关于网络安全:Gartner-VPT技术原理-Tenable专注于构成风险最大的漏洞

8次阅读

共计 3835 个字符，预计需要花费 10 分钟才能阅读完成。

Gartner 示意：
“到 2022 年，应用基于危险的破绽治理办法的组织，会缩小 80% 的被攻打可能”【[抉择脆弱性评估解决方案的指南，Gartner，2019 年 4 月]】

不论您在网络安全畛域工作了多久，您都肯定晓得破绽治理对于辨认和升高网络危险至关重要。为什么呢？因为在每一次重大的网络攻击的背地，都有一个未被解决的破绽。
然而，有一个大问题：在过来的 20 年里，攻击面在一直演变，破绽管理人员却未能跟上演变的步调。
当今的 IT 环境正在一直变动。在数字转型的推动下，当初咱们的世界应用代码来编写的，充斥着新技术、新平台和新设施。联想云、物联网、可挪动的、网络应用程序——甚至连工业设施也能连贯到这个凌乱的景观中。
不同类型的资产一直的进入和来到企业当中。最重要的是，有些资产是短暂的——只继续几秒钟或几分钟。

再多的资产，再多的破绽，事件也不会更简单了。
思考到一直迅速演变收缩的攻击面，破绽数量的增长也就难能可贵了。事实上，这个数字曾经齐全令人生畏了。从 2016 年到 2018 年，新公布的破绽从每年 9,837【[脆弱性情报报告，Tenable 钻研报告，2018]】激增到每年 16,500 个。【[美国国家破绽库（NVD）]】均匀而言，这意味着企业每天会在 960 个 IT 资产中发现 870 个破绽。【[Tenable 钻研报告]】
除了挑战之外，破绽的重大成都仿佛还在减少。因为行业标准的常见破绽评分零碎（CVSS）产生了变动，大多数的破绽当初被归类为高危或重大破绽。依据 CVSSv3 评级，60% 的破绽被认为是高危或者重大等级，而 CVSSv2 为 31%（见图 1）。【[脆弱性情报报告，Tenable 钻研报告，2018]】

图 1:CVSSv2 与 CVSSv3 的分类
因而，平安团队正在解决的破绽数量超过了他们能够解决的。太过于扩散这些无限且有价值的资源会迅速导致低效率和工作过度操劳。因为 CVSS 是没有危险辨别的，你最不须要做的就是节约贵重的工夫来修复那些简直没有危险的破绽。

三个月期间，在剖析了大概 20 万个破绽评估扫描中最常见的 50 个重大和高危破绽后，Tenable 钻研发现，攻击者比防御者当先了 7 天的工夫。【[量化攻击者的先发劣势，Tenable 钻研报告，2018]】黑客在平安团队意识到他们面临危险之前就曾经领先开始利用破绽。
如果不能不间断的理解困扰组织的破绽，就不可能晓得本人的弱点在哪里。传统的破绽治理次要是以听从法规为导向，旨在证实恪守法规遵并查看所有制订我的项目。这意味着破绽扫描和补救打算通常是间断性的，被审计周期打断，使平安人员苦楚地意识不到重大的破绽。侥幸的是，有一种办法能够克服这些危险——从实质上扭转了攻击者的劣势。

每个平安行业的从业者都晓得不可能齐全规避攻打。然而踊跃进攻的办法是接下来最好的抉择。最简略的实现办法是什么呢？就是基于危险的破绽治理。
通过进行基于危险的破绽治理，您能够自信地答复这三个关键问题：
1、业务裸露点在哪里？
2、基于可被利用性，咱们应该优先思考哪些问题？
3、如果破绽被利用了，会对业务产生什么影响？
基于危险的破绽治理能够帮忙您缩小大量的破绽，为您提供疾速、无效地采取修复口头所需的精确关注点。

“开始将其作为一个要害指标进行监控：您有多少可被利用的破绽在外网”
——Gartner【[“Gartner 的脆弱性治理策略近景”，Craig Lawson; Gartner 平安与风险管理峰会演讲，2019 年 8 月，澳大利亚。悉尼]】

您无奈爱护您看不见的货色，也无奈解决您不晓得的问题。然而，在整个一直扩大的攻打面上取得全面的可见性并不是一件容易的事件。
攻击面和威逼环境都在一直变动，所以不及时的评估为谬误的信息决策留下了很大的空间。基于危险的破绽治理远远超出了传统破绽治理提供的动态、扩散的可见性，并提供了总体动静视图——增加云、容器、web 应用程序、物联网、操作技术以及任何计算机平台上的任何资产（见图 2）。
无奈应用传统的破绽治理攻打来无效地查看和剖析红色圈中的资产：

图 2: 通过进行基于危险的破绽治理来打消所有盲点
通过施行基于危险的破绽治理，您能够精确地查看组织中的所有潜在危险。

基于危险的破绽治理也答复了以下问题：“咱们首先应该解决什么？”仅应用 CVSS 来确定优先级还不足够，因为它仅限于破绽可能引入的危险的实践观点，因而将大多数破绽归类为高危或重大等级。CVSS 不思考该破绽是否正在互联网上被利用。它也不思考该破绽是否存在于要害业务或零碎上。
例如，CVSSv2 和 CVSSv3 优先思考近程可利用破绽，不须要用户交互。然而，攻击者更喜爱应用通过验证的、可能继续利用的破绽。他们通常利用客户端破绽，通过网络钓鱼攻打、恶意软件驱动器、歹意转换等形式执行。如果仅基于 CVSS 确定优先级（例如，修补所有评分为 9 及以上的破绽），最终会浪费时间和精力去修复永远也不会被利用的和攻击者不喜爱利用的破绽。要无效地确认优先级，您须要一种危险驱动的办法，对攻击者关注的要害资产和破绽进行优先级排序。
通过基于危险的破绽治理，您能够放大重大破绽的范畴，并从实践中提取理论危险（参见图 3）。它应用机器学习的办法主动剖析、关联破绽的严重性、威逼水平和资产重要性，基于危险为您提供明确的重点修复领导。

图 3: 应用 CVSS 与基于危险的优先级排序比照
鉴于当今攻击面产生的海量数据，资源缓和的团队不可能全副手动解决。让机器学习进行剖析和关联，这样您就能够与 IT 团队单干修复重要的破绽。

“随着咱们组织的有机倒退，从传统零碎转移到云环境，如 GCP、亚马逊云和微软 Azure，咱们的攻击面正在迅速扩充。咱们有微小数量的破绽。最后检测到大概 25 万个破绽，因为传统应用程序的存在，其中一些破绽被归类重大破绽和可利用破绽。我的团队必须无效地对咱们的破绽进行优先级排序以升高咱们的网络危险，并当先威逼一步。
——迈克·科斯(Mike Koss)，NBrown 团体的 IT 平安和危险主管

Ponemon Institute 最近的一项考察发现，51% 的平安团队花在钻研人工流程上的工夫多于响应破绽，导致不可避免的响应阻塞【[掂量和治理商业经营的网络危险，Ponemon Institute, 2018]】。再加上行业内重大的技能短缺，很容易就能了解为什么团队效率至关重要。
基于危险的破绽治理为您提供领导团队所要关注的重点，同时向您展现您目前踊跃升高网络危险的工作成绩。您会晓得您正在采取的治理危险措施是正确的，因为您专一于可能被利用并造成最大挫伤的多数破绽。您还须要定期跟踪这两个 KPI：

评估工夫：从破绽公布到您的团队评估破绽须要多长时间？
修复工夫：您的团队须要多长时间来响应并与 IT 团队单干修复要害破绽——这些破绽在互联网上被大量利用后，所造成的最大危险是什么？

“咱们不能向 IT 团队提供一份蕴含 10,000 个“破绽”的清单，并冀望他们与咱们单干。如果我给他们一份几百个破绽的清单，他们才会参加。”
– Dan Bowden，CISO，Sentara Healthcare

通过监控这些指标，您能够实在地理解哪些指标无效，哪些指标有效。这种新发现的清晰的破绽优先级，将使您更好地与 IT 团队对话。您将与 IT 团队单干修复真正须要留神的一小部分破绽，而不是向他们扔一个蕴含成千盈百个须要解决的破绽的电子表格。在确定工作中的差距并朝着独特指标获得的停顿时，领有能够依赖的数据会大有不同。

通过基于危险的破绽治理，您将取得爱护业务零碎所需的洞察力。如果业务零碎的网络危险是不可被承受的，您能够疾速确定将其余的平安重心集中在能够升高危险中央。
您还能够轻松地将攻击面的网络危险传播给业务领导。治理基于危险的破绽治理打算所依赖的数据会主动转换为业务领导可能了解的基于危险的指标。

想要将您的工作量间接缩小 97% 吗？尝试预测优先级。
预测优先级联合了钻研后果、威逼情报和破绽评级，将须要立刻修复的破绽数量缩小了 97%。看看它是如何工作的——查看交互式演示。

大多数平安团队示意，他们有 X 多人在解决 Y 数量的案例，或者他们的公司有 Z 数量的凋谢的重大破绽。这些数字如何转化能力使公司被攻打的可能性降到最低？他们不晓得。
仅缩小数量并不能升高您的危险。打消造成间接危险的破绽才是关键所在。
想理解基于危险的破绽治理如何为您的平安团队提供最大的帮忙吗？从明天开始吧。

数据起源：
1. 抉择脆弱性评估解决方案的指南，Gartner，2019 年 4 月
2. 脆弱性情报报告，Tenable 钻研报告，2018
3. 美国国家破绽库（NVD）
4.Tenable 钻研报告
5. 脆弱性情报报告，Tenable 钻研报告，2018
6. 量化攻击者的先发劣势，Tenable 钻研报告，2018
7.“Gartner 的脆弱性治理策略近景”，Craig Lawson; Gartner 平安与风险管理峰会演讲，2019 年 8 月，澳大利亚，悉尼
8. 掂量和治理商业经营的网络危险，Ponemon Institute, 2018

文章内容译自 Tenable：
《Focus on the vulnerabilities that pose the greatest risk》

正文完