一只南美洲亞馬遜河流域熱帶雨林中的蝴蝶，偶爾扇動(dòng)幾下翅膀，可以在兩周以后引起美國(guó)得克薩斯州的一場(chǎng)龍卷風(fēng)。一個(gè)微小的動(dòng)態(tài)事件可能帶來(lái)異常巨大的變故。而在信息安全領(lǐng)域，亦是如此，一個(gè)微不足道的未及時(shí)修補(bǔ)的漏洞，一次視若無(wú)睹的不合規(guī)配置操作，都可能導(dǎo)致重大安全事件爆發(fā)。

伴隨著網(wǎng)絡(luò)的發(fā)展，客戶IT資產(chǎn)迅速增加，而漏洞數(shù)量也在逐年攀升，這2年有爆發(fā)增長(zhǎng)趨勢(shì)。為客戶服務(wù)多年，綠盟科技一直在思考：漏洞很多，風(fēng)險(xiǎn)總在，什么樣的漏洞在什么樣的場(chǎng)景更可能遭到攻擊呢?能解答這一疑問(wèn)的方案，想必是會(huì)讓客戶趨之若鶩的。

從這樣的切實(shí)疑問(wèn)出發(fā)，綠盟科技認(rèn)為有效地聚焦并管控系統(tǒng)關(guān)鍵安全風(fēng)險(xiǎn)，才是標(biāo)本兼治的方案。該方案應(yīng)涵蓋關(guān)鍵風(fēng)險(xiǎn)的識(shí)別與感知，防范和修復(fù)、預(yù)防及分享等方面。全方位的風(fēng)險(xiǎn)監(jiān)測(cè)和防護(hù)機(jī)制，能幫助客戶有效識(shí)別關(guān)鍵風(fēng)險(xiǎn)，便于及時(shí)修復(fù)風(fēng)險(xiǎn)，在遭遇攻擊時(shí)能第一時(shí)間截?cái)喙翩湕l，為客戶避免更大的損失。

一次成功的攻擊由資產(chǎn)、威脅、脆弱性三要素組成，參考下圖內(nèi)容所示。

　　圖1 安全風(fēng)險(xiǎn)構(gòu)成示意圖

脆弱性來(lái)源則多種多樣，如系統(tǒng)漏洞、配置不合規(guī)、弱口令、應(yīng)用漏洞等。通常的脆弱性(例如CVE等)，只有與客戶資產(chǎn)相關(guān)聯(lián)，才會(huì)變成有實(shí)際載體的具體脆弱性，只有當(dāng)有實(shí)際載體的脆弱性被內(nèi)外部的某個(gè)威脅所利用，才會(huì)構(gòu)成一次成功的真實(shí)安全攻擊。由此可見(jiàn)，安全風(fēng)險(xiǎn)絕不是一成不變的，而當(dāng)某些特定事件發(fā)生時(shí)，實(shí)際風(fēng)險(xiǎn)可能迅速提升。因此考量風(fēng)險(xiǎn)等級(jí)，需要引入外部的威脅情報(bào)，例如是否有POC，攻擊熱度等，以體現(xiàn)出漏洞或資產(chǎn)的實(shí)時(shí)風(fēng)險(xiǎn)狀況;此外，客戶資產(chǎn)狀況也與風(fēng)險(xiǎn)等級(jí)密切相關(guān)，外部訪問(wèn)度、價(jià)值等級(jí)、重要性等，都會(huì)影響漏洞或威脅在風(fēng)險(xiǎn)構(gòu)成維度的權(quán)重。

　　圖2綠盟TVM脆弱性管理系統(tǒng)架構(gòu)

綠盟科技全方位風(fēng)險(xiǎn)監(jiān)控涵蓋全面的脆弱性管理，從安全攻擊的構(gòu)成源頭入手，結(jié)合客戶資產(chǎn)狀況，從實(shí)時(shí)漏洞視角清晰跟蹤資產(chǎn)的安全狀態(tài)、感知整體的安全風(fēng)險(xiǎn)。在獲取實(shí)時(shí)的威脅情報(bào)數(shù)據(jù)同時(shí)，綠盟分層風(fēng)險(xiǎn)量化模型可結(jié)合客戶情況定制，為客戶直觀展示整體風(fēng)險(xiǎn)狀況和細(xì)分風(fēng)險(xiǎn)優(yōu)先等級(jí)，給出推薦修復(fù)范圍，以便客戶聚焦關(guān)鍵風(fēng)險(xiǎn)，做到高風(fēng)險(xiǎn)的及時(shí)緩解和修復(fù)。此外，還能利用社區(qū)等分享機(jī)制，快速傳播解決方案、阻斷風(fēng)險(xiǎn)的擴(kuò)散。

綠盟分層風(fēng)險(xiǎn)量化模型

由于風(fēng)險(xiǎn)具有主觀相對(duì)性，風(fēng)險(xiǎn)評(píng)估模型要能適應(yīng)客戶環(huán)境條件方能保證結(jié)果的準(zhǔn)確合理性。一般的評(píng)估過(guò)程要素包括：評(píng)估者、模型、細(xì)分評(píng)估對(duì)象(風(fēng)險(xiǎn)構(gòu)成維度)、各維度評(píng)分區(qū)間。按照安全行業(yè)的定義，安全風(fēng)險(xiǎn)等同于安全潛在事故發(fā)生的可能性發(fā)生后果。其中的安全潛在事故就是一次成功的安全攻擊(successful exploit)，其構(gòu)成三要素：資產(chǎn)、脆弱性、威脅?；诎踩粼u(píng)判發(fā)生可能性，及業(yè)務(wù)損失，得到一次潛在事故的風(fēng)險(xiǎn)，如下圖示：

　　圖3 風(fēng)險(xiǎn)構(gòu)成示意圖

模型中目前考慮漏洞本身CVSS的基本訪問(wèn)性、時(shí)間、環(huán)境三個(gè)向量、漏洞外部熱度情報(bào)、漏洞是否有POC的情報(bào) 、資產(chǎn)權(quán)重、資產(chǎn)防護(hù)措施(暴露程度)，另外，對(duì)于資產(chǎn)，還區(qū)分單資產(chǎn)、多資產(chǎn)，資產(chǎn)群組等情況進(jìn)行評(píng)估，這些因素被稱(chēng)為權(quán)重因子，因子可以根據(jù)評(píng)估對(duì)象可考慮因素不同進(jìn)行擴(kuò)展。

以下表格展示了綠盟TVM風(fēng)險(xiǎn)模型中各維度權(quán)重因子的示例

　　表1 風(fēng)險(xiǎn)模型各維度因子示意

模型的基本原理就是基于各權(quán)重因子的影響，把原本基于CVSS的分值，向最高分值或最低分子邊際進(jìn)行聚集，比如一個(gè)漏洞的CVSS的分值為6，在某個(gè)時(shí)間段，突然其情報(bào)熱度大幅升高，則最終評(píng)分向10分最高分聚集。達(dá)到的效果就是，隨著漏洞熱度的提升，此漏洞的響應(yīng)級(jí)別也隨之快速增高，以期足夠引起注意。

實(shí)際上，系統(tǒng)的安全風(fēng)險(xiǎn)由多種潛在的安全事故所構(gòu)成，以上所述為一次潛在安全事故的風(fēng)險(xiǎn)，實(shí)際使用的風(fēng)險(xiǎn)評(píng)估對(duì)象可為：

單個(gè)資產(chǎn)風(fēng)險(xiǎn)值

域(資產(chǎn)群組)風(fēng)險(xiǎn)值

系統(tǒng)風(fēng)險(xiǎn)值

對(duì)于風(fēng)險(xiǎn)構(gòu)成中的維度和權(quán)重因子，系統(tǒng)提供默認(rèn)的配置，可由用戶定制和參與打分，風(fēng)險(xiǎn)評(píng)估結(jié)果為風(fēng)險(xiǎn)值，按照CVSS風(fēng)險(xiǎn)等級(jí)劃分評(píng)定風(fēng)險(xiǎn)類(lèi)別。

　　圖4 綠盟TVM分層風(fēng)險(xiǎn)量化模型

綠盟TVM系統(tǒng)采用CVSS安全等級(jí)劃分風(fēng)險(xiǎn)值，區(qū)間等級(jí)如下

這樣的風(fēng)險(xiǎn)模型使得整個(gè)系統(tǒng)的風(fēng)險(xiǎn)呈現(xiàn)通過(guò)橫向維度(風(fēng)險(xiǎn)值、威脅值、脆弱性值)和縱向維度(單資產(chǎn)維度、各層級(jí)的安全域維度、總體維度)立體呈現(xiàn)，展現(xiàn)風(fēng)險(xiǎn)全貌，以求見(jiàn)微知著。綠盟科技所提出的安全風(fēng)險(xiǎn)評(píng)估算法，不僅僅是面向某個(gè)主機(jī)或者資產(chǎn)，而是一個(gè)體系化的風(fēng)險(xiǎn)管理方案，方案納入全面脆弱性的同時(shí)，還引入了各類(lèi)外部威脅的實(shí)時(shí)影響，兼顧考慮了客戶資產(chǎn)等實(shí)際因素，給出了一個(gè)智能的從定性到定量的方法，從而使評(píng)估結(jié)果更能自適應(yīng)于網(wǎng)絡(luò)安全動(dòng)態(tài)變化的狀況。智能的模型給出明智的決定;明智的決定帶來(lái)更好的安全實(shí)踐;更好的安全實(shí)踐提高看待風(fēng)險(xiǎn)的視角;這些，就是高效率的、成功的安全管理過(guò)程。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。