漏洞管理选魔方,三年计划有良方
随着网络攻击手段日益复杂化,漏洞管理已然成为每个企业都需要重点关注的网络安全课题。近几年金融行业频繁发生因系统漏洞而引发的网络安全事件,充分暴露出金融行业在漏洞管理方面的不足,也从侧面印证漏洞管理的重要性与必要性。
从国家政策层面来看,漏洞管理的必要性日益凸显。现行法规政策也从整体上对金融企业作出要求,但实际执行落实仍待加强。
1、2016年,中国证监会发布《证券公司信息系统管理规定》,第十四条要求,证券公司应当建立信息系统漏洞识别和评估修复机制,对信息系统漏洞进行排查和修补。
2、2018年,中国银保监会发布《商业银行信息技术管理办法》,第十七条规定,商业银行应当建立信息系统漏洞扫描评估机制,及时发现信息系统漏洞并予以修补。
3、2020年,中国银保监会发布《保险公司信息技术管理办法》,第二十条提出,保险公司应当建立信息系统漏洞识别、评估、修复等管理制度,对信息系统漏洞进行排查和修补。
4、2020年,央行等三部委联合下发《金融机构网络安全管理办法》,第十六条要求金融机构建立网络安全漏洞管理制度。
此外,证券基金和期货行业新一代网络安全监管体系正逐步构建完成,三大行业发布:
-
《证券公司网络和信息安全三年提升计划(2023-2025)》
-
《期货公司网络和信息安全三年提升计划(2023-2025)》
-
《基金管理公司网络与信息安全三年提升计划(2023-2025)》
可见,行业已意识到漏洞管理在保障国家网络安全中的重要地位。
从企业自身来看,做好漏洞管理也极为重要。近期,Rapid7发布《2023年年中威胁态势报告》。报告中披露,Rapid7研究团队跟踪了1500多起勒索攻击事件,漏洞利用是报告中指出的第二大初始访问技术,占比27%。攻击者可以通过漏洞获得网络内部访问权限,进而进行勒索软件传播、数据盗窃等更严重的攻击行为,将直接造成用户的信息泄露和企业的经济损失。
安全漏洞
可能成为银行数据泄露的“主力军”
银行作为网络犯罪团伙的目标,面临多种数据获取方式,包括漏洞利用。银行在新设备和软件上线前进行安全检查,但老旧设备难以一次性更换,可能留有漏洞。
典型案例:美国第一资本银行 1.06 亿银行卡用户及申请人信息泄露事件。网络犯罪分子佩奇汤姆森,利用第一资本银行内部系统防火墙中存在的安全漏洞,通过攻击该银行租借的云计算服务器,成功入侵银行数据库,最终造成 1.06 亿银行卡用户及申请人信息泄露。
若采用以上手段仍未获得资源,犯罪分子可能采用BGP劫持、爆破攻击等更复杂手段。
漏洞管理系统
魔方漏洞管理系统(CVM)智能融合全网资产、漏洞上游数据,精准构建风险优先级模型,聚焦关键威胁,量化运营指标,实现漏洞从发现、评估、修复、验证、改进的全流程闭环管理,助力安全更有温度地落地漏洞运营管理体系。
漏洞全生命周期闭环管理
系统提供一体化的漏洞闭环流程管理,支持快速创建和分配漏洞工单,同步记录漏洞修复过程中的沟通及关键细节变化,实时跟踪漏洞修复的进度,以确保漏洞能够完整闭环,进一步突显出漏洞管理的卓越成效。
高聚合低耦合适配器
平台提供第三方平台适配技术,方便快捷地接入其他常见的漏洞扫描产品及资产管理平台。例如WEB漏洞扫描系统、Tenable SC和Nessus、HIDS系统等,以满足企业不断演进的漏洞修复需求。帮助企业梳理和收集各类零散的资产数据和漏洞信息,助力实现资产安全的全面管控。
可视工作流建模
系统内嵌定制化工单流程配置选项,可依据企业特色优化漏洞工单流程,精准匹配企业个性化业务需求。借助直观易用的可视化工单编辑器,用户可自如地增删、修改工单状态,设计自定义的状态转移流程,并为其添加对应的操作指令及责任人。
多源数据聚合能力
借助标准化格式、聚合去重、优先级判定和字段补全等数据提纯手法,对多源数据进行了整合处理,以实现数据的统一性和唯一性。这一举措的核心在于确保数据的准确性与完整性,有效地规避重复和冗余数据,从而显著提升漏洞管理的效率。
总之,无论从政策推动还是企业实践来看,漏洞管理都需被重视并落到实处。
企业通过完善的漏洞管理机制,可以最大限度减少漏洞被利用的风险,使网络空间更加安全可控。而魔方漏洞管理系统正是企业的不二之选!
