告别“大海捞针” 摄星科技推出玄猫定制化漏洞情报

新闻
16天前

1、传统漏洞情报的价值和不足

随着使用IT/OT设备、软件应用数量增长,以及受这些设备和软件集成的各种开源或第三方代码、外部库或依赖项的影响。运营者需要面对的漏洞种类和数量不断增加。在网络安全合规压力和激烈对抗的网空环境下,漏洞情报做为一种强大的主动方法成为运营者在网络安全威胁险恶水域中航行的指南针。

1.1、传统漏洞情报的价值

漏洞情报帮助及早、主动识别和管理安全漏洞,在恶意行为者利用安全漏洞之前确定优先级并解决。在网络安全合规、攻防对抗、安全运营、DevSecOps、软件供应链安全、暴露面/攻击面管理等场景中有较多应用,主要价值点包括在合规和对抗中获得先手优势和主动权、关联本地资产列表实现漏洞风险快速定位、处置优先级评估等。


1.2、传统漏洞情报的不足

漏洞情报在当前网络安全形势下变得越来越重要,但其消费模式、生产力、新技术集成方面存在不足,理想中的场景和价值与现实存在不小的差距。限制了漏洞情报普及和价值发挥。

  • 消费模式导致成本居高不下。运营者需要按年订阅购买漏洞情报,漏洞情报商交付的是互联网上所有的漏洞信息,用户如“大海捞针”,需具备一定技术能力、人员和工具基础,才能找到与自己相关的漏洞,订阅和消费加起来总投入较高。中小企业望而却步,大型机构在整体预算缩减情况下减少投入,导致漏洞情报大规模普及和价值发挥受限。

  • 漏洞情报生产力亟需提升。存在搬运漏洞情报,而不生产漏洞情报的现状。同时情报源覆盖度不足、多源数据的整合度不足、对漏洞持续跟踪力度不足等问题。导致用户获得漏洞信息的全面性、及时性、关键场景落地能力不足。

  • 集成新技术力度不足。情报数据较为单一。对EPSS(漏洞利用预测评分系统)、SSVC(特定利益相关者漏洞分类)、CAPES(漏洞攻击模式枚举)、ATT&CK等威胁向量映射不足,与APT组织、勒索软件/组织、漏洞合规清单等关联度不足,与SPDX、CDX、VEX等标准兼容性不足,在漏洞优先级评估、漏洞情报机读性、情报共享能力方面无法与时俱进。

漏洞情报应自身革命,打破这些限制,开创一种中小企业用得起、大型企业用的好的新模式。

2、摄星玄猫定制化漏洞情报

针对传统漏洞情报的不足,结合用户最新需求和痛点,通过提升漏洞情报生产力、开创定制化新模式、消费新模式三板斧,达到漏洞情报覆盖面和质量全面提升、使用复杂度和技术门槛极大降低、总体成本不到传统漏洞情报的1%的目标,打造中小企业用的起、大企业用的好的漏洞情报解决方案。

2.1、使用AI技术助力漏洞情报数据生产

01  漏洞情报基础

摄星科技以自身积累的漏洞和威胁情报知识库,多年来为网信、工信等国家监管部门以及多个行业监主管部门提供漏洞情报服务。其中从2020年开始,为中国人民银行金融网络态势感知平台提供漏洞情报服务并连续三年被评为漏洞情报“突出贡献单位”。

2.1.png

02  覆盖面扩展与新技术集成

扩展漏洞情报数据源,提升覆盖面,包括各类漏洞收录组织、厂家安全公告、威胁情报源、漏洞数据库、邮件列表、博客、GitHub 等平台、漏洞利用披露网站、社交媒体、暗网、错误跟踪器和代码存储库等,共计200+,且在不断增加中。除传统漏洞情报外,能够提供软件供应链中的依赖项漏洞情报、过期软件信息等,保障数据源覆盖度、数据及时性和全面性。

集成EPSS(漏洞利用预测评分系统)、SSVC(特定利益相关者漏洞分类)、CAPES(漏洞攻击模式枚举)ATT&CK等新技术,兼容SPDX、CycloneDX、VeX等软件供应链标准,保障先进性与数据共享能力。

03 AI和知识图谱技术

使用AI和知识图谱技术,实时整合多源漏洞和威胁情报,增强情报数据的质量和机读能力。生产自有漏洞影响产品CPE+情报,解决漏洞情报关键场景落地问题。

04 持续运营和资质

通过AI+人工运营,持续跟踪漏洞并更新漏洞情报信息。改变传统漏洞情报只提供一次性信息的问题。使得用户能够持续得到更新的漏洞和威胁的信息。已经取得国家漏洞库CNNVD兼容性认证、中国信通院软件供应链安全能力成熟度认证、MITRE CWE兼容性国际认证。

2.1-2.png

2.2、开创定制化新模式

用户购买漏洞情报,其根本出发点是希望获得和自身有关系的漏洞风险一手信息,形成先发和主动优势。

只有用户知道自己想获得什么样的漏洞情报,定制化漏洞情报,不从漏洞入手,而从用户最熟悉的地方入手。由用户来发起定制,在SaaS平台里输入自己的软硬件清单,摄星玄猫来自动研判并只推送与用户相关的漏洞情报。消除用户研判环节,极大降低漏洞情报消费技术门槛、消费成本,也极大提升漏洞响应的时效性。通过量身定制并精准投递,帮助用户做到漏洞风险早知道、先知道、全知道。

2.3、 SaaS消费情报新模式

传统漏洞情报通过API接口的方式获取情报数据,摄星玄猫定制化漏洞情报以SaaS服务的方式提供。用户购买账户后,通过手动和文件导入等方式定制漏洞情报,平台后续通过邮件、微信、短消息等方式进行情报推送。获取方式灵活多样,并可推送给安全、运维团队多个不同的人员, 提升响应的时效性。

2.4、精准定位8类漏洞情报需求

贴近用户,解决实际问题是漏洞情报的生命线。在提升漏洞情报数据质量的基础上,定制化专属情报、大幅降低使用技术门槛、大幅降低成本是共同的诉求。

摄星玄猫定制化漏洞情报SaaS服务对以下8类漏洞情报需求提供支持。在满足此共同诉求的基础上,提供更加增强型的漏洞情报服务。

1) 监管通报下的精准漏洞情报需求:合规压力下,需要第一时间获取与己相关的漏洞情报;

2) 中小型企业的低复杂性定向漏洞情报需求:极有限预算、兼职IT人员的技术能力下,获取勒索等定向漏洞情报;

3) 软件开发公司开源组件漏洞情报需求:满足项目交付中软件供应链安全要求,获取开发项目中开源组件漏洞情报,不超过1人月开发人员成本;

4) 产品制造商产品安全管家式漏洞情报需求:关注自研产品组件漏洞,主动提升产品安全性,增强客户信任感,和竞品形成差异化竞争,花小钱办大事;

5) 安全团队版本漏洞精准查询及漏洞利用情报需求:专业安全团队通过版本精准查询漏洞,及漏洞利用情报;

6) 总部及下属机构联动性漏洞情报需求:子公司填报资产数据,漏洞情报精准推送子公司并整改,总部掌握资产和漏洞态势;

7) 非扫描模式下漏洞情报需求:规避扫描扫描工具种类和数量限制、扫描时间段限制、扫描对网络带宽和应用的影响限制,以及成本、时效性、误报漏报等问题,通过数据匹配的方式,大规模、快速排查漏洞;

8)合规、漏洞利用、威胁多角度漏洞优先级评估需求:提供漏洞合规情报、漏洞利用情报、漏洞威胁情报、攻击战术等,进行威胁导向、场景化的优先级评估。

2.5方案实现

01 如何定制漏洞情报

手动定制

输入软硬件名称关键字,平台自动从产品库中进行匹配。如下图:

2.5.1-1.png


在版本库中选择版本号。如下图:

2.5.1-2.png

如果有用户自己的命名,可在产品别名处输入。后续可导出漏洞情报,导出文件中产品名称主键使用用户定义的产品别名,与用户本地其它系统中的资产名称能够对应,便于进行漏洞排查和风险定位。

2.5.1-3.png

通过简单的产品版本定制,平台自动匹配出对应的漏洞。

2.5.1-4.png

从以上操作内容可以看到,稍懂IT技术的人员都可以进行操作。

批量定制

对于需要定制的条目较多的用户,可通过导入SPDX、CycloneDX等SBOM格式文件,进行自动的批量定制。

2.5.1-5.png

02 如何进行即时推送

可同时配置3个接收漏洞情报信息的邮箱,保障不同角色的人可同时收到漏洞情报,便于及时处置。

2.5.2-1.png

用户可根据自己实际的关注点,对漏洞情报进行推送筛选,在定制条目较多时,能迅速找到关键问题,不至于淹没在推送信息中。

当前支持漏洞级别、关键事件的组合筛选,包括:

  • 漏洞级别:超危、高危、中危、低危、信息、未定义

  • 订阅产品出现新漏洞

  • 漏洞中文化:原始漏洞英文信息中文化,同时完善漏洞各类属性

  • 漏洞出现指定的威胁标签:公开PoC/ExP、APT漏洞、勒索软件漏洞、间谍软件漏洞、“两高一弱”互联网漏洞、“两高一弱”内网漏洞、供应链漏洞、漏洞攻击链、恶意开源组件包

  • 漏洞出现指定的合规标签:CISA KEV、关键漏洞

  • 漏洞修复建议更新

2.5.2-2.png

03 如何导出情报与本地系统集成

平台支持SPDX、CycloneDX等SBOM标准的json、spdx、xml格式文件导出。导出文件包括所有订阅条目的漏洞情报信息,且其产品名称使用用户定义的别名,用户可导入本地系统进行数据集成,便于漏洞排查和风险定位。

2.5.3-1.png

04 按需定制

平台根据定制条目数量限制、数据级别限制,会员分为免费版、基础版、专业版、专家版、企业版。用户可根据需要关注的软硬件清单的大小,按需定制,以最小的成本获得最大的价值。


欢迎访问xm.vulinsight.com.cn体验定制化漏洞情报服务。