赵阳:企业安全风险可视与评估

BJHY2334

赵阳  Tenable中国区经理

摘要:企业IT技术日新月异,随着各种新的数字化技术普遍应用各个领域(IOT,SCADA,Cloud,Web,DevOps),企业暴露在外部攻击面的风险也成倍增加。2018全年被公布的漏洞数量预计将超过16,500,相比2017年增加27%。面对如此众多的漏洞问题及各种多样化攻击手段(蠕虫式勒索病毒,ICS攻击,挖矿木马等),安全团队如何能有效的发现企业内部真正的安全风险并及时做出补救?显然,传统的安全技术并不能完全满足新的需求。Tenable将探讨,如何利用最新的Cyber Exposure技术,高效管理和度量企业的资产攻击面,加速理解和减少企业安全风险。

 IT技术的改变,先从架构来看,传统的看,大家都在建数据中心,今天越来越多的客户接受了云,尤其是国外、美国,绝大多数的客户对公有云信任程度远远高于自建数据中心。另外,看到工作的环境,原来在实体机开发,现在是虚拟机、容器化,可以看到整个的趋势在发生改变。

在开发的环境下,原来为了开发项目准备很多的人专门开发一个程序,今天全都是微服务、DEVOPS、敏捷开发,整个开发环境也产生大量的改变。此外,原来只关心计算技术、笔记本电脑、台式机、网络设备,今天看到2019年底激活大概多少个IOT设备?是90亿IOT设备。所以你面临的终端会越来越多。

原来总觉得内网是绝对安全的,今天来看也不一定。我们看到到2020年底有25%的攻击是针对OT设备。整体来看,和传统的IT,不管从方法、从设备、从技术都产生了巨大的变化。

再来看攻击的方面,原来大家是窃取数据,今天大家越来越多听到的是勒索、听到了蠕虫。原来的问题只是南北向打进来,很少有东西向的穿越。今天可能一台机器感染会横向传播,导致若干台、数千台设备中招。说明攻击的方式也在发生改变,还有大量工控设备。你可以看到索尼的问题,拉斯维加斯赌场的问题,都是通过工控的设备。比如说,温控系统、摄像头系统来进行攻击。现在增加了新的攻击手段是挖矿,不是直接攻击你的数据,而是占用你的CPU和内存,用计算机资源帮助他获取另外的利益,可以看到攻击的手段各式各样。

这些的原因是什么?数字化转型。传统看安全团队负责的是服务器、技术架构,今天看各种数字化转型蓬勃发展,有应用服务器、虚拟化、云、容器,企业有工控安全、内网企业IOT设备,越来越多的全都是暴露在互联网侧,导致了你面临攻击的风险会越来越大。如果用传统的方法只关注在服务器、PC、网络设备,你会发现你会面临越来越多的风险。

在看Gartner报告怎么讲?到2020年底,所有已知安全事件中99%是通过被利用的漏洞进行,事件中99%是已知。说明没有那么多的APP,没有那么多的未知威胁和攻击。如果你没有处理好已知问题,而去把大量的资金或技术投在防止未知威胁是不应该的。我们的报告可以看到什么信息?可以看到大概90分钟就有高危漏洞产生,客户里面平均8千到9千每个月新增漏洞数,一半以上客户都受过网络攻击。可以看到是非常严重的现象。

今天看过去的漏洞数据,这是Gartner的报告。可以看到十年前并不是太多,一年几千个漏洞,2017年达到14000个,2018年是16000个,可以看到数量是非常庞大的。具体分析来看,7%的漏洞是可利用的,你算算有多少?也得有好几千个。通过传统的对漏洞优先级评分可以看到超过7的63%,超过9的12%。如果12%的话,基本上是两千以上,数量太庞大了。对于企业来说、对于用户来说,什么是真正的安全风险?是不是把所有的漏洞都发现掉了?是不是把所有的攻击都发现掉了?显然不是。

对用户的安全风险是什么?上面的图非常好,我非常的喜欢这幅图,是针对用户的核心业务能产生攻击的漏洞才应该是你真正关注最优先级处理的问题,这才是你真正的安全风险,而不是全部的发现。这对于企业来说是非常重要和需要看的点。

今天来看,把安全的投资分成三个方面:事前、事中和事后。有很多的企业在投资大量的预算和资金在这部分,我们叫做“安全的事中防御”,买了防病毒、DLP等等,也有一些在新建C情报,我们叫“事后的回促系统”,没错都是有价值的,对于安全的整个链条来看都会有价值,但往往忽略的是事前到底有什么样的安全风险、有什么样的问题。

四个问题,在你们的企业中是否有被利用的风险?如果利用你现在的平台来看是否能发现?这些风险的修补等级是怎么样的?是高还是低?怎样才能降低被利用的风险?以及跟同行、跟金融、跟制造业相比到底处在什么样的安全水平。我相信你如果不能做很好平衡投资,如果光投资实时保护,还是没有太多的意义。

曾经有个金融客户经过红蓝对抗以后CSO得出结论是什么?有Gartner上线的(,不讲哪个公司的产品,仍然被打穿。说明什么?没有不透风的墙,纯靠被动防御或监测系统是不能完全发现和预防你风险的。传统来看,企业客户最喜欢投资的一定是保护,他见效最快、最直接。今天来看,雅虎、万豪、,去年出了很大的安全事故,他买了什么样的产品?把大量的资金投在风险可视部分。做CSO认为是平衡的投资,而不单单只是投某一块,这是从厂商角度的建议。

今天来看问题是什么?可视化的能力够不够?你有多少资产?举个最简单的例子,最近比较热门的话题是RDP0708,Web(英),找到可能受到影响、可能被攻击的资产是第一步,但有什么方法去找?静态数据。准吗?以数据来看静态数据往往不准,和实际数据存在巨大的偏差。曾经跟一个客户CSO聊,上线系统非常的规范,根本不可能说系统上线了不知道,应用装上去不知道。可能你的流程非常的规范,问题是什么?买了第三方产品,里面带了Web(音)是以第三方平台包进去的,这时候再有更好静态的表的管理系统也发现不了资产。对于资产的存量可视不光是IP、不光是端口,包括应用路口、应用版本全部具备可视。

缺乏优先级处理是什么?大家觉得我有漏洞扫描的产品就够了,能把所有的漏洞数全都扫出来。举一个帮中国金融客户做测试的时候,扫出12万中危以上的漏洞,2500个资产对应12万漏洞。刚刚史总说一个券商的安全团队5个人左右,怎么处理12个洞?显然不行。假如说,把中危去掉看高危和严重的仍然有6万个,数字非常的庞大。哪些洞是产生实质威胁的是最大的,而不是高危严重的,这是很大的问题。

缺乏商业的度量,一台办公电脑和业务服务器权重是一样的吗?它俩有同样风险的时候先处理哪个、后处理哪个?从资产的维度、从应用的维度,基于度量。坦白地说,现在也没有,完全凭手工、凭经验去做。现在的问题在哪里?有些问题觉得我有了扫描类产品、我有了资产扫描的产品就有了安全风险可视能力。坦然说,你有这两样也回答不了上面的三个问题。

原来评价一个风险是高危、中危、低危,这是传统的攻击。今天来看漏洞的数据不停地增长,看高危严重也仍然太多,仍然不能帮用户从海量风险中分析出来哪些是真正的对他能产生实质威胁,甚至攻击的风险是什么。优先级分析传统的看到高危、严重、中危。新的聚焦体系在哪里?如何让真正的威胁能够更少,真正让用户处理的威胁更小。目标能让我有时间,比如说,今天只能修50个,能告诉我哪50个最重要吗?哪些最优先处理的?重要的是从三个维度将风险能够智能分析出来。哪三个维度?资产的价值/资产的严重性、漏洞数据、攻击数据。攻击数据包括漏洞情报,漏洞是不是能利用。现在在暗网和黑客界是不是有攻击脚本?是不是有大量的黑客利用漏洞进行漏洞攻击。所有的综合判断帮你分析哪些是不是真正要处理。

所以我们公司做了优先级预测系统,通过150多项不同维度的数值帮你判断修补。此外,漏洞评分包括有没有攻击的模式、攻击的脚本有没有,包括可利用方面去评估。漏洞情报,暗网上有POC,在Gartner有没有公布等等。举0708最最关心的度,刚出来评分只有5.9,CVSS角度认为这个洞可被利用,利用复杂度不是很高,所以给了很高的分。值到上个礼拜,我们的评分才会被它调成9.9。从5.9调到9.9的原因是什么?在公开出现攻击脚本被广泛的散播在各个暗网以及黑客渠道里面。

洞刚出来没有实质的威胁,修补优先级并不是最高的。但真正有了黑客已经有了POC脚本有了攻击,显然你最先修的是这个洞。我们可以让客户真正聚焦在3%的风险上,而不是让你在海量漏洞中发现了一堆扔给运维部门,结果我修的太多了,这可能是和传统的厂商有不太一样的观点。

重要的是安全可视的平台需要做什么,需要有哪些可视能力?风险可视能力,包括资产的维度。刚刚讲了开放的端口、IP应用、应用版本、路径这些需要有非常可视能力,能够清楚的知道到底有什么样的资产。对于漏洞风险可视能力,不管是在容器层面、在虚拟化层面、在操作系统、在中间件数据库、Web应用安全风险可视能力。可视能力来了以后最重要的是能够分析,当我去除杂疑能够聚焦在真正产生实际威胁的是什么。度量能力是什么?要跟同行和制定策略的去比,到底现在做的好还是不好,这样的平台才能真正帮你带来风险完全可视能力。

目前,Tenable全球有2700家公司,进入中国三年不到的时间,在中国有了近三十家券商、两个交易所、四个大银行以及高科技公司,包括华为、中信等等。我们的产品涵盖内容相对比较多,是安全里面更细分的一块,有相应的解决方案。

上一篇:史经伟:企业安全演进实践之路

下一篇:Nick FitzGerald:利用全方位网络可视化,提升企业终端安全防御