评论:ThreadFix 3.0

保持强大的组织安全态势是一项艰巨的任务。

大多数最佳实践——例如CIS Controls,OWASP 漏洞管理指南——倡导资产发现和漏洞管理的持续计划。由于基础设施配置的根本变化和基础设施即代码 (IaC) 等范式转变,大多数组织不得不将其常规漏洞评估转变为更频繁的模式。

在管理基础设施方面采用敏捷和 DevOps 实践,以及有关安全实践疏忽导致知名组织违规的频​​繁新闻,促使组织更加认真地对待安全实践并采用持续的漏洞管理流程,从而推动安全测试和控制进入软件开发生命周期的早期阶段,并成为产品需求中的默认先决条件。

安全团队有多种漏洞评估工具可供选择,从静态代码分析器 (SAST) 到动态代码分析器 (DAST)。这些工具中的大多数都可以相互补充,并对在测试的应用程序和基础设施中发现的潜在漏洞提供更广泛的了解。

如何对补充漏洞扫描器的发现进行优先排序和跟进?漏洞评估过程中会生成大量数据,其中大部分数据都应进行双重检查,以仅找出有意义的发现。查看 100 多页的 PDF 报告或在需要永远加载的电子表格中跟踪补救状态只会导致头痛。手动漏洞管理流程还阻止我们跟踪定义的性能指标和实现高效协作。

这是对 线程修复 3.0,一个漏洞管理平台,可帮助组织克服这些挑战并有效地管理有风险的应用程序和基础架构,并与敏捷开发流程保持一致。

ThreadFix漏洞解决平台

ThreadFix 是一个软件漏洞聚合和管理系统,可以安排漏洞扫描、组织和合并聚合的漏洞报告,并与流行的安全和软件开发工具集成。它解决了已建立漏洞管理计划并已确定数据管理和团队之间协作挑战的组织的问题。

ThreadFix 使组织能够:

  • 合并测试结果 通过对来自 40 多种商业和开源动态 (DAST)、静态 (SAST)、软件组合分析 (SCA) 工具和交互式 (IAST) 应用程序扫描工具的导入结果进行重复数据删除和合并。 ThreadFix 可以跟踪来自代码审查、威胁建模和渗透测试的手动发现和观察结果。各种工具之间测试结果的标准化和合并是通过一种称为混合分析映射的专利技术完成的。它还可以在网络基础设施和应用程序级别关联已发现的漏洞。
  • 改进漏洞管理 通过将 ThreadFix 与各种缺陷/错误跟踪器(Jira、Azure DevOps Server、IBM Rational ClearQuest 等)和开发人员工具集成。这消除了软件开发人员、系统运营和安全团队之间的摩擦,并有助于减少协调和修复优先漏洞所花费的时间。当软件开发和系统运营团队解决发现的缺陷时,ThreadFix 会检测到这些更改,使安全团队能够执行后续测试以确认这些安全漏洞已被关闭。
  • 安排精心策划的扫描 与远程扫描仪。扫描完成后,报告将合并并在 ThreadFix 中可见。
  • 优先考虑风险决策。 ThreadFix 报告和分析功能使组织能够快速识别漏洞趋势并根据当前漏洞数据做出明智的补救决策。它提供了对发现的漏洞的解决速度的可见性,并支持报告功能,为安全经理提供与上层管理人员进行数据驱动对话所需的最新指标,这有助于估计安全计划或未来行动的效率。 ThreadFix 与 GRC 工具集成,例如 ServiceNow GRC。
  • 快速隔离和查明可疑漏洞数据 使用自定义过滤器,重新确定他们的修复计划的优先级。

方法

在本次审查中,我们使用了供应商在 Amazon Web Services 上配置的 ThreadFix 测试实例。

如果您愿意,您可以在文档中找到简单的说明来启动您的 ThreadFix 实例。所有 ThreadFix 组件都是 dockerized,所以它需要一个 Docker Compose 单线来构建环境——这大大简化了安装过程,如果你使用容器编排工具,这会很方便。

出于测试目的,我们有意扫描了易受攻击的应用程序,以获取将填充实例的漏洞报告。

ThreadFix 将漏洞管理分为基础设施和应用程序相关的漏洞。

我们使用 Qualys VM 和 Tenable Nessus 扫描了基础架构。我们在 ThreadFix 中手动上传了扫描报告,但这部分也可以通过配置远程扫描仪来自动化。

我们使用各种 SAST 和 DAST 工具测试了应用程序功能:Burp Pro、Brakeman、Acunetix Web 漏洞扫描器、Appscan、Fortify SCA、OWASP Zed Attack Proxy 和 Checkmarx,通过扫描有意存在漏洞的应用程序:bodgeit、RailsGoat 和 Wavsep。

随着测试实例的运行和数据的存在,我们继续通过其主要组件评估 ThreadFix:

  • 基础设施漏洞管理
  • 应用程序漏洞管理
  • 报告和分析
  • 集成(缺陷跟踪器和远程扫描仪)
  • API

跟踪基础设施资产和应用程序漏洞

登录 ThreadFix 后,您会看到一个仪表板页面,其中包含有关累积基础架构扫描的统计信息(图 1)。

仪表板显示:

  • 已开启、已关闭、新增漏洞统计
  • 几个月的漏洞趋势
  • 使用的操作系统细分
  • 有关最易受攻击的网络和主机的统计信息
  • 在您的基础架构上发现的最常见的 CVE。

初始仪表板可以通过解决方案的设置进行自定义,就像所有其他 ThreadFix 仪表板一样。

审查线程修复

图 1 – 基础设施仪表板

基础设施

如前所述,ThreadFix 将漏洞管理分为两个部分:基础设施和应用程序。

基础设施由与部署应用程序的数据中心或云环境相关的内部网络和公共网络表示。网络 IP 范围是手动配置的,并且可以通过其他元数据(位置、部门、描述)进行丰富。这些定义的网络稍后会映射到上传的漏洞报告。

ThreadFix 已成功认可我们上传重复或损坏报告的努力。成功上传报告后,我们开始通过关注网络或主机级别来深入研究结果。主机根据扫描结果进行映射,并填充其 FQDN(如果可用)、IP 和 MAC 地址以及已识别的操作系统。
您还可以根据填充的字段搜索您的资产,这在您想要检查资产或查看修复状态时非常有效。

基础架构视图使我们能够通过使用可用的过滤器和排序操作,有效地选择要优先执行修复操作的主机。例如,在主机表中,我们可以根据漏洞的严重程度对漏洞进行排序,并选择具有最严重和高漏洞的主机(参见图 2)。或者,我们可以通过过滤具有特定操作系统的主机来缩小搜索范围,这些主机共享特定漏洞并且可以联合修复。

审查线程修复

图 2 – 在确定特定补救措施的优先级时,使用基础设施过滤器会很方便

通过单击主机,您可以查看漏洞详细信息并对其进行审核(图 3),并且您可以根据漏洞的严重性和状态(打开、关闭、已缓解、已接受风险、误报)过滤漏洞。这个审计基础设施的工作流程非常用户友好,漏洞映射工作得很好。每个基础架构页面都很好地涵盖了过滤器,我们可以堆叠漏洞或检查重复出现的漏洞。

审查线程修复

图 3 – 主机漏洞报告

应用

ThreadFix 通过使用 SAST 工具检查源代码并使用 DAST 工具重复扫描正在运行的应用程序来自动化应用程序漏洞管理过程。在 ThreadFix 中,每个应用程序都归一个团队所有,并且可以使用自定义标签进行标记,这些标签在与过滤器一起使用时很有帮助。标签是与应用程序、漏洞和漏洞注释相关的标识符。

应用程序组合显示了当前的团队和相关的应用程序(图 4)。

审查线程修复

应用程序可以连接一个 Git 存储库,用于静态代码分析。

漏洞扫描报告的上传和解析顺利进行。您可以请求服务参与,这在修复应用程序中的问题后需要重新扫描或手动检查时会派上用场。 ThreadFix 还允许您定义渗透测试团队,该团队可以针对所选应用程序中的发现进行协作。渗透测试完成后,您可以在评估下看到结果(图 5)。

概括

图 5 – 手动渗透测试摘要

ThreadFix 将所有上传的漏洞报告转换为 ThreadFix 格式,并将漏洞映射到通用弱点枚举 (CWE) 标识符。它还检测并合并不同工具发现的类似漏洞(图 6)。

审查线程修复

图 6 – ThreadFix 合并了不同工具发现的漏洞

ThreadFix 为应用程序漏洞报告提供了无限的搜索、过滤和透视选项。透视选项允许您缩小感兴趣的漏洞的范围,但也可以在比较各种工具时寻找潜在的误报(例如,当您按严重性和扫描仪类型进行透视时)。您可以按漏洞、扫描程序、标签、CVE、受影响的路径、状态、扫描日期范围等搜索报告。 ThreadFix 还提供保存和导出复杂过滤器的功能,当您在一段时间后返回特定应用程序报告时,这会很方便。

保存的过滤器也可以用作 ThreadFix 中自定义策略的基准。策略是对您的团队的行动号召,它们通常将当前的修复状态与所需的基线进行比较。过滤策略是一个简单的基于规则的过滤器,如果应用程序满足或不满足定义的要求,它会在应用程序仪表板中显示通过或失败指示器。例如,过滤策略定义了,要通过,应用程序应该没有严重或高漏洞。另一个有趣的政策是修复时间政策。概念很简单:您为严重性级别定义所需的修复期限,ThreadFix 设置一个自定义提醒,通知您的团队。

改善用户之间协作的一个很好的功能是在修复过程中评论和标记漏洞。您可以过滤有评论的漏洞并继续跟踪其进展。当多人在同一应用程序上工作并记录他们的进度时,可以在渗透测试活动期间使用此功能,但在修复阶段也很有用(参见图 7)。在评论时,您可以将各种文件附加到评论中以澄清漏洞。已建立角色和漏洞管理程序的成熟安全团队会发现标记和评论有助于推动协作工作,同时优先考虑下一步行动和跟踪当前行动。

应用仪表板

图 7 – 应用程序仪表板显示最近的趋势、上传和评论

报告和分析

ThreadFix 提供了详尽的选项来检查具有多个视图和详细级别的应用程序漏洞。有十种报告类型,每种都有自己的过滤器集。如此大量的组合使用户在为上层管理人员生成数据报告时能够发挥创造力。

最受欢迎的报告是趋势报告,它显示了一段时间内的修复效果,并且在应用程序仪表板下也可见(参见图 8)。这个简单但强大的可视化显示了您的团队在选定时间段内解决发现的漏洞的情况。

审查线程修复

图 8 – 趋势报告示例

ThreadFix 中可用的其他报告包括:

  • 时间点报告按严重程度显示团队/应用程序漏洞结果的细分
  • Progress by Vulnerability 报告用于跟踪漏洞类型的平均年龄以及关闭每个漏洞类型的时间
  • 最易受攻击的应用程序报告显示受影响最大的应用程序并深入了解其漏洞构成
  • OWASP Top 10 将发现的漏洞映射到 OWASP Top 10 列表
  • 投资组合报告显示投资组合中每个应用程序的当前扫描的新鲜程度。此报告可以帮助针对特定应用程序进行后续扫描,以便您了解项目的漏洞状态
  • DISA(国防信息系统局)STIG(安全技术信息指南)报告显示有关您的应用程序是否符合 DISA 的应用程序安全和开发 STIG 要求的信息。该报告可以帮助规划和执行补救策略,以保持对政府应用程序安全标准的遵守
  • 扫描比较摘要报告并排查看每个扫描程序的执行情况,显示发现的漏洞总数和百分比以及其中发现的误报总数的百分比
  • 修复报告提供趋势报告,以及包含开始和结束漏洞计数的更详细表格以衡量进度
  • 漏洞搜索允许根据设置的过滤器过滤和探索漏洞。

缺陷跟踪器集成

与各种缺陷/错误跟踪器的集成使安全分析师能够向应用程序开发人员提供有关发现的漏洞的附加信息。这种双向通信消除了开发人员使用外部工具的需要,并帮助他们快速开始修复漏洞(图 9)。

ThreadFix 允许安全团队制作将在创建故障单时使用的自定义模板,并定义将在缺陷跟踪器中自动填充故障单的自定义字段。如果有更多团队管理使用不同跟踪器的应用程序,它允许您在多个跟踪器中定义和打开工单。安全团队可以定义缺陷跟踪器策略,根据严重性级别自动打开新票证。例如,您可以设置一个策略,当扫描程序发现严重性为高或更高的漏洞时打开票证。根据策略设置,符合条件的漏洞将被捆绑在一起并附加到缺陷跟踪器中的票证上。

吉拉

图 9 – ThreadFix 在 Jira 中打开了一个漏洞工单

ThreadFix 维护一个指向外部缺陷跟踪系统中创建的问题的链接,允许安全分析师查看开发人员在解决报告漏洞方面的进展(见图 10)。此外,ThreadFix 会定期检查相关缺陷的状态并在 ThreadFix 中更新该状态,以便在开发团队修复缺陷时,安全分析师可以查看他们的操作,然后再检查修复是否有效。

审查线程修复

图 10 – 漏洞包含定期监控的问题状态

线程修复 API

ThreadFix 允许用户通过 ThreadFix API 执行漏洞管理操作。该过程遵循 ThreadFix 应用程序和基础架构工作流程,但采用更加逐步的编程方式,并且在自动化繁琐的工作时非常有用。 API 文档非常有用,因为它是最新的、写得很好,并且每次调用都带有示例。

我们尝试复制管理应用程序组合的工作流程,因此我们创建了一个新团队,为其分配一个新应用程序,上传相关扫描报告并尝试更改开放漏洞的状态。我们发现 ThreadFix API 非常通用,并且能够复制通过 ThreadFix 应用程序提供的所有或几乎所有 ThreadFix 操作。

为支持 DevSecOps 运动,ThreadFix API 可用于将更复杂的安全测试工作流和漏洞报告与持续集成/持续开发过程集成。对于特定事件,您可以安排远程扫描并将发现的漏洞报告给安全团队。使用 API,您还可以更轻松地管理和配置 ThreadFix。

结论

ThreadFix 是一个有用且成熟的漏洞管理工具。它弥合了各个团队之间的许多差距,包括安全和应用程序开发团队之间的差距。应用程序管理使用户能够合并和管理漏洞并跟踪他们的补救措施。

采用 ThreadFix 后,您将告别通过电子表格跟踪扫描结果和管理漏洞。 ThreadFix 通过运行良好的漏洞合并技术支持行业标准漏洞扫描器。除此之外,大多数漏洞扫描器都可以通过 ThreadFix 直接编排,它还允许您使用 API 功能自动化许多工作流程。 ThreadFix 使您能够深入了解应用程序的每个易受攻击的方面,而不会忽视有用的分析图表和趋势线提供的全局图。

缺少的一件事是 nmap 扫描器的集成,许多安全专家使用它来映射基础设施和扫描低垂的果实漏洞。

Threadfix 弥合的另一个差距是运营安全和合规团队之间的差距,因为 ThreadFix 还提供了可靠的资产管理工具,可帮助您跟踪和推动更改以满足合规性或认证要求。

首席信息安全官 会发现 ThreadFix 分析选项很有用,因为它们可以识别扫描的应用程序和基础设施中的风险模式,并更好地估计与降低风险相关的风险级别和活动。 ThreadFix 为 CISO 和其他经理提供了对其软件开发生命周期过程的宝贵视角,并使他们能够识别和衡量可以改进的部分。

ThreadFix 通过其协作功能“人性化”了安全流程。查找漏洞只是难题的一部分:修复工作始终是最困难和最耗时的部分。 ThreadFix 不仅用作漏洞统一和分析平台,而且还用作协作平台,不同的团队和观点在这里相遇并参与比以前更快更好地解决组织的缺陷。




分享这个