。

攻击面管理主要面向企业暴露资产的管理，为发现面向互联网的企业资产和系统以及相关漏洞而建立形成的流程、技术或托管服务，在安全防御和安全运营中建立更加有效的解决思路。将资产识别转变为一种动态识别模式，对持续新增的资产进行扩展标记和变更跟踪，对无效或不再暴露的资产指纹进行老化，甚至可以对新兴资产和影子资产等未知资产暴露面的全面识别，通过深度融合机器学习和人工智能相结合的方式来准确识别资产暴露面。

►安全团队需要关注数据的准确性，数据一旦被创建就应当就标记、保存和分级分类。安全团队在识别业务数据过程中，不应该亲自下场标识数据，而要推动业务部门，与业务部门共同完成数据的标记工作，最终建立一套验证数据准确性的流程和工作。

一定要以数据使用、流通为目的，最小化共享、使用数据，提供数据标注之后的数据保护能力，实现以数据为中心的洞察力。让使用者知道数据是受保护的，不会被非授权的使用和操作。

而应用安全需要是在应用程序中，持续不中断地开发、添加和测试安全功能的过程，以防止安全漏洞抵御未经授权的访问和修改等威胁。其形式无论是SDL还是DevSecOps，根本目的是防止应用内功能漏洞的攻击或利用以及各类信息数据的失窃或泄露，前者消除后置修复的沉痛代价，后者提高安全过程的执行协作效率。

更多内容及打卡详情，参见诸子云知识星球。

本月共发出9篇以“查漏补缺”为主题的专家文章，在此附上链接，供诸位参考。