跳转至

Ostorlab 修复系统

本综合指南旨在引导您完成基本步骤,使您能够高效地导航和利用 Ostorlab 修复系统的多方面功能。

修复建议

Ostorlab 提供修复功能,以紧急、勤奋且高效地修复已识别的漏洞。这些功能通过工单系统进行管理,该系统汇总所有漏洞并将其与工单配对。

修复系统既可作为独立系统使用,也可与 Jira 等第三方工单系统无缝集成。

Remediation System Overview

修复系统提供以下功能:

  • 自动管理漏洞的生命周期,以确保验证修复情况并跟踪其进度。
  • 提供工单管理功能来设置优先级、分配所有者(Owner)并更新状态。
  • 与同一组织内的团队成员协作,或通过邀请用户加入您的组织进行协作。
  • 设置策略(Policies)以确保及时应用补丁,并检测未实施的修复以进行跟踪和升级。
  • 收集有关您安全计划运行状况的指标,以实现有数据支持的战略决策。

工单生命周期

Ostorlab 可自动管理与检测到的漏洞相关联的工单生命周期。工单生命周期提供以下功能和保证:

  • 在新检测到安全问题时,会自动创建工单。工单详细信息包含有关漏洞的信息。

Ticket Creation

  • 平台会将后续出现的同一漏洞汇总到同一工单中。汇总按工单详细信息进行;例如,所有 SQL 注入都将只有一个工单或一个名为 DNA 的内部属性,该属性可唯一标识每个漏洞。DNA 是根据漏洞的类型计算的,以确保对其进行唯一标识。

Ticket Aggregation

  • 工单可以标记为已修复(Fixed)。

Ticket Marked as Fixed

对于已修复的工单,如果在未来的扫描(Scan)中确实没有这些漏洞,平台会自动将工单标记为已验证(Verified)。

Ticket Verification

或者重新打开同一个工单。

Ticket Reopened

  • 工单可以标记为例外或误报(False Positive)。当发现同一漏洞的新出现情况时,已除外的工单和误报工单将保持原样。

Ticket Exception

如果为工单分配了漏洞,那么手动创建的工单也受益于相同的工单管理功能。

工单管理

工单具有多项设置以反映紧急性、优先级、所有权或便于搜索和过滤。

Ticket Settings

对工单的所有编辑都会在活动(Activity)部分中被跟踪,以便了解何人在何时进行了何种操作。

Ticket Activity

紧急程度和优先级

工单的优先级设置从 P0 到 P3。P0 最为紧急,P3 紧急程度最低。

Ticket Priority

所有权

手动创建的工单会有一个报告人(Reporter)。此外,您可以分配一个通常负责确保修复漏洞的所有者。

您可以将工单分配给已经是该组织成员的现有用户,或外部电子邮件地址。 如果该电子邮件地址不在平台上,它将收到加入该组织的邀请。

Ticket Ownership

只有 ADMIN 才能批准组织邀请。要执行此操作,您可以前往 组织 / 邀请(Organisation / Invitation)部分。

一旦用户创建了帐户并且其邀请获得批准,系统就会自动将工单分配给他们。

Organisation Invitation

标签

工单可以分配多个标签(Tags)。一个标签包含名称和值。将标签名称和值分开可以为工单增加额外的含义。例如,添加具有 prodqatest 等值的 env 标签,或添加具有 featureXYZ 等值的 workstream 标签。

Ticket Tags

搜索

修复部分提供多种搜索功能。通过指定与搜索值映射的受支持关键字来完成搜索。

Ticket Search

支持的关键字包括:

  • 按优先级(Priority)搜索,值从 P0 到 P3。

Search by Priority

  • 按工单状态搜索,值有 OPEN、REOPEN、FIXED、FIXED VERIFIED、EXCEPTION 和 FALSE POSITIVE。

Search by Status

  • 按分配的电子邮件地址或报告人的电子邮件地址搜索。

Search by Email

  • 通过布尔快捷方式进行搜索以查找分配给您或由您报告的工单,值分别为 true 和 false。

Search by Boolean

  • 按标签名称和标签值搜索。

Search by Tag

  • 按创建日期、修改日期、开始日期和结束日期进行搜索。

Search by Date

修复系统支持整个组织范围内的协作。同一个组织的所有成员都可以访问和查看组织内的一切内容。这包括扫描访问权限、漏洞数据访问权限、工单数据访问权限等。

可以使用评论部分进行有关工单的协作;可以更新或删除评论。活动部分中会记录操作的痕迹。

Ticket Comments

如果您不能在多个团队之间共享某些数据,您可以创建专门的组织以将所有的交互限制在同一个组织内。这通常适用于一个应用程序是由外部第三方构建,而其他应用程序是由内部构建的情况。

Create Organisation

要执行此操作,请导航到您的仪表板(Dashboard)并单击设置(Settings)以将其展开,然后选择访问权限(Access)。

Dashboard Settings

单击添加组织(Add organisation),然后填写组织信息。

Add Organisation

要添加用户,请单击三个点,然后选择添加用户(Add user)选项。

Add User

然后填写用户的电子邮件。

User Email

此外,自主安全的五大支柱之一是策略(Policies)。

有多种策略类型,例如:

  • 补丁修复策略(Patching policy),用于定义何时修复不同严重程度的漏洞。

  • 新鲜度策略(Freshness policy),用于定义在生产中运行的软件或硬件可允许的过时程度。

  • 实施策略(Enforcement policy),用于定义在何种情况下可以隔离或断开危险系统的连接。

这些只是修复策略的示例。现阶段,Ostorlab 仅支持设置和实施补丁修复策略。

Patching Policy

补丁修复策略定义了处理已确认漏洞和加固(Hardening)建议的 SLO(服务级别目标)。例如,在五天内修复一个严重程度高(High)的问题。

策略由工单系统实施,它将工单创建时间与漏洞最高严重程度以及已定义的策略进行比较。

Policy Enforcement

虽然工单管理有助于管理日常工作并确保问题得到修复且不会被忽略,但它不足以全面了解安全计划的执行情况。

因此,工单系统得到了指标和仪表板支柱的补充,这是自主安全计划的第 5 个支柱。

指标模块收集几项指标,包括基于时间的指标(例如高严重性问题的数量、已修复问题的数量)以及全局指标(例如重新开放率、安全资产百分比等)。这些指标可以在组织仪表板中访问。

Metrics Dashboard

若要深入了解所有与工单相关的指标,请参阅以下链接中的可用文档。

Documentation Link