見微知著-綠盟科技全方位安全風險監測技術洞析

　　一只南美洲亞馬遜河流域熱帶雨林中的蝴蝶，偶爾扇動幾下翅膀，可以在兩周以后引起美國得克薩斯州的一場龍卷風。一個微小的動態事件可能帶來異常巨大的變故。而在信息安全領域，亦是如此，一個微不足道的未及時修補的漏洞，一次視若無睹的不合規配置操作，都可能導致重大安全事件爆發。

　　伴隨著網絡的發展，客戶IT資產迅速增加，而漏洞數量也在逐年攀升，這2年有爆發增長趨勢。為客戶服務多年，綠盟科技一直在思考：漏洞很多，風險總在，什么樣的漏洞在什么樣的場景更可能遭到攻擊呢?能解答這一疑問的方案，想必是會讓客戶趨之若鶩的。

　　從這樣的切實疑問出發，綠盟科技認為有效地聚焦并管控系統關鍵安全風險，才是標本兼治的方案。該方案應涵蓋關鍵風險的識別與感知，防范和修復、預防及分享等方面。全方位的風險監測和防護機制，能幫助客戶有效識別關鍵風險，便于及時修復風險，在遭遇攻擊時能第一時間截斷攻擊鏈條，為客戶避免更大的損失。

　　一次成功的攻擊由資產、威脅、脆弱性三要素組成，參考下圖內容所示。

　　圖1 安全風險構成示意圖

　　脆弱性來源則多種多樣，如系統漏洞、配置不合規、弱口令、應用漏洞等。通常的脆弱性(例如CVE等)，只有與客戶資產相關聯，才會變成有實際載體的具體脆弱性，只有當有實際載體的脆弱性被內外部的某個威脅所利用，才會構成一次成功的真實安全攻擊。由此可見，安全風險絕不是一成不變的，而當某些特定事件發生時，實際風險可能迅速提升。因此考量風險等級，需要引入外部的威脅情報，例如是否有POC，攻擊熱度等，以體現出漏洞或資產的實時風險狀況;此外，客戶資產狀況也與風險等級密切相關，外部訪問度、價值等級、重要性等，都會影響漏洞或威脅在風險構成維度的權重。

　　圖2綠盟TVM脆弱性管理系統架構

　　綠盟科技全方位風險監控涵蓋全面的脆弱性管理，從安全攻擊的構成源頭入手，結合客戶資產狀況，從實時漏洞視角清晰跟蹤資產的安全狀態、感知整體的安全風險。在獲取實時的威脅情報數據同時，綠盟分層風險量化模型可結合客戶情況定制，為客戶直觀展示整體風險狀況和細分風險優先等級，給出推薦修復范圍，以便客戶聚焦關鍵風險，做到高風險的及時緩解和修復。此外，還能利用社區等分享機制，快速傳播解決方案、阻斷風險的擴散。

　　綠盟分層風險量化模型

　　由于風險具有主觀相對性，風險評估模型要能適應客戶環境條件方能保證結果的準確合理性。一般的評估過程要素包括：評估者、模型、細分評估對象(風險構成維度)、各維度評分區間。按照安全行業的定義，安全風險等同于安全潛在事故發生的可能性發生后果。其中的安全潛在事故就是一次成功的安全攻擊(successful exploit)，其構成三要素：資產、脆弱性、威脅?；诎踩粼u判發生可能性，及業務損失，得到一次潛在事故的風險，如下圖示：

　　圖3 風險構成示意圖

　　模型中目前考慮漏洞本身CVSS的基本訪問性、時間、環境三個向量、漏洞外部熱度情報、漏洞是否有POC的情報 、資產權重、資產防護措施(暴露程度)，另外，對于資產，還區分單資產、多資產，資產群組等情況進行評估，這些因素被稱為權重因子，因子可以根據評估對象可考慮因素不同進行擴展。

　　以下表格展示了綠盟TVM風險模型中各維度權重因子的示例

　　表1 風險模型各維度因子示意

　　模型的基本原理就是基于各權重因子的影響，把原本基于CVSS的分值，向最高分值或最低分子邊際進行聚集，比如一個漏洞的CVSS的分值為6，在某個時間段，突然其情報熱度大幅升高，則最終評分向10分最高分聚集。達到的效果就是，隨著漏洞熱度的提升，此漏洞的響應級別也隨之快速增高，以期足夠引起注意。

　　實際上，系統的安全風險由多種潛在的安全事故所構成，以上所述為一次潛在安全事故的風險，實際使用的風險評估對象可為：

　　單個資產風險值

　　域(資產群組)風險值

　　系統風險值

對于風險構成中的維度和權重因子，系統提供默認的配置，可由用戶定制和參與打分，風險評估結果為風險值，按照CVSS風險等級劃分評定風險類別。

　　圖4 綠盟TVM分層風險量化模型

　　綠盟TVM系統采用CVSS安全等級劃分風險值，區間等級如下

　　這樣的風險模型使得整個系統的風險呈現通過橫向維度(風險值、威脅值、脆弱性值)和縱向維度(單資產維度、各層級的安全域維度、總體維度)立體呈現，展現風險全貌，以求見微知著。綠盟科技所提出的安全風險評估算法，不僅僅是面向某個主機或者資產，而是一個體系化的風險管理方案，方案納入全面脆弱性的同時，還引入了各類外部威脅的實時影響，兼顧考慮了客戶資產等實際因素，給出了一個智能的從定性到定量的方法，從而使評估結果更能自適應于網絡安全動態變化的狀況。智能的模型給出明智的決定;明智的決定帶來更好的安全實踐;更好的安全實踐提高看待風險的視角;這些，就是高效率的、成功的安全管理過程。

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。