共计 2853 个字符,预计需要花费 8 分钟才能阅读完成。
7 月 29 日,ISC 2021 大会迎来了“技术日”主题,在这一天的“从新定义安服——解构将来安服蓝图论坛”中,来自于初创企业——零零信安的创始人兼 CEO 王宇为大家带来了“基于 VPT(弱点优先级技术)的风险管理服务”的主题演讲,围绕 Gartner 的“基于危险的弱点治理”关键技术点以及 Tenable 的实际开展,并分享了本人针对这方面的思考以及零零信安的解决方案。
王宇在演讲伊始先引出了危险、弱点和破绽,并指出他们之间的关系——破绽属于弱点的一部分,弱点属于危险的一部分。在这三个词汇中,危险和破绽是最为常见的,而对于“弱点”方面提及绝对较少,而这也是王宇此次演讲主题中“弱点优先级技术”的重点。
“家喻户晓,HVV 中有三个大杀器,别离是 0day、钓鱼和基于信息泄露所引发的其余攻打,在这之中,他们所利用的不仅仅只是破绽,还有弱点的利用。“王宇谈道。
在王宇看来,在信息安全的攻防层面看,其中一个次要的工作内容就是防备不法黑客的攻打,而黑客的攻打之所以会胜利,它的背地所体现的,则是防守方必然存在一个或多个弱点。因而,王宇认为这外面的关注点应重点放在能够让黑客攻击胜利背地的弱点发现上。
”国内的信息安全曾经有了 20 余年的历史,只管晚期就开始关注破绽,并推出了破绽扫描等产品,但实际上,对于破绽和弱点的问题至今仍没有失去很好的解决。“王宇在现场还援用了 Whitehat Security 的一组数据,据统计截止到 2021 年 5 月,北美地区的均匀破绽修复工夫为 205 天,公共事业部门中 66% 的利用存在至多一个可利用破绽。尽管在我国还没有相干的数据统计,但王宇认为在数据层面尤其是在均匀破绽修复工夫上应是相差不多的。
Gartner“基于危险的弱点治理”的五大关键点
Gartner 在 2018 年提出了”合乎 Carta 方法论的弱点治理“我的项目,在通过三年的积淀和欠缺后,最终应用了一个更适宜的名称——”基于危险的弱点治理“我的项目。
对于这一项目标关键技术点,王宇将其总结为五点:
1、危险和弱点不仅仅只是破绽。就像王宇在一开始所讲的那样,破绽只是弱点的一部分,弱点自身还会包含诸如弱口令的解决、配置的不欠缺、信息的泄露等等,而这些弱点都是危险的一部分。
2、危险永远不可能 100% 被解决,须要进行优先级的辨别。王宇示意,“对于很多管理者而言,都会冀望所有的破绽都能够被解决掉,但事实中这个可能性是不存在的。每年光是被发现的通用型破绽都有超过 1 万个,更何况还有那些事件型的破绽了。”
王宇指出,在事实中,一些大的单位,它的要害业务零碎都在 10-20 万甚至更高的数量级。当咱们把超过 1 万个新暴发的通用型破绽和几十万数量级的一个重要业务零碎联合在一起看的时候,咱们就会发现基本不可能做到去把所有的危险都解决到位。
3、找到须要优先处理的危险,从而显著升高危险。这一点在王宇看来,就是要害中的要害。哪些危险的优先级高,那么处理的优先级也应更高,长期以来这仿佛是大家的共识,并没什么特地,然而王宇特别强调,“这里须要突出优先级的概念,因为并不是说破绽的等级高,它的优先级就高。”
王宇谈道,依照以后的 CVE 和 CVSS 断定规定看,会更多地将可被用于发动近程攻打的破绽定位为高风险,但在理论中,很多破绽并不是非法黑客所喜爱应用的,反而是一些信息收集类或是一些中危险的破绽会被更多的利用。这也是为什么无论是针对基于 ATT&CK 还是基于七步杀伤链的角度上看,都未必肯定是高风险破绽才会被攻击者更多的利用。
因而,在定义哪些是应该优先处理的危险时,不能仅针对破绽的等级来解决。
4、利用现有的扫描数据和流程。信息安全建设到目前曾经经验了几十年的事件,没有必要再去从新进行建设。
5、利用 VPT(弱点优先级技术)工具。通过破绽扫描、浸透测试、配置核查等技术或工具来发现弱点,而后进行评估、优先级排序、工作流程、处理形式和成果、自动化措施等串行在一起,造成整个风险管理的闭环和迭代晋升。
VPT 的要害能力——不在没有危险的破绽上浪费时间
那么如何将基于危险的弱点治理通过工具、技术和服务伎俩来进行落地呢?王宇在这里援用了 Tenable 的方法论,次要有以下三点:
1、提供整个攻打面上所有资产和弱点视图
这个无需多言,要做好网络安全,摸清家底都是必须要做的。与此同时还要排查潜在的危险点,对于攻击者而言,在发动攻打之前也会这样操作。
2、不要在没有危险的破绽上浪费时间
即便一个破绽的评分很高,但如果不能被间接利用,那么就无需去花大量的工夫优先解决,反而是一些评分较低甚至是没有评分的却有可能成为更大的弱点。比方企业的邮件列表、重要的组织架构、员工的个人信息数据等,这些都有可能会裸露在互联网上,这些不会有破绽评分的弱点,反倒可能会造成一个重要的危险。
王宇指出,就以后而言,我国在威逼情报方面做的很多的工作,但同时,在破绽、弱点相干的情报方面做得还不够,Tenable 的风险管理为什么做的不错?就是因为它曾经领有了上万亿的弱点情报数据,将这些弱点情报充沛的利用好,咱们就能够晓得哪些破绽、弱点更值得去关注和优先解决。
3、动静的解决、响应 0day 和 1day 破绽
针对实际业务环境,被动治理和自动化调用工具、策略、流程,最大水平进步应答效率和成果。王宇在这里分享了一个本人的领会,此前某客户在开发或更新业务零碎时会采纳这样一个流程——开发人员在上线前会将代码放入代码仓库,随后平安人员会通过工具对其进行审计,在审计实现后交给开发人员来进行更替。这个过程乍一看没什么问题,但在代码量很大、开发或更新的业务零碎很多、所波及的外围业务资产很多的状况下,这个流程的效率就会非常低,消耗的人力财力也会十分高,那么是否可能通过自动化将这个流程固化就很重要。
用 20% 的工夫去解决 80% 的弱点与危险问题
在参考了 Gartner 和 Tenable 的方法论之后,王宇也分享了本人对于如何做好基于危险的弱点治理的思路,归纳起来其实也是三个局部:
1、做好全面精确的全网资产测绘,保障风险管理无死角。
2、建设服务客户业务的自动化风险管理计划,最大化提高效率和成果。
3、建设全国和寰球破绽情报和信息泄露情报库,为优先级分类提供根据;同时提供符合国情和政治要求的 HVV、重保和实战化平安检测,以达到空谷传声的成果。
在这里,王宇重点强调了第 3 点,对于要建设的弱点情报库、破绽情报库而言,同威逼情报库最大的区别在于关注点不同,威逼情报关注的是被攻打后能不能检测进去,而弱点情报或破绽情报更关注的则是被攻打的可能性有多大。
这三个局部整合在一起,也就造成了零零信安的基于弱点的风险管理解决方案,将弱点治理起来,将优先级提出来是这个解决方案的外围关键词,只有这样才可能令企业用户用 20% 的工夫去解决 80% 的问题,这也是零零信安从创建之日起始终保持的整体思路。
“心愿通过咱们的解决方案,可能为企业和平安服务人员去解决掉那 80% 的要害弱点与危险问题。”
转载起源:https://mp.weixin.qq.com/s/Pi…