国产精品夜色视频一级区_hh99m福利毛片_国产一区二区成人久久免费影院_伊人久久大香线蕉综合影院75_国产精品久久果冻传媒

您的位置:首頁(yè) >熱點(diǎn) >

華云安·ASM技術(shù)篇:VPT技術(shù)的本土化探索與實(shí)踐

2021-12-27 10:41:46    來(lái)源:榕城網(wǎng)

安全的本質(zhì)是動(dòng)態(tài)對(duì)抗,將其映射到漏洞管理領(lǐng)域就是漏洞不斷產(chǎn)生和不斷快速響應(yīng)的過(guò)程。在有限資源下,實(shí)現(xiàn)投入的回報(bào)收益最大化是漏洞管理的核心目標(biāo)。為了達(dá)成該目標(biāo),并將合規(guī)驅(qū)動(dòng)轉(zhuǎn)化為攻防實(shí)戰(zhàn)驅(qū)動(dòng)安全管理工作,我們引進(jìn)VPT技術(shù)應(yīng)用于日常漏洞管理工作體系建設(shè)。本文將就該技術(shù)實(shí)踐中的思考和過(guò)程與大家分享。

VPT技術(shù)起源

VPT全稱為Vulnerability prioritization technology,意為弱點(diǎn)優(yōu)先級(jí)技術(shù),被廣泛用于漏洞評(píng)估領(lǐng)域。它是全球知名咨詢公司Gartner在2019年的《A Guide to Choosing a Vulnerability Assessment Solution》(Gartner,2019.04)一文中首次提出的。Gartner示意:“到2022年,使用基于風(fēng)險(xiǎn)的漏洞管理方法的組織,會(huì)減少80%的被攻擊的可能”,認(rèn)為針對(duì)漏洞的管理應(yīng)該以縮小實(shí)際被攻擊可能性為根本目的。

在Gartner的標(biāo)準(zhǔn)定義中,對(duì)VPT提了以下技術(shù)點(diǎn):

• VA telemetry,即漏洞評(píng)估測(cè)試,主要是指基礎(chǔ)的漏洞數(shù)據(jù)提供和目標(biāo)檢測(cè)方式,對(duì)目標(biāo)系統(tǒng)進(jìn)行漏洞檢測(cè)和安全性危害評(píng)價(jià);

•Asset criticality context即資產(chǎn)重要性關(guān)系,主要是指針對(duì)弱點(diǎn)所在的資產(chǎn),站在非安全視角評(píng)估資產(chǎn)重要性以納入弱點(diǎn)影響評(píng)價(jià),廣義資產(chǎn)包含服務(wù)器、網(wǎng)站業(yè)務(wù)、接口、IoT設(shè)備等;

• Environment context即環(huán)境關(guān)系,基于網(wǎng)絡(luò)配置情況、安全防御情況等評(píng)價(jià)弱點(diǎn)的影響面和損失價(jià)值;

• Multiple threat intelligence即海量威脅情報(bào),這里的情報(bào)不是威脅情報(bào),主要是弱點(diǎn)的情報(bào)信息,包括漏洞嚴(yán)重性評(píng)分 (CVSS)、修復(fù)的難易程度、漏洞的發(fā)布日期、易受攻擊的軟件項(xiàng)目的流行程度以及發(fā)現(xiàn)漏洞的應(yīng)用程序類型等。

VPT技術(shù)的本土化思考

VPT技術(shù)的主要目的是在有限的時(shí)間內(nèi),盡可能多的降低被攻擊的風(fēng)險(xiǎn),就像在降低SoC/SIEM的無(wú)效告警一樣,我們需要從威脅、影響、可修復(fù)性三個(gè)方面對(duì)漏洞處理優(yōu)先級(jí)排序,比漏洞檢測(cè)更進(jìn)一步的實(shí)現(xiàn)了基于風(fēng)險(xiǎn)的弱點(diǎn)管理。但從VPT技術(shù)落地的角度而言,我們需要更多的考慮如何將它本土化。

VPT技術(shù)關(guān)注重點(diǎn)不是漏洞,而是攻擊面。它是一種動(dòng)態(tài)對(duì)抗思想,從防守角度在一定時(shí)間范圍內(nèi),最大限度的縮小已有攻擊面可能帶來(lái)的損失。在本土化背景下,該思想的落地場(chǎng)景主要在于攻防演練和關(guān)基保護(hù)等需要真實(shí)防范攻擊的安全場(chǎng)景,其中VPT的價(jià)值不僅是降低工時(shí)和提升效率,更要兼顧考慮指導(dǎo)安全響應(yīng)和避免安全責(zé)任這兩項(xiàng)附加價(jià)值。VPT應(yīng)用在國(guó)內(nèi)不得不考慮以下幾點(diǎn):

•VPT需要站在業(yè)務(wù)角度進(jìn)行評(píng)價(jià)

在評(píng)價(jià)漏洞時(shí)加入對(duì)業(yè)務(wù)影響性,并將評(píng)價(jià)的關(guān)鍵因素呈現(xiàn)出來(lái),會(huì)使得業(yè)務(wù)部門對(duì)安全部門提出的處置優(yōu)先級(jí)更易理解。該評(píng)價(jià)不是簡(jiǎn)單的根據(jù)漏洞所在資產(chǎn)進(jìn)行,而是需要更具象到漏洞可能造成的損失。

•VPT需要考慮到國(guó)內(nèi)老舊信息資產(chǎn)響應(yīng)實(shí)操性的問(wèn)題

我國(guó)IT數(shù)字化建設(shè)發(fā)展極為迅速,但由于一些歷史原因積累了較多老舊的信息資產(chǎn),這些資產(chǎn)的漏洞修補(bǔ)會(huì)比較困難。如果不考慮漏洞的可修復(fù)性,反而會(huì)給業(yè)務(wù)部門增加很多負(fù)擔(dān),所以VPT需要建立對(duì)可修復(fù)性的建議和標(biāo)記。

•VPT需要符合中國(guó)的網(wǎng)絡(luò)安全相關(guān)規(guī)定

應(yīng)用VPT技術(shù)對(duì)弱點(diǎn)進(jìn)行評(píng)價(jià)時(shí)需要考慮我國(guó)的相關(guān)規(guī)定,如《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》、《GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng) 估規(guī)范》。在《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》中詳細(xì)定義了漏洞指標(biāo)類分級(jí)、漏洞技術(shù)分級(jí)、漏洞綜合分級(jí)的方法對(duì)漏洞進(jìn)行評(píng)價(jià),包括不限于被利用性指標(biāo)、影響程度指標(biāo)等。

VPT技術(shù)的本土化實(shí)踐

VPT技術(shù)雖然一經(jīng)推出即受到行業(yè)領(lǐng)先企業(yè)的追捧,但在國(guó)內(nèi)的落地與實(shí)踐并未展開。直到2020年,由華云安參與制定的《信息安全技術(shù)—網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》(GB/T 30279-2020)正式發(fā)布,結(jié)合了《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984-2007)的風(fēng)險(xiǎn)評(píng)估理念,為我國(guó)基于風(fēng)險(xiǎn)進(jìn)行漏洞的評(píng)級(jí)和管理提供了本土化依據(jù)和方法。

華云安在VPT技術(shù)實(shí)踐中,運(yùn)用多種技術(shù)手段提高評(píng)價(jià)數(shù)據(jù)維度與精度,提高實(shí)戰(zhàn)攻防場(chǎng)景下VPT技術(shù)的應(yīng)用效果。

•構(gòu)建評(píng)價(jià)因子的數(shù)據(jù)模型

弱點(diǎn)優(yōu)先級(jí)評(píng)價(jià)技術(shù)就是安全弱點(diǎn)發(fā)展成安全事件的可能性。在此基礎(chǔ)上,華云安構(gòu)建了漏洞利用性評(píng)價(jià)、漏洞影響面評(píng)價(jià)、漏洞事件可能性評(píng)價(jià)等場(chǎng)景算法。

漏洞利用性評(píng)價(jià)基于漏洞確信度、訪問(wèn)路徑、環(huán)境要求、應(yīng)用權(quán)限和交互函數(shù)等元數(shù)據(jù)構(gòu)造響應(yīng)的數(shù)據(jù)模型。

漏洞影響面評(píng)價(jià)主要包括資產(chǎn)重要性(ACR)評(píng)價(jià)及漏洞的危害性評(píng)價(jià)。從資產(chǎn)角度收集包括資產(chǎn)的流量間訪問(wèn)關(guān)系、業(yè)務(wù)敏感請(qǐng)求,支持關(guān)聯(lián)設(shè)備類型、網(wǎng)絡(luò)區(qū)域等多類數(shù)據(jù)對(duì)資產(chǎn)的重要性進(jìn)行評(píng)價(jià),ACR數(shù)值越高,則資產(chǎn)價(jià)值量越大;漏洞危害性評(píng)價(jià)則更多依賴漏洞自身危害性關(guān)系、漏洞與攻擊事件關(guān)聯(lián)數(shù)量、攻擊事件影響等

漏洞事件可能性評(píng)價(jià)目前包括網(wǎng)絡(luò)曝光度評(píng)價(jià)、事件關(guān)聯(lián)統(tǒng)計(jì)等

•建設(shè)全量漏洞情報(bào)庫(kù)

除此之外,華云安面向公網(wǎng)捕獲威脅與漏洞情報(bào),通過(guò)關(guān)鍵詞和知識(shí)組構(gòu)造底層知識(shí)圖譜,依賴圖譜梳理漏洞cvss、首次發(fā)布時(shí)間、公開利用事件、公布PoC、Exp等多個(gè)底層數(shù)據(jù)間的關(guān)聯(lián)關(guān)系,用于模型計(jì)算。

傳統(tǒng)的漏洞優(yōu)先級(jí)大多采用CVSS評(píng)分進(jìn)行評(píng)估,而這樣“重漏洞輕資產(chǎn)”的評(píng)估方式則導(dǎo)致結(jié)果過(guò)于片面。任何漏洞只有依存在實(shí)體或非實(shí)體的資產(chǎn)上才有價(jià)值。因此華云安首創(chuàng)了基于風(fēng)險(xiǎn)的優(yōu)先級(jí)評(píng)估方法,方法分為資產(chǎn)維度和威脅維度:資產(chǎn)維度包含了“設(shè)備類型、設(shè)備能力、設(shè)備作用三個(gè)子項(xiàng)的評(píng)分;而威脅維度則會(huì)按照網(wǎng)絡(luò)曝光度、資產(chǎn)暴露度、資產(chǎn)漏洞等級(jí)進(jìn)行評(píng)分,所有的評(píng)分將采用深度學(xué)習(xí)模式進(jìn)行動(dòng)態(tài)調(diào)整,深度學(xué)習(xí)的融合為算法提供了無(wú)限的演進(jìn)性,隨著時(shí)間的推移使每個(gè)企業(yè)都能夠擁有適合自身的優(yōu)先級(jí)評(píng)估方式,使計(jì)算結(jié)果更加落地。

風(fēng)險(xiǎn)評(píng)估指標(biāo)

華云安基于大數(shù)據(jù)和知識(shí)圖譜架構(gòu)自主構(gòu)建了一套面向企業(yè)客戶的威脅與漏洞管理系統(tǒng)——靈洞。靈洞根據(jù)優(yōu)先級(jí)算法對(duì)漏洞進(jìn)行分類分級(jí),同時(shí)結(jié)合客戶的核心業(yè)務(wù),為客戶指出漏洞影響業(yè)務(wù)的范圍和其產(chǎn)生的危害后果,告知其相應(yīng)解決方案,滿足了海量數(shù)據(jù)的快速關(guān)聯(lián)和分析檢索的使用需求,幫助客戶關(guān)注“真正的風(fēng)險(xiǎn)”, 為漏洞精準(zhǔn)識(shí)別和安全風(fēng)險(xiǎn)發(fā)現(xiàn)提供助力。

靈洞威脅與漏洞管理系統(tǒng)

免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。

關(guān)鍵詞: 本土化 探索 實(shí)踐

相關(guān)閱讀