零零信安创始人兼CEO 王宇
王宇在演讲伊始先引出了风险、弱点和漏洞,并指出他们之间的关系——漏洞属于弱点的一部分,弱点属于风险的一部分。在这三个词汇中,风险和漏洞是最为常见的,而关于“弱点”方面提及相对较少,而这也是王宇此次演讲主题中“弱点优先级技术”的重点。“众所周知,HVV中有三个大杀器,分别是0day、钓鱼和基于信息泄露所引发的其他攻击,在这之中,他们所利用的不仅仅只是漏洞,还有弱点的利用。“王宇谈道。
在王宇看来,在信息安全的攻防层面看,其中一个主要的工作内容就是防范不法黑客的攻击,而黑客的攻击之所以会成功,它的背后所体现的,则是防守方必然存在一个或多个弱点。因此,王宇认为这里面的关注点应重点放在可以让黑客攻击成功背后的弱点发现上。
”国内的信息安全已经有了20余年的历史,尽管早期就开始关注漏洞,并推出了漏洞扫描等产品,但实际上,关于漏洞和弱点的问题至今仍没有得到很好的解决。“王宇在现场还引用了Whitehat Security的一组数据,据统计截止到2021年5月,北美地区的平均漏洞修复时间为205天,公共事业部门中66%的应用存在至少一个可利用漏洞。虽然在我国还没有相关的数据统计,但王宇认为在数据层面尤其是在平均漏洞修复时间上应是相差不多的。
Gartner“基于风险的弱点管理”的五大关键点
Gartner在2018年提出了”符合Carta方法论的弱点管理“项目,在经过三年的沉淀和完善后,最终使用了一个更适合的名称——”基于风险的弱点管理“项目。
关于这一项目的关键技术点,王宇将其总结为五点:
1、风险和弱点不仅仅只是漏洞。就像王宇在一开始所讲的那样,漏洞只是弱点的一部分,弱点本身还会包括诸如弱口令的处理、配置的不完善、信息的泄露等等,而这些弱点都是风险的一部分。
2、风险永远不可能100%被处理,需要进行优先级的区分。王宇表示,“对于很多管理者而言,都会期望所有的漏洞都可以被处理掉,但现实中这个可能性是不存在的。每年光是被发现的通用型漏洞都有超过1万个,更何况还有那些事件型的漏洞了。”
王宇指出,在现实中,一些大的单位,它的关键业务系统都在10-20万甚至更高的数量级。当我们把超过1万个新爆发的通用型漏洞和几十万数量级的一个重要业务系统结合在一起看的时候,我们就会发现根本不可能做到去把所有的风险都处理到位。
3、找到需要优先处置的风险,从而显著降低风险。这一点在王宇看来,就是关键中的关键。哪些风险的优先级高,那么处置的优先级也应更高,长期以来这似乎是大家的共识,并没什么特别,但是王宇特别强调,“这里需要突出优先级的概念,因为并不是说漏洞的等级高,它的优先级就高。”
王宇谈道,按照当前的CVE和CVSS判定规则看,会更多地将可被用于发起远程攻击的漏洞定位为高风险,但在实际中,很多漏洞并不是非法黑客所喜欢使用的,反而是一些信息收集类或是一些中风险的漏洞会被更多的利用。这也是为什么无论是针对基于ATT&CK还是基于七步杀伤链的角度上看,都未必一定是高风险漏洞才会被攻击者更多的利用。
因此,在定义哪些是应该优先处置的风险时,不能仅针对漏洞的等级来处理。
4、利用现有的扫描数据和流程。信息安全建设到目前已经经历了几十年的时间,没有必要再去重新进行建设。
5、利用VPT(弱点优先级技术)工具。通过漏洞扫描、渗透测试、配置核查等技术或工具来发现弱点,然后进行评估、优先级排序、工作流程、处置方式和效果、自动化措施等串行在一起,形成整个风险管理的闭环和迭代提升。
VPT的关键能力——不在没有风险的漏洞上浪费时间
那么如何将基于风险的弱点管理通过工具、技术和服务手段来进行落地呢?王宇在这里引用了Tenable的方法论,主要有以下三点:
1、提供整个攻击面上所有资产和弱点视图
这个无需多言,要做好网络安全,摸清家底都是必须要做的。与此同时还要排查潜在的风险点,对于攻击者而言,在发起攻击之前也会这样操作。
2、不要在没有风险的漏洞上浪费时间
即使一个漏洞的评分很高,但如果不能被直接利用,那么就无需去花大量的时间优先处理,反而是一些评分较低甚至是没有评分的却有可能成为更大的弱点。比如企业的邮件列表、重要的组织架构、员工的个人信息数据等,这些都有可能会暴露在互联网上,这些不会有漏洞评分的弱点,反倒可能会形成一个重要的风险。
王宇指出,就当前而言,我国在威胁情报方面做的很多的工作,但同时,在漏洞、弱点相关的情报方面做得还不够,Tenable的风险管理为什么做的不错?就是因为它已经拥有了上万亿的弱点情报数据,将这些弱点情报充分的利用好,我们就可以知道哪些漏洞、弱点更值得去关注和优先处理。
3、动态的处理、响应0day和1day漏洞
针对实际业务环境,主动管理和自动化调用工具、策略、流程,最大程度提高应对效率和效果。王宇在这里分享了一个自己的体会,此前某客户在开发或更新业务系统时会采用这样一个流程——开发人员在上线前会将代码放入代码仓库,随后安全人员会通过工具对其进行审计,在审计完成后交给开发人员来进行更替。这个过程乍一看没什么问题,但在代码量很大、开发或更新的业务系统很多、所涉及的核心业务资产很多的情况下,这个流程的效率就会非常低,耗费的人力财力也会非常高,那么是否能够通过自动化将这个流程固化就很重要。
用20%的时间去解决80%的弱点与风险问题
在参考了Gartner和Tenable的方法论之后,王宇也分享了自己对于如何做好基于风险的弱点管理的思路,归纳起来其实也是三个部分:
1、做好全面准确的全网资产测绘,保证风险管理无死角。
2、建立服务客户业务的自动化风险管理方案,最大化提高效率和效果。
3、建立全国和全球漏洞情报和信息泄露情报库,为优先级分类提供依据;同时提供符合国情和政治要求的HVV、重保和实战化安全检测,以达到立竿见影的效果。
在这里,王宇重点强调了第3点,对于要建立的弱点情报库、漏洞情报库而言,同威胁情报库最大的区别在于关注点不同,威胁情报关注的是被攻击后能不能检测出来,而弱点情报或漏洞情报更关注的则是被攻击的可能性有多大。
这三个部分整合在一起,也就形成了零零信安的基于弱点的风险管理解决方案,将弱点管理起来,将优先级提出来是这个解决方案的核心关键词,只有这样才能够令企业用户用20%的时间去解决80%的问题,这也是零零信安从创立之日起一直坚持的整体思路。
“希望通过我们的解决方案,能够为企业和安全服务人员去解决掉那80%的关键弱点与风险问题。”