見微知著-綠盟科技全方位安全風險監(jiān)測技術(shù)洞析

一只南美洲亞馬遜河流域熱帶雨林中的蝴蝶,偶爾扇動幾下翅膀,可以在兩周以后引起美國得克薩斯州的一場龍卷風。一個微小的動態(tài)事件可能帶來異常巨大的變故。而在信息安全領(lǐng)域,亦是如此,一個微不足道的未及時修補的漏洞,一次視若無睹的不合規(guī)配置操作,都可能導致重大安全事件爆發(fā)。

伴隨著網(wǎng)絡的發(fā)展,客戶IT資產(chǎn)迅速增加,而漏洞數(shù)量也在逐年攀升,這2年有爆發(fā)增長趨勢。為客戶服務多年,綠盟科技一直在思考:漏洞很多,風險總在,什么樣的漏洞在什么樣的場景更可能遭到攻擊呢?能解答這一疑問的方案,想必是會讓客戶趨之若鶩的。

從這樣的切實疑問出發(fā),綠盟科技認為有效地聚焦并管控系統(tǒng)關(guān)鍵安全風險,才是標本兼治的方案。該方案應涵蓋關(guān)鍵風險的識別與感知,防范和修復、預防及分享等方面。全方位的風險監(jiān)測和防護機制,能幫助客戶有效識別關(guān)鍵風險,便于及時修復風險,在遭遇攻擊時能第一時間截斷攻擊鏈條,為客戶避免更大的損失。

一次成功的攻擊由資產(chǎn)、威脅、脆弱性三要素組成,參考下圖內(nèi)容所示。

見微知著-綠盟科技全方位安全風險監(jiān)測技術(shù)洞析

  圖1 安全風險構(gòu)成示意圖

脆弱性來源則多種多樣,如系統(tǒng)漏洞、配置不合規(guī)、弱口令、應用漏洞等。通常的脆弱性(例如CVE等),只有與客戶資產(chǎn)相關(guān)聯(lián),才會變成有實際載體的具體脆弱性,只有當有實際載體的脆弱性被內(nèi)外部的某個威脅所利用,才會構(gòu)成一次成功的真實安全攻擊。由此可見,安全風險絕不是一成不變的,而當某些特定事件發(fā)生時,實際風險可能迅速提升。因此考量風險等級,需要引入外部的威脅情報,例如是否有POC,攻擊熱度等,以體現(xiàn)出漏洞或資產(chǎn)的實時風險狀況;此外,客戶資產(chǎn)狀況也與風險等級密切相關(guān),外部訪問度、價值等級、重要性等,都會影響漏洞或威脅在風險構(gòu)成維度的權(quán)重。

見微知著-綠盟科技全方位安全風險監(jiān)測技術(shù)洞析

  圖2綠盟TVM脆弱性管理系統(tǒng)架構(gòu)

綠盟科技全方位風險監(jiān)控涵蓋全面的脆弱性管理,從安全攻擊的構(gòu)成源頭入手,結(jié)合客戶資產(chǎn)狀況,從實時漏洞視角清晰跟蹤資產(chǎn)的安全狀態(tài)、感知整體的安全風險。在獲取實時的威脅情報數(shù)據(jù)同時,綠盟分層風險量化模型可結(jié)合客戶情況定制,為客戶直觀展示整體風險狀況和細分風險優(yōu)先等級,給出推薦修復范圍,以便客戶聚焦關(guān)鍵風險,做到高風險的及時緩解和修復。此外,還能利用社區(qū)等分享機制,快速傳播解決方案、阻斷風險的擴散。

綠盟分層風險量化模型

由于風險具有主觀相對性,風險評估模型要能適應客戶環(huán)境條件方能保證結(jié)果的準確合理性。一般的評估過程要素包括:評估者、模型、細分評估對象(風險構(gòu)成維度)、各維度評分區(qū)間。按照安全行業(yè)的定義,安全風險等同于安全潛在事故發(fā)生的可能性發(fā)生后果。其中的安全潛在事故就是一次成功的安全攻擊(successful exploit),其構(gòu)成三要素:資產(chǎn)、脆弱性、威脅?;诎踩粼u判發(fā)生可能性,及業(yè)務損失,得到一次潛在事故的風險,如下圖示:

見微知著-綠盟科技全方位安全風險監(jiān)測技術(shù)洞析

  圖3 風險構(gòu)成示意圖

模型中目前考慮漏洞本身CVSS的基本訪問性、時間、環(huán)境三個向量、漏洞外部熱度情報、漏洞是否有POC的情報 、資產(chǎn)權(quán)重、資產(chǎn)防護措施(暴露程度),另外,對于資產(chǎn),還區(qū)分單資產(chǎn)、多資產(chǎn),資產(chǎn)群組等情況進行評估,這些因素被稱為權(quán)重因子,因子可以根據(jù)評估對象可考慮因素不同進行擴展。

以下表格展示了綠盟TVM風險模型中各維度權(quán)重因子的示例

見微知著-綠盟科技全方位安全風險監(jiān)測技術(shù)洞析

  表1 風險模型各維度因子示意

模型的基本原理就是基于各權(quán)重因子的影響,把原本基于CVSS的分值,向最高分值或最低分子邊際進行聚集,比如一個漏洞的CVSS的分值為6,在某個時間段,突然其情報熱度大幅升高,則最終評分向10分最高分聚集。達到的效果就是,隨著漏洞熱度的提升,此漏洞的響應級別也隨之快速增高,以期足夠引起注意。

實際上,系統(tǒng)的安全風險由多種潛在的安全事故所構(gòu)成,以上所述為一次潛在安全事故的風險,實際使用的風險評估對象可為:

單個資產(chǎn)風險值

域(資產(chǎn)群組)風險值

系統(tǒng)風險值

對于風險構(gòu)成中的維度和權(quán)重因子,系統(tǒng)提供默認的配置,可由用戶定制和參與打分,風險評估結(jié)果為風險值,按照CVSS風險等級劃分評定風險類別。

見微知著-綠盟科技全方位安全風險監(jiān)測技術(shù)洞析

  圖4 綠盟TVM分層風險量化模型

綠盟TVM系統(tǒng)采用CVSS安全等級劃分風險值,區(qū)間等級如下

見微知著-綠盟科技全方位安全風險監(jiān)測技術(shù)洞析

這樣的風險模型使得整個系統(tǒng)的風險呈現(xiàn)通過橫向維度(風險值、威脅值、脆弱性值)和縱向維度(單資產(chǎn)維度、各層級的安全域維度、總體維度)立體呈現(xiàn),展現(xiàn)風險全貌,以求見微知著。綠盟科技所提出的安全風險評估算法,不僅僅是面向某個主機或者資產(chǎn),而是一個體系化的風險管理方案,方案納入全面脆弱性的同時,還引入了各類外部威脅的實時影響,兼顧考慮了客戶資產(chǎn)等實際因素,給出了一個智能的從定性到定量的方法,從而使評估結(jié)果更能自適應于網(wǎng)絡安全動態(tài)變化的狀況。智能的模型給出明智的決定;明智的決定帶來更好的安全實踐;更好的安全實踐提高看待風險的視角;這些,就是高效率的、成功的安全管理過程。

免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2018-12-21
見微知著-綠盟科技全方位安全風險監(jiān)測技術(shù)洞析
一只南美洲亞馬遜河流域熱帶雨林中的蝴蝶,偶爾扇動幾下翅膀,可以在兩周以后引起美國得克薩斯州的一場龍卷風。一個微小的動態(tài)事件可能帶來異常巨大的變故。

長按掃碼 閱讀全文