Vul Tracker 漏洞管理与自动化跟踪平台

Slides:



Advertisements
Similar presentations
迪士尼公主裙衫变化记. 《白雪公主和七个小孩人》 《白雪公主和七个小矮人》,是世界电影史上第一部长动 画片,也是迪士尼的第一部。《白雪公主》不仅为迪斯尼 带来了第一尊奥斯卡小人,更是拯救迪斯尼于水火的贵 人 —— 在经济大萧条的 1937 年的美国,《白雪公主》为迪 斯尼赚到了 850 万美元,这约等于现在的数亿美元!
Advertisements

维普考试服务平台使用指南. 维普考试服务平台 维普考试服务平台是一个从单纯 海量题库资源扩充到教学场景应 用的考试信息化产品。平台包含 职业资格考试、高校课程试题、 在线考试、 移动助手 4 个功能模 块。 产品概述.
实用农业科技写作 王鹏文. 第一章 导论 第一节 农业科技写作概述 一 、 农业科技写作概念和分类: 科技文献类、科技应用类、 科技普及类、科技新闻类 二、 农业科技写作的意义和重要性: 科技工作的重要组成部分、科学研究的手段、 科技成果的反映和标志、科技交流的工具 三、 农业科技写作的特点 : 功利性与及时性、科学性与先进性、读者的专门性与狭隘性、
新课程引领 实践中前行 —— 蓟县初中信息技术三年课改总结. 自从 2005 年秋季我市进入基础教育新一 轮课程改革实验以来,在市教研室的正 确领导下,我县初中信息技术课改工作 稳步推进。三年来,取得了一些成果, 也有不少体会。现将三年来的信息技术 课改工作总结如下。
河南省基础教育资源网 邓伟鹏 二〇一二年七月 内容大纲 1. 培训平台的目的 2. 培训平台介绍 3. 培训平台功能 4. 培训工作建立流程 5. 培训门户 6. 在线学习 6.1 课程学习 6.2 在线考试 7. 培训考试管理 7.1. 课程管理 7.2 必修学习班建立 7.3 在线考试管理 7.4.
桐乡市地方税务局 2013 年度社会保险费汇算清缴有 关政策及事项说明. 一、政策规定 根据《中华人民共和国社会保险法》、《桐乡市社会保险费征缴管 理办法》(市政府令第 42 号)、《 关于完善社会保险费征缴管理有关问 题的通知》(桐政办发 [2012]152 号)及《关于完善社会保险费征缴管理.
公假系統使用規則. 1. 由校內同仁登入正修訊息網(公假系統權限僅開放全校教職員) 點選學務資訊 → 學務管理系統.
国务院机关事务管理局 资产管理司 二〇一五年一月. 目录 2 总体要求 总体要求 1 1 报表体系和编报流程 报表体系和编报流程 2 2 报表编报说明 报表编报说明 3 3.
上海市党员党组织管理信息系统 培训讲义.
當我已老 謹以此文獻給像我一樣流浪在外的子女們.
NO.005 職涯 報 實習 徵才 攻讀 國立嘉義大學 學生事務處學生職涯發展中心.
國中教育會考 十二年國教—免試入學 及 意見整理.
2015年12月14日-2015年12月20日 缩略版.
指導老師:羅夏美 組別:第四組 組員: 車輛二甲 蔡中銘 車輛三甲 莊鵬彥 國企二甲 陳于甄 國企二甲 詹雯晴 資傳二乙 林怡芳
“营改增”税控开票软件(金税盘版)技术培训 2016年4月
C语言程序设计 李伟光.
严格标准 规范程序 认真做好党员发展工作.
薪資申報系統操作說明.
商学院 旅游管理专业介绍.
教學經驗分享 吳毅成 國立交通大學資訊工程系 2012年4月.
 历史以人类的活动为特定的对象,它思接万载,视通万里,千恣百态,令人销魂,因此它比其他学科更能激发人们的想像力。    
审计案例研究 第一讲 辅导教师 周桂芝.
《数学》(华师大.八年级 下册) 第二十一章数据的整理与初步处理 扇形统计图的制作.
二十世纪外国文学专题 章丘电大 李颜.
怎样报销劳务性费用? ——暨薪酬发放申报系统介绍 怎样报销劳务性费用? ——暨薪酬发放申报系统介绍 (学院、部门适用)
5.1 Excel 概述 Excel的特点 1、表格制作 2、完成复杂运算 3、建立图表 4、数据库管理 5、决策支持.
Excel高级班 学员 焦攀飞 汪晴讲师 Office套餐 学习心得 自主学习最关键 焦攀飞 赖球 49 D 2056
『臺北市營建剩餘資源管理系統』 教育訓練說明 臺北市政府 報告人 王宏正
计算机与程序.
“三项制度+一个平台”构建 省级高校教学质量监控体系
“网络问政”给九江新闻网 带来新的发展机遇 -- 九江新闻网 高立东 --.
瓯海职专财经专业组简介.
国有资产清查 数据填报操作规范 2016年3月25日.
全省水产技术推广补助项目 信息员培训 河南省农业厅水产局 2013年11月17日.
簡報大綱 壹、前言 貳、計畫申請 參、申請應備資料及送件地址 肆、注意事項 伍、計畫審查 陸、計畫簽約 柒、計畫管理 捌、其他相關注意事項.
如何撰写教育科研论文 谌 业 锋 四川省凉山州教育科学研究所 欢迎访问 业锋教育在线
高校固定资产管理信息系统 资产清查报表 山东省教育厅 山东国子软件 2016年4月.
2013年度企业财务会计决算 布置培训会.
行政院衛生署國民健康局 婦幼健康管理資料庫系統 教育訓練-衛生所 配奇駒資訊股份有限公司.
第一篇 生命科学 第2课时 细胞.
上海文会会计师事务所有限公司 中国注册会计师 童幸义
关于成绩的数理统计的探讨 望您多多指教!多谢!!.
仓储企业岗位人员招聘 第一组 组员 :陈娇娇 祝婷婷 丁元莉 袁珮 王慧.
玉溪工业财贸学校副校长 示范校建设办公室主任 柏家渭 2014年5月13日
社会工作概论 个案工作 课程培训 深圳电大 赖小乐.
人口与计划生育 统计分析 昌吉市计划生育委员会 二○○六年三月.
大 纲 一、备案系统数据迁移方案 二、备案系统过程数据处理方案 三、备案系统内存量数据核验方案 四、新备案系统信息真实性核验方案※
前言.
珍惜时间 提高效率 初二1班
第十章 房地产开发项目的经济评价 §1 房地产开发项目及其前期工作 §2 房地产开发项目经济评价 本章内容.
第二期实验室工作人员培训讲座(三) 加强规范化建设 提高仪器设备管理水平 设备处 黄久龙 2017年9月13日 徐州师范大学设备处 黄久龙.
2014年深圳市学生人身意外伤害保险投保工作介绍 中国人民财产保险股份有限公司深圳市分公司
校外人员酬金申报流程  .
付款作業錯誤態樣【出納組】 錯誤1~核銷文件備具不齊 錯誤2 ~戶名與系統不同 錯誤3 ~未輸發票號碼日期 錯誤4 ~受款人帳號輸錯
SCF供应商协同管理平台 询报价管理 供应商操作手册
办学条件核查 评估秘书组 电力职业技术学院 山西机电职业技术学院 2014年7月9日.
科 展 說 明.
目次检索 打印 下载 文字摘录 更换背景 多窗口阅读.
怎样报销劳务性费用? ——暨薪酬发放申报系统介绍 怎样报销劳务性费用? ——暨薪酬发放申报系统介绍 (项目经费适用)
個人申請系統 通過第一階段倍率篩選評估系統.
超星电子图书.
成本会计学.
舊生升級編班與新生管理操作說明 全誼資訊股份有限公司 中華民國106年06月05日.
大學校院校務資料庫 系統操作說明.
Excel 2010电子 表格制作案例教程.
方格紙上畫正方形.
新课程理念下如何进行课堂教学 刘志超 2014年2月25日.
山东旅游职业学院图书馆新生入馆教育 图书馆资源与服务介绍      主讲:姜 妍 图书馆技术室 2008年7月.
教育部國民及學前教育署 新課綱銜接教材數位平台
6 分析資料-以統計測量數呈現.
Presentation transcript:

Vul Tracker 漏洞管理与自动化跟踪平台 章思宇, 姜开达 2016 年 10 月 上海交通大学 网络信息中心

漏洞管理 发现 评估 修复 复查 主动发现漏洞,获得第三方漏洞报告并复现 结合业务评估漏洞实际影响 协调修复漏洞(运维、开发团队,厂商) 复测确认漏洞已修复

漏洞检测自动化 发现 评估 修复 复查

漏洞跟踪管理困境 发现 评估 修复 复查 成百上千的信息系统、安全漏洞 Excel 手工记录 ? Bug Tracking → 工单流转, 人工检查 漏洞状态更新不及时 “已修复” 的漏洞可能再次出现

漏洞跟踪管理困境 发现 评估 修复 复查 漏洞管理软件现状 与单一的漏洞扫描产品绑定 漏检和误报,复杂庞大的报告

漏洞跟踪管理困境 发现 评估 修复 复查 漏洞管理软件现状 现实需求: 与单一的漏洞扫描产品绑定 漏检和误报,复杂庞大的报告 漏洞来源多样 扫描器,人工渗透测试,第三方报告 漏洞种类多样 信息泄露,逻辑缺陷,后门 → 超出自动化漏扫范围

Vul Tracker 设计目标 管理和跟踪各种来源、类型的安全漏洞 自动测试漏洞状态 开放接口 高频度复测(每 30 分钟) 复测已修复的漏洞 开放接口 IP 分配 / 域名备案系统 → 识别系统归属、负责人 流程系统 → 通知系统负责人及主管部门 漏洞信息自动导入

漏洞跟踪自动化 漏洞绑定测试脚本及参数

漏洞跟踪自动化 漏洞绑定测试脚本及参数 Vul Tracker @ SJTU 2016/1 至今,357 个漏洞,98.3% 脚本自动跟踪 6 个需要手工测试 特殊客户端环境 (ActiveX) 登录验证码保护 351 个自动跟踪 (98.3%)

测试脚本开发 可重复利用的脚本 开发语言不限 同种漏洞,或相似的检测方法 程序退出代码反馈测试结果 基于网上公开的 PoC 改造 调用 Nmap NSE 和 Nessus NASL 脚本

测试脚本开发 Vul Tracker @ SJTU 25 个通用脚本跟踪 349 个漏洞,仅 2 个需定制 语言 依赖 脚本 漏洞 Bash cURL 11 282 其他 7 43 Python – 2 6 JAVA JavaScript CasperJS 3 12

漏洞测试性能 快速、准确的检测方法 设计 / 提取精准的测试请求 无需重复执行完整的漏洞扫描任务

漏洞测试性能 快速、准确的检测方法 测试脚本分布式并行执行 设计 / 提取精准的测试请求 无需重复执行完整的漏洞扫描任务 限定执行时间(一般 1 分钟以内) 平均 3.9 秒 测试脚本分布式并行执行 利用数据库做同步 目前单机 20 进程,可支持数万漏洞自动跟踪

统计报表

统计报表 安全管理工作成果可见性增强 院系统计,漏洞类型统计,建立评价指标 漏洞平均修复时间:16 天

漏洞处置流程 院系安全负责人自助查询,流程平台对接

Vul Tracker @ 2,296 个教育网内通用漏洞 IPDB 对接 IP / 域名学校归属,学校安全联络人登录 http://vul.sec.edu-info.edu.cn/ http://ipdb.sec.edu-info.edu.cn/ipdb

总结 建立一套漏洞管理平台的必要性 “自动化” 解决大量漏洞跟踪难题 梳理漏洞处置流程 发现 → 评估 → 修复 → 持续的复查 不要与扫描器绑定,适应多样的漏洞来源和类型 灵活开发、可复用性的检测脚本 梳理漏洞处置流程 明确系统归属和安全责任人 流程管理,进度跟踪,提高漏洞响应速度

谢谢! 章思宇 dfxbb@sjtu.edu.cn 上海交通大学 网络信息中心