轰轰烈烈的“双十一”购物狂欢节刚刚过去,相信各位IT圈的朋友在通宵值守,奋力保障电商相关平台稳定运行之后,终于能稍微松一口气。然而“双十二”网购盛宴又双叒叕将来临,真可谓是“一波已平一波待起”。在信息安全威胁日益严峻的今天,面对如此大量的线上交易流量,在保障业务连续性的同时,如何确保网络信息安全,相信也是各大电商平台关注的重中之重。
在这个让无数安全专家枕戈待旦的网购季,国内知名上市服装品牌美特斯邦威的信息安全专家俞老师却显得相对从容而淡定。“如果把信息安全保障工作比作一场战争的话,安全风险管理平台就是这场战争中盘旋在所有信息资产上空的‘全球鹰’”,俞老师如是说道,“信息安全保障工作是防守和进攻的博弈,及时和准确地发现自己信息系统中的弱点,先于攻击者发现之前将其修复,才能在这场信息安全战争中,把握先机,掌握主动。”
俞老师的这个比喻形象而生动,那么如何能够及时准确地发现信息资产的安全漏洞,做到料敌先机呢?除了凭借优良的信息安全管理体系和经验丰富的安全团队之外,在安全风险管理这一重要环节,美特斯邦威采用了一件“秘密武器”,即全球知名的安全风险管理平台——Nexpose。Nexpose是全球知名的信息安全解决方案提供商Rapid7的旗舰产品,能够和知名的Metasploit(也是Rapid7旗下产品)进行完美联动,形成漏洞发现、扫描、验证、修复的安全闭环。
Nexpose Dashboard(威胁情报可视化)
让我们来看看,Nexpose是如何在美特斯邦威发挥安全风险管理价值的:
1. 定时自动对IT环境(各种IT物理和虚拟设备)进行扫描,覆盖美特斯邦威所有的IT资产;包括所有的主机操作系统、数据库、中间件、网络设备、Web应用程序等。
2. 根据问题的Real Risk帮助美特斯邦威发现的漏洞进行优先级划分,包括漏洞严重性、利用难易程度、是否有公开利用模块等因素来确定,而不仅仅是CVSS分数。
3. 将达到“风险阈值”的漏洞(极小一部分)自动分发给美特斯邦威对应资产责任人。
4. 漏洞List能直接导入到攻击工具,进行自动化漏洞验证,从而专注于被证明的安全风险上。
5. 帮助美特斯邦威呈现一定时间区间内系统整体风险值的变化曲线,把控整体的信息安全风险。
6. 当网上曝出重大漏洞时,及时自动更新,在无人干预的情况下协助美特斯邦威自查系统并将扫描结果发邮件给相关责任人;如席卷全球的Wanncry应急响应,自动拉出一系列包含此类漏洞服务器清单,提供step by setp的修复建议。
7. 自动生成漂亮、可读的报告,让运维人员对安全现状了如指掌。
实际的生产环境中,Nexpose 的Real Risk Score 让客户除了CVSS分数之外,还可以结合漏洞的暴露时间、攻击难易程度、是否有公开的利用模块,更准确的定位漏洞的优先级别,将风险量化,生成《修复实践》的报告,从而助力美特斯邦威更有效率的开展修复工作。
Nexpose漏洞扫描与风险管理平台
为了帮助美特斯邦威安全团队尽快掌握并用好Nexpose,充分发挥其安全风险管理效益,并擎科技作为Rapid7中国总代,派出具有丰富信息安全服务经验的技术团队(曾赴新加坡接受原厂技术培训),赴场提供咨询落地服务,并在重要活动(双十一,双十二等)协力保障,积极的服务态度和专业的技术能力获得了客户的高度认可。