评论:ThreadFix 3.0

维持强大的组织安全态势是一项艰巨的任务。

最佳实践–例如CIS Controls,OWASP漏洞管理指南–提倡资产发现和漏洞管理的连续计划。由于基础架构设置和范式转换(如基础架构即代码(IaC))的根本变化,大多数组织不得不将其常规漏洞评估转换为更频繁的模式。

在基础架构管理中采用敏捷和DevOps做法,以及有关导致高知名度组织违规的过失安全实践的频繁消息,促使组织更加认真地对待安全实践并采用持续的漏洞管理流程,从而移动了安全性在软件开发生命周期的早期阶段进行测试和控制,并成为产品要求中的默认先决条件。

安全团队可以选择多种漏洞评估工具,从静态代码分析器(SAST)到动态代码分析器(DAST)。这些工具中的大多数可以相互补充使用,并且可以更广泛地查看经过测试的应用程序和基础结构中的潜在漏洞。

如何对补充漏洞扫描程序的发现进行优先排序和跟进?在漏洞评估过程中会生成大量数据,应对其中的大多数数据进行仔细检查,以仅找出有意义的发现。查看超过100页的PDF报告或在需要花费大量时间才能加载的电子表格中跟踪修复状态只会导致头痛。手动的漏洞管理过程也使我们无法跟踪定义的性能指标,也无法实现高效的协作。

这是对 线程修复3.0,一个漏洞管理平台,可帮助组织克服这些挑战并有效地管理风险应用程序和基础架构,并与敏捷开发流程保持一致。

ThreadFix漏洞解决平台

ThreadFix是一个软件漏洞聚合和管理系统,可以安排漏洞扫描,组织和合并汇总的漏洞报告,并与流行的安全和软件开发工具集成。它解决了具有既定漏洞管理程序并已确定数据管理和团队之间协作的挑战的组织的问题。

ThreadFix使组织能够:

  • 合并测试结果 通过对40多种商业和开源动态(DAST),静态(SAST),软件组成分析(SCA)工具和交互式(IAST)应用程序扫描工具中的导入结果进行重复数据删除和合并。 ThreadFix可以跟踪来自代码审查,威胁建模和渗透测试的手动发现和观察。各种工具之间的测试结果归一化和合并是通过一项称为“混合分析映射”的专利技术来完成的。它还可以在网络基础结构和应用程序级别关联发现的漏洞。
  • 改善漏洞管理 通过将ThreadFix与各种缺陷/错误跟踪器(Jira,Azure DevOps Server,IBM Rational ClearQuest等)和开发人员工具集成在一起。这消除了软件开发人员,系统运营和安全团队之间的摩擦,并有助于减少花在协调和修复优先漏洞上的时间。当软件开发和系统运营团队解决发现的缺陷时,ThreadFix会检测到这些更改,从而使安全团队能够执行后续测试,以确认这些安全漏洞已被消除。
  • 安排精心安排的扫描 与远程扫描仪。扫描完成后,报告将合并并在ThreadFix中变为可见。
  • 优先考虑风险决策。 ThreadFix报告和分析功能使组织能够快速识别漏洞趋势并根据当前漏洞数据做出明智的补救决策。它提供了对解决漏洞的速度的可视性,并支持报告功能,这些功能为安全管理人员提供了与高层管理人员进行数据驱动的对话所需的最新指标,从而有助于评估安全程序或未来行动的效率。 ThreadFix与GRC工具集成在一起,例如ServiceNow GRC。
  • 快速隔离并查明可疑漏洞数据 使用自定义过滤器重新确定其修复计划的优先级。

方法

在本次审查中,我们使用了供应商在Amazon Web Services上提供的ThreadFix测试实例。

如果您愿意,可以在文档中找到直接说明来启动ThreadFix实例。所有ThreadFix组件都经过Docker化,因此需要Docker Compose一线构建环境–这大大简化了安装过程,并且在使用容器编排工具时非常方便。

为了进行测试,我们扫描了有意漏洞的应用程序,以获取将填充实例的漏洞报告。

ThreadFix将漏洞管理划分为与基础结构和应用程序相关的漏洞。

我们使用Qualys VM和Tenable Nessus扫描了基础架构。我们在ThreadFix中手动上载了扫描报告,但是也可以通过配置远程扫描仪来自动执行此部分。

我们通过扫描故意脆弱的应用程序:bodgeit,RailsGoat和Wavsep,使用各种SAST和DAST工具(Burp Pro,Brakeman,Acunetix Web漏洞扫描程序,Appscan,Fortify SCA,OWASP Zed Attack Proxy和Checkmarx)测试了应用程序功能。

在运行测试实例并显示数据的情况下,我们继续通过其主要组件评估ThreadFix:

  • 基础架构漏洞管理
  • 应用程序漏洞管理
  • 报告中& analytics
  • 集成(缺陷跟踪器和远程扫描器)
  • API

跟踪基础架构资产和应用程序漏洞

登录ThreadFix后,将出现一个仪表板页面,其中包含有关累积的基础架构扫描的统计信息(图1),这对您很受欢迎。

仪表板显示:

  • 有关打开,关闭和新漏洞的统计信息
  • 过去几个月的漏洞趋势
  • 使用的操作系统明细
  • 有关最易受攻击的网络和主机的统计信息
  • 在基础架构上找到最常见的CVE。

可以像其他所有ThreadFix仪表板一样,通过解决方案的设置自定义初始仪表板。

查看线程修复

图1–基础架构仪表板

基础设施

如前所述,ThreadFix将漏洞管理分为两部分:基础结构和应用程序。

基础架构由与部署应用程序的数据中心或云环境有关的内部网络和公共网络表示。网络IP范围是手动配置的,并且可以使用其他元数据(位置,部门,描述)进行扩充。这些定义的网络以后将映射到上载的漏洞报告。

ThreadFix已成功认识到我们为上传重复或损坏的报告所做的努力。成功上传报告后,我们开始关注网络或主机级别来深入研究结果。主机根据扫描结果进行映射,并填充其FQDN(如果有),IP和MAC地址以及可识别的操作系统。
您还可以根据填充的字段搜索资产,这在您要检查资产或查看修复状态时非常有效。

通过基础结构视图,我们可以使用可用的筛选器和排序操作来有效地选择要优先用于补救措施的主机。例如,在“主机”表中,我们可以按漏洞的严重程度对它们进行排序,并选择漏洞最严重和漏洞最严重的主机(请参见图2)。或者,我们可以通过筛选具有特定漏洞并且可以共同修复的特定操作系统的主机来缩小搜索范围。

查看线程修复

图2–在确定特定补救措施的优先级时,使用基础结构筛选器会很方便

通过单击主机,您可以查看漏洞详细信息并进行审核(图3),并且可以按漏洞的严重性和状态(打开,关闭,缓解,已接受风险,误报)筛选漏洞。这种用于审计基础结构的工作流非常用户友好,并且漏洞映射工作得很好。过滤器在每个基础结构页面中都有很好的介绍,我们可以堆叠漏洞或检查重复出现的漏洞。

查看线程修复

图3–主机漏洞报告

应用领域

ThreadFix通过使用SAST工具检查源代码以及通过使用DAST工具重复扫描正在运行的应用程序来自动执行应用程序漏洞管理过程。在ThreadFix中,每个应用程序均由一个团队拥有,并且可以使用自定义标签进行标记,这在与过滤器一起使用时会很有帮助。标签是与应用程序,漏洞和漏洞注释相关的标识符。

应用程序组合显示了当前的团队和相关的应用程序(图4)。

查看线程修复

应用程序可以与Git存储库连接,该存储库可用于静态代码分析。

漏洞扫描报告的上传和解析毫不费力。您可以请求服务参与,在解决应用程序中的问题后需要重新扫描或手动检查时,该服务非常方便。 ThreadFix还允许您定义渗透测试团队,可以在所选应用程序中就发现进行协作。笔测试完成后,您可以在评估下看到结果(图5)。

概要

图5–手动渗透测试摘要

ThreadFix将所有上载的漏洞报告转换为ThreadFix格式,并将漏洞映射到常见弱点枚举(CWE)标识符。它还可以检测并合并由不同工具发现的类似漏洞(图6)。

查看线程修复

图6–ThreadFix合并了不同工具发现的漏洞

ThreadFix为应用程序漏洞报告提供了无限的搜索,筛选和数据透视选项。通过数据透视选项,您可以缩小有趣的漏洞的范围,但在比较各种工具时(例如,根据严重性和扫描仪类型进行数据透视时),还可以寻找潜在的误报。您可以按漏洞,扫描仪,标签,CVE,受影响的路径,状态,扫描日期范围等来搜索报告。 ThreadFix还提供了保存和导出复杂过滤器的功能,当您在一段时间后返回到特定的应用程序报告时,这将非常方便。

保存的过滤器还可以用作ThreadFix中自定义策略的基准。策略是您团队的行动呼吁,它们通常将当前的补救状态与所需的基准进行比较。筛选器策略是一个基于规则的简单筛选器,如果应用程序满足或不满足定义的要求,它会在应用程序仪表板中显示通过或失败指示符。例如,筛选器策略定义为通过,应用程序应该没有严重或高级别的漏洞。另一个有趣的策略是修复时间策略。这个概念很简单:您为严重性级别定义所需的修复截止日期,然后ThreadFix设置自定义提醒,以通知您的团队。

改善用户之间协作的一项不错功能是在修复过程中注释和标记漏洞。您可以过滤有评论的漏洞,并继续跟踪其进度。当多个人在同一个应用程序上工作并记录其进度时,可以在渗透测试参与期间使用此功能,但在补救阶段也很有用(请参见图7)。注释时,您可以将各种文件附加到注释中,以阐明漏洞。具有确定角色和漏洞管理程序的成熟安全团队将发现标记和注释对于推动协作工作很有用,同时优先考虑下一个动作并跟踪当前动作。

应用程序仪表板

图7–应用程序仪表板显示最近的趋势,上传和评论

报告与分析

ThreadFix具有详尽的选项来检查具有多个视图和详细程度的应用程序漏洞。有十种报告类型,每种都有自己的过滤器集。大量的组合使用户在为高层管理人员生成数据报告时能够发挥创造力。

最受欢迎的报告是趋势报告,该报告显示了随时间推移的修复效果,并且在应用程序仪表板下也可见(参见图8)。这种简单而强大的可视化效果显示了您的团队如何在选定的时间段内解决发现的漏洞。

查看线程修复

图8–趋势报告示例

ThreadFix中可用的其他报告包括:

  • 时间点报告按严重性显示了团队/应用程序漏洞结果的细分
  • “按漏洞进度”报告用于跟踪漏洞类型的平均年龄以及关闭每种漏洞类型的时间
  • “最易受攻击的应用程序”报告显示受影响最大的应用程序,并深入了解其漏洞构成
  • OWASP Top 10映射发现的漏洞到OWASP Top 10列表
  • 投资组合报告显示投资组合中每个应用程序当前扫描的最新程度。该报告可以帮助针对特定应用进行后续扫描,因此您可以保持项目的最新状态’漏洞状态
  • DISA(国防信息系统局)STIG(安全技术信息指南)报告显示有关您的应用程序是否符合DISA的应用程序安全和开发STIG要求的信息。该报告可以帮助计划和执行补救策略,以保持对政府应用程序安全标准的遵守。
  • 扫描比较摘要报告并排查看了每个扫描程序的运行情况,显示了发现的总漏洞数量和百分比以及发现的总误报百分比。
  • 修复报告提供趋势报告,以及更详细的表格,其中包含开始和结束漏洞计数以衡量进度
  • 漏洞搜索允许基于设置的过滤器来过滤和探索漏洞。

缺陷跟踪器集成

与各种缺陷/错误跟踪器的集成使安全分析人员可以向应用程序开发人员提供有关已发现漏洞的其他信息。这种双向通信消除了开发人员使用外部工具的需求,并帮助他们快速开始修复漏洞(图9)。

ThreadFix允许安全团队设计在创建故障单时将使用的自定义模板,并定义将在缺陷跟踪器中自动填充故障单的自定义字段。如果有更多的团队来管理使用不同跟踪器的应用程序,则可以使用它在多个跟踪器中定义和打开故障单。安全团队可以定义一个缺陷跟踪程序策略,该策略根据严重性级别自动打开新故障单。例如,您可以设置一个策略,在扫描程序发现严重性为高或更高的漏洞时打开票证。根据策略设置,符合条件的漏洞将被捆绑在一起,并附加到缺陷跟踪器中的票证中。

吉拉

图9–ThreadFix在吉拉(Jira)开了一个漏洞票

ThreadFix保留了与外部缺陷跟踪系统中创建的问题的链接,从而使安全分析人员可以看到开发人员在解决所报告的漏洞方面的进展(请参见图10)。此外,ThreadFix会定期检查相关缺陷的状态,并在ThreadFix中更新该状态,以便开发团队修复缺陷时,安全分析人员可以查看其操作并随后检查修复是否有效。

查看线程修复

图10–漏洞包含定期监视的问题状态

ThreadFix API

ThreadFix允许用户通过ThreadFix API执行漏洞管理操作。该过程遵循ThreadFix应用程序和基础结构工作流程,但以逐步的编程方式进行,在使繁琐的工作自动化时可能很有用。 API文档非常有帮助,因为它是最新的,写得很好的,并且随附每个调用的示例。

我们尝试复制管理应用程序组合的工作流,因此我们创建了一个新团队,向其分配了一个新应用程序,上载了相关的扫描报告,并尝试更改未解决漏洞的状态。我们发现ThreadFix API用途广泛,并且能够复制通过ThreadFix应用程序提供的全部或几乎所有ThreadFix操作。

为了支持DevSecOps的发展,可以使用ThreadFix API将更复杂的安全测试工作流程和漏洞报告与持续集成/持续开发流程集成在一起。对于特定事件,您可以安排远程扫描并将发现的漏洞报告给安全团队。使用API​​,您还可以更轻松地管理和配置ThreadFix。

结论

ThreadFix是用于漏洞管理的有用且成熟的工具。它弥合了各个团队之间的许多鸿沟,包括安全团队和应用程序开发团队之间的鸿沟。应用程序管理使用户能够合并和管理漏洞并跟踪其补救措施。

采用ThreadFix之后,您将告别跟踪扫描结果和通过电子表格管理漏洞。 ThreadFix通过很好的漏洞合并技术支持行业标准的漏洞扫描程序。除此之外,大多数漏洞扫描程序都可以通过ThreadFix进行直接编排,它还允许您使用API​​功能自动执行很多工作流程。借助ThreadFix,您可以深入研究应用程序的每个易受攻击的方面,而不会忽视有用的分析图和趋势线所提供的全局效果。

缺少的一件事是nmap扫描程序的集成,许多安全专家将其用于映射基础结构和扫描悬而未决的水果漏洞。

Threadfix弥合的另一个鸿沟是可操作的安全团队和合规团队之间的差距,因为ThreadFix还提供了可靠的资产管理工具,可帮助您跟踪和推动更改以满足合规或认证要求。

首席信息安全官会发现ThreadFix分析选项很有用,因为它们可以识别扫描的应用程序和基础架构中的风险模式,并更好地估计风险水平以及与降低风险有关的活动。 ThreadFix为CISO和其他经理提供了对其软件开发生命周期过程的宝贵见解,并使他们能够识别和衡量可以改进的部分。

ThreadFix通过其协作功能“人性化”了安全流程。发现漏洞只是难题的一部分:修复工作始终是最困难,最耗时的工作。 ThreadFix不仅用作漏洞统一和分析平台,而且还用作协作平台,在此平台上,不同的团队和观点相遇并比以前更快,更好地参与解决组织的缺陷。

分享这个