freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

甲方安全系列之SeMF平台笔记(一):改版说明
2020-09-21 09:45:42

编者的话

作者写的企业安全管理框架(SecurityManageFramwork),简称SeMF,目前已开源,供各位小伙伴们试用,并承诺后续会根据反馈的信息添加功能。2年过去了,黄花菜谢了一茬又一茬,更新终于来了。

前言

距离上次freebuf发表文章已经很久了,SeMF平台发布后,承诺的更新也迟迟未到(当然不会告诉你们是因为2.0新版发布前被人截胡了),为了避免类似事件发生,开设此专栏同步更新重构SeMF新版进展和功能说明,初步规划是12月份发版。

把复杂的工作简化,然后来杯咖啡,当然,跟我一样喝喝茶也是蛮不错的!!!!

项目背景

未知攻,安知防;这句话很多人都听过,而且也经常用攻击技术的高低来评判安全人员水平。但是很多人都忽略了这句话的核心目的:防护,当然,也是企业安全建设的核心。

在这个背景下,也就催生了了很多年轻的安全人员:各种漏洞利用,各种安全免杀,各大src排名,看起来很厉害的样子,但是到了企业安全建设中,束手无策,局限于对单个漏洞的发现和修复,困在了应急的漩涡里。当然,更多情况下,发现的安全风险也没办法很好的协同业务方处理或者缓解,在诸如人员变动等不可控因素下,逐渐被忽略,直至漏洞被恶意攻击者利用。

本项目主旨是提供一套基础的运营平台,关联内部安全建设所需要的信息,协助实现安全风险的闭环和安全复盘。

资产收集,漏洞管理的系统很多,为什么要重复造轮子。最开始也说不上为什么,只是觉得它们的不适用。后来想想,目前类似系统,都是从攻击者角度设计,自动化发现资产然后做漏洞扫描,扫描出漏洞,然后戛然而止,至于这些问题修没修复、找谁修复、如何盘复等等却无任何指导。而发现的漏洞最后在找不到负责人、业务方延期以及人员流动造成的推进中断,最终不了了之,或在周月报中一笔带过。SeMF平台,可能更偏重于漏洞运营,至于资产/漏洞发现,交给既有的优秀系统。

核心问题

安全资产困境:无法及时同步/留存已梳理的资产信息或者资产无法定位至具体负责人,只有域名和漏洞,却无从推进修复

安全风险困境:无法快速汇总企业内部安全风险概况,安全风险闭环无法实现,应急过程中,无法正确评估本次风险影响范围,进行有效盘复

安全积累:安全经验无法固化积累,人员流动造成极大的安全能力丢失,甚至出现人员离职造成安全能力归零

系统架构

本次改版对SeMF平台进行简化,主要数据主体关系设计如下

1601028136_5f6dc02814757f02ac38e.png!small

为保证系统通用性,主体仅保留安全风险管理所需的各必要数据主体

所有数据主体提供通用接口供调用,用来归一化各数据来源的同一类型数据(少量开发即可完成对接)

各数据主体关联关系可参照箭头走向进行查看,可根据实际情况进行强权限管控功能,判断依据为向下兼容的关联关系(超管除外)

所有附加功能剥离系统,作为独立组件开放,可选择性使用,不在上图体现

漏洞校准库:可定义某个来源的漏洞进行匹配,补充/矫正既有的修复方案,如忽略/降级所有nessus来源的ssl漏洞,调整awvs的sql注入解决方案等等。

指纹/组件/端口信息虽然是资产的属性,但是单拎出来,还是为了逆向方便复盘,漏洞预警后快速给出一个影响范围

功能列表&升级规划

业务管理(如公司业务线较少,可直接忽略,主要功能是将资产分组或者将特定范围内的资产对应到有效负责人)

资产管理(资产管理的核心是管理资产对应的负责人,支持资产内部关联延申)

风险管理(提供鉴权分享功能,无需为业务方创建账号,支持权限回收)

任务管理(第三方数据异步或周期任务,授权同步接口等)

辅助工具(小惊喜,不喜勿喷)

基础设置(人员、部门、流程设置等基础信息)

高级设置(一些比较特殊的设置)

项目声明

项目地址:https://gitee.com/gy071089/SecurityManageFramwork分支:upgrade

发布规划:预计12月份发布新版

适用人群:有基本动手能力的安全从业者(伸手党绕道,不保证开封即用)

食用方法:凉拌口感更佳(建议自己做些许的改动)

适用说明:系统可用于甲方进行内部的安全风险运营,逃离石器时代(如果大佬们已经到了高科技时代,麻烦轻喷)

其他说明:考虑到维护和适配性问题,新版semf仅提供风险闭环管理和数据同步接口

免责声明:本项目仅作为内部安全管理的辅助平台,更重要的还是依靠已知信息实现安全建设落地

Q: 为什么新版没发布就来写笔记?

A: 主要是看看有没有同道中人可以给一些优化建议,顺道督促自己的开发进度

Q: 看说明,似乎没有说明自动化的安全能力

A: 目前各类安全自动化工具数不胜数,考虑到安全人员偏好不同,系统除必要的自动化能力外,仅提供通用数据接口和对接模板,使用人员可按照模板对接其他自动化工具获取数据,以便更好的适应自身需求。

本文作者:, 属于FreeBuf原创奖励计划,未经许可禁止转载

# SeMF平台
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑