華云安·ASM技術(shù)篇:VPT技術(shù)的本土化探索與實(shí)踐
安全的本質(zhì)是動(dòng)態(tài)對(duì)抗,將其映射到漏洞管理領(lǐng)域就是漏洞不斷產(chǎn)生和不斷快速響應(yīng)的過(guò)程。在有限資源下,實(shí)現(xiàn)投入的回報(bào)收益最大化是漏洞管理的核心目標(biāo)。為了達(dá)成該目標(biāo),并將合規(guī)驅(qū)動(dòng)轉(zhuǎn)化為攻防實(shí)戰(zhàn)驅(qū)動(dòng)安全管理工作,我們引進(jìn)VPT技術(shù)應(yīng)用于日常漏洞管理工作體系建設(shè)。本文將就該技術(shù)實(shí)踐中的思考和過(guò)程與大家分享。
VPT技術(shù)起源
VPT全稱為Vulnerability prioritization technology,意為弱點(diǎn)優(yōu)先級(jí)技術(shù),被廣泛用于漏洞評(píng)估領(lǐng)域。它是全球知名咨詢公司Gartner在2019年的《A Guide to Choosing a Vulnerability Assessment Solution》(Gartner,2019.04)一文中首次提出的。Gartner示意:“到2022年,使用基于風(fēng)險(xiǎn)的漏洞管理方法的組織,會(huì)減少80%的被攻擊的可能”,認(rèn)為針對(duì)漏洞的管理應(yīng)該以縮小實(shí)際被攻擊可能性為根本目的。
在Gartner的標(biāo)準(zhǔn)定義中,對(duì)VPT提了以下技術(shù)點(diǎn):
• VA telemetry,即漏洞評(píng)估測(cè)試,主要是指基礎(chǔ)的漏洞數(shù)據(jù)提供和目標(biāo)檢測(cè)方式,對(duì)目標(biāo)系統(tǒng)進(jìn)行漏洞檢測(cè)和安全性危害評(píng)價(jià);
•Asset criticality context即資產(chǎn)重要性關(guān)系,主要是指針對(duì)弱點(diǎn)所在的資產(chǎn),站在非安全視角評(píng)估資產(chǎn)重要性以納入弱點(diǎn)影響評(píng)價(jià),廣義資產(chǎn)包含服務(wù)器、網(wǎng)站業(yè)務(wù)、接口、IoT設(shè)備等;
• Environment context即環(huán)境關(guān)系,基于網(wǎng)絡(luò)配置情況、安全防御情況等評(píng)價(jià)弱點(diǎn)的影響面和損失價(jià)值;
• Multiple threat intelligence即海量威脅情報(bào),這里的情報(bào)不是威脅情報(bào),主要是弱點(diǎn)的情報(bào)信息,包括漏洞嚴(yán)重性評(píng)分 (CVSS)、修復(fù)的難易程度、漏洞的發(fā)布日期、易受攻擊的軟件項(xiàng)目的流行程度以及發(fā)現(xiàn)漏洞的應(yīng)用程序類型等。
VPT技術(shù)的本土化思考
VPT技術(shù)的主要目的是在有限的時(shí)間內(nèi),盡可能多的降低被攻擊的風(fēng)險(xiǎn),就像在降低SoC/SIEM的無(wú)效告警一樣,我們需要從威脅、影響、可修復(fù)性三個(gè)方面對(duì)漏洞處理優(yōu)先級(jí)排序,比漏洞檢測(cè)更進(jìn)一步的實(shí)現(xiàn)了基于風(fēng)險(xiǎn)的弱點(diǎn)管理。但從VPT技術(shù)落地的角度而言,我們需要更多的考慮如何將它本土化。
VPT技術(shù)關(guān)注重點(diǎn)不是漏洞,而是攻擊面。它是一種動(dòng)態(tài)對(duì)抗思想,從防守角度在一定時(shí)間范圍內(nèi),最大限度的縮小已有攻擊面可能帶來(lái)的損失。在本土化背景下,該思想的落地場(chǎng)景主要在于攻防演練和關(guān)基保護(hù)等需要真實(shí)防范攻擊的安全場(chǎng)景,其中VPT的價(jià)值不僅是降低工時(shí)和提升效率,更要兼顧考慮指導(dǎo)安全響應(yīng)和避免安全責(zé)任這兩項(xiàng)附加價(jià)值。VPT應(yīng)用在國(guó)內(nèi)不得不考慮以下幾點(diǎn):
•VPT需要站在業(yè)務(wù)角度進(jìn)行評(píng)價(jià)
在評(píng)價(jià)漏洞時(shí)加入對(duì)業(yè)務(wù)影響性,并將評(píng)價(jià)的關(guān)鍵因素呈現(xiàn)出來(lái),會(huì)使得業(yè)務(wù)部門對(duì)安全部門提出的處置優(yōu)先級(jí)更易理解。該評(píng)價(jià)不是簡(jiǎn)單的根據(jù)漏洞所在資產(chǎn)進(jìn)行,而是需要更具象到漏洞可能造成的損失。
•VPT需要考慮到國(guó)內(nèi)老舊信息資產(chǎn)響應(yīng)實(shí)操性的問(wèn)題
我國(guó)IT數(shù)字化建設(shè)發(fā)展極為迅速,但由于一些歷史原因積累了較多老舊的信息資產(chǎn),這些資產(chǎn)的漏洞修補(bǔ)會(huì)比較困難。如果不考慮漏洞的可修復(fù)性,反而會(huì)給業(yè)務(wù)部門增加很多負(fù)擔(dān),所以VPT需要建立對(duì)可修復(fù)性的建議和標(biāo)記。
•VPT需要符合中國(guó)的網(wǎng)絡(luò)安全相關(guān)規(guī)定
應(yīng)用VPT技術(shù)對(duì)弱點(diǎn)進(jìn)行評(píng)價(jià)時(shí)需要考慮我國(guó)的相關(guān)規(guī)定,如《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》、《GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng) 估規(guī)范》。在《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》中詳細(xì)定義了漏洞指標(biāo)類分級(jí)、漏洞技術(shù)分級(jí)、漏洞綜合分級(jí)的方法對(duì)漏洞進(jìn)行評(píng)價(jià),包括不限于被利用性指標(biāo)、影響程度指標(biāo)等。
VPT技術(shù)的本土化實(shí)踐
VPT技術(shù)雖然一經(jīng)推出即受到行業(yè)領(lǐng)先企業(yè)的追捧,但在國(guó)內(nèi)的落地與實(shí)踐并未展開。直到2020年,由華云安參與制定的《信息安全技術(shù)—網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》(GB/T 30279-2020)正式發(fā)布,結(jié)合了《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984-2007)的風(fēng)險(xiǎn)評(píng)估理念,為我國(guó)基于風(fēng)險(xiǎn)進(jìn)行漏洞的評(píng)級(jí)和管理提供了本土化依據(jù)和方法。
華云安在VPT技術(shù)實(shí)踐中,運(yùn)用多種技術(shù)手段提高評(píng)價(jià)數(shù)據(jù)維度與精度,提高實(shí)戰(zhàn)攻防場(chǎng)景下VPT技術(shù)的應(yīng)用效果。
•構(gòu)建評(píng)價(jià)因子的數(shù)據(jù)模型
弱點(diǎn)優(yōu)先級(jí)評(píng)價(jià)技術(shù)就是安全弱點(diǎn)發(fā)展成安全事件的可能性。在此基礎(chǔ)上,華云安構(gòu)建了漏洞利用性評(píng)價(jià)、漏洞影響面評(píng)價(jià)、漏洞事件可能性評(píng)價(jià)等場(chǎng)景算法。
漏洞利用性評(píng)價(jià)基于漏洞確信度、訪問(wèn)路徑、環(huán)境要求、應(yīng)用權(quán)限和交互函數(shù)等元數(shù)據(jù)構(gòu)造響應(yīng)的數(shù)據(jù)模型。
漏洞影響面評(píng)價(jià)主要包括資產(chǎn)重要性(ACR)評(píng)價(jià)及漏洞的危害性評(píng)價(jià)。從資產(chǎn)角度收集包括資產(chǎn)的流量間訪問(wèn)關(guān)系、業(yè)務(wù)敏感請(qǐng)求,支持關(guān)聯(lián)設(shè)備類型、網(wǎng)絡(luò)區(qū)域等多類數(shù)據(jù)對(duì)資產(chǎn)的重要性進(jìn)行評(píng)價(jià),ACR數(shù)值越高,則資產(chǎn)價(jià)值量越大;漏洞危害性評(píng)價(jià)則更多依賴漏洞自身危害性關(guān)系、漏洞與攻擊事件關(guān)聯(lián)數(shù)量、攻擊事件影響等
漏洞事件可能性評(píng)價(jià)目前包括網(wǎng)絡(luò)曝光度評(píng)價(jià)、事件關(guān)聯(lián)統(tǒng)計(jì)等
•建設(shè)全量漏洞情報(bào)庫(kù)
除此之外,華云安面向公網(wǎng)捕獲威脅與漏洞情報(bào),通過(guò)關(guān)鍵詞和知識(shí)組構(gòu)造底層知識(shí)圖譜,依賴圖譜梳理漏洞cvss、首次發(fā)布時(shí)間、公開利用事件、公布PoC、Exp等多個(gè)底層數(shù)據(jù)間的關(guān)聯(lián)關(guān)系,用于模型計(jì)算。
傳統(tǒng)的漏洞優(yōu)先級(jí)大多采用CVSS評(píng)分進(jìn)行評(píng)估,而這樣“重漏洞輕資產(chǎn)”的評(píng)估方式則導(dǎo)致結(jié)果過(guò)于片面。任何漏洞只有依存在實(shí)體或非實(shí)體的資產(chǎn)上才有價(jià)值。因此華云安首創(chuàng)了基于風(fēng)險(xiǎn)的優(yōu)先級(jí)評(píng)估方法,方法分為資產(chǎn)維度和威脅維度:資產(chǎn)維度包含了“設(shè)備類型、設(shè)備能力、設(shè)備作用三個(gè)子項(xiàng)的評(píng)分;而威脅維度則會(huì)按照網(wǎng)絡(luò)曝光度、資產(chǎn)暴露度、資產(chǎn)漏洞等級(jí)進(jìn)行評(píng)分,所有的評(píng)分將采用深度學(xué)習(xí)模式進(jìn)行動(dòng)態(tài)調(diào)整,深度學(xué)習(xí)的融合為算法提供了無(wú)限的演進(jìn)性,隨著時(shí)間的推移使每個(gè)企業(yè)都能夠擁有適合自身的優(yōu)先級(jí)評(píng)估方式,使計(jì)算結(jié)果更加落地。
風(fēng)險(xiǎn)評(píng)估指標(biāo)
華云安基于大數(shù)據(jù)和知識(shí)圖譜架構(gòu)自主構(gòu)建了一套面向企業(yè)客戶的威脅與漏洞管理系統(tǒng)——靈洞。靈洞根據(jù)優(yōu)先級(jí)算法對(duì)漏洞進(jìn)行分類分級(jí),同時(shí)結(jié)合客戶的核心業(yè)務(wù),為客戶指出漏洞影響業(yè)務(wù)的范圍和其產(chǎn)生的危害后果,告知其相應(yīng)解決方案,滿足了海量數(shù)據(jù)的快速關(guān)聯(lián)和分析檢索的使用需求,幫助客戶關(guān)注“真正的風(fēng)險(xiǎn)”, 為漏洞精準(zhǔn)識(shí)別和安全風(fēng)險(xiǎn)發(fā)現(xiàn)提供助力。
靈洞威脅與漏洞管理系統(tǒng)
免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。
相關(guān)閱讀
-
阿寬開放透明車間,品控監(jiān)督覆蓋產(chǎn)品全...
2月18日下午,第一食品資訊前往四川白家阿寬食品產(chǎn)業(yè)股份有限公司(... -
智能測(cè)試助力企業(yè)實(shí)現(xiàn)業(yè)務(wù)場(chǎng)景數(shù)字化改...
近年來(lái),在人工智能、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等先進(jìn)技術(shù)的賦能下,萬(wàn)... -
《人工智能基礎(chǔ)設(shè)施發(fā)展態(tài)勢(shì)報(bào)告》發(fā)布...
人工智能基礎(chǔ)設(shè)施作為新基建的重要部分,是人工智能產(chǎn)業(yè)賦能經(jīng)濟(jì)社會(huì)... -
精心調(diào)校面面俱到 HyperX火星2游戲機(jī)械鍵盤
態(tài)度決定一切,這不僅是專業(yè)廠商立足的根本,也是每一款產(chǎn)品可以收... -
北京冬奧會(huì)背后的黑科技:訊飛聽見用A.I...
近期,全民關(guān)注的頂流無(wú)疑就是北京2022年冬奧會(huì),前有驚艷世界的天... -
草本魔力是什么長(zhǎng)肉鬼才?我家貓一個(gè)月...
擁有一只胖嘟嘟的軟萌小貓咪,是每一位鏟屎官的夢(mèng)想。那么如何讓貓...