一只南美洲亞馬遜河流域熱帶雨林中的蝴蝶，偶爾扇動(dòng)幾下翅膀，可以在兩周以后引起美國得克薩斯州的一場龍卷風(fēng)。一個(gè)微小的動(dòng)態(tài)事件可能帶來異常巨大的變故。而在信息安全領(lǐng)域，亦是如此，一個(gè)微不足道的未及時(shí)修補(bǔ)的漏洞，一次視若無睹的不合規(guī)配置操作，都可能導(dǎo)致重大安全事件爆發(fā)。

　　伴隨著網(wǎng)絡(luò)的發(fā)展，客戶IT資產(chǎn)迅速增加，而漏洞數(shù)量也在逐年攀升，這2年有爆發(fā)增長趨勢。為客戶服務(wù)多年，綠盟科技一直在思考：漏洞很多，風(fēng)險(xiǎn)總在，什么樣的漏洞在什么樣的場景更可能遭到攻擊呢?能解答這一疑問的方案，想必是會(huì)讓客戶趨之若鶩的。

　　從這樣的切實(shí)疑問出發(fā)，綠盟科技認(rèn)為有效地聚焦并管控系統(tǒng)關(guān)鍵安全風(fēng)險(xiǎn)，才是標(biāo)本兼治的方案。該方案應(yīng)涵蓋關(guān)鍵風(fēng)險(xiǎn)的識(shí)別與感知，防范和修復(fù)、預(yù)防及分享等方面。全方位的風(fēng)險(xiǎn)監(jiān)測和防護(hù)機(jī)制，能幫助客戶有效識(shí)別關(guān)鍵風(fēng)險(xiǎn)，便于及時(shí)修復(fù)風(fēng)險(xiǎn)，在遭遇攻擊時(shí)能第一時(shí)間截?cái)喙翩湕l，為客戶避免更大的損失。

　　一次成功的攻擊由資產(chǎn)、威脅、脆弱性三要素組成，參考下圖內(nèi)容所示。

　　圖1 安全風(fēng)險(xiǎn)構(gòu)成示意圖

　　脆弱性來源則多種多樣，如系統(tǒng)漏洞、配置不合規(guī)、弱口令、應(yīng)用漏洞等。通常的脆弱性(例如CVE等)，只有與客戶資產(chǎn)相關(guān)聯(lián)，才會(huì)變成有實(shí)際載體的具體脆弱性，只有當(dāng)有實(shí)際載體的脆弱性被內(nèi)外部的某個(gè)威脅所利用，才會(huì)構(gòu)成一次成功的真實(shí)安全攻擊。由此可見，安全風(fēng)險(xiǎn)絕不是一成不變的，而當(dāng)某些特定事件發(fā)生時(shí)，實(shí)際風(fēng)險(xiǎn)可能迅速提升。因此考量風(fēng)險(xiǎn)等級(jí)，需要引入外部的威脅情報(bào)，例如是否有POC，攻擊熱度等，以體現(xiàn)出漏洞或資產(chǎn)的實(shí)時(shí)風(fēng)險(xiǎn)狀況;此外，客戶資產(chǎn)狀況也與風(fēng)險(xiǎn)等級(jí)密切相關(guān)，外部訪問度、價(jià)值等級(jí)、重要性等，都會(huì)影響漏洞或威脅在風(fēng)險(xiǎn)構(gòu)成維度的權(quán)重。

　　圖2綠盟TVM脆弱性管理系統(tǒng)架構(gòu)

　　綠盟科技全方位風(fēng)險(xiǎn)監(jiān)控涵蓋全面的脆弱性管理，從安全攻擊的構(gòu)成源頭入手，結(jié)合客戶資產(chǎn)狀況，從實(shí)時(shí)漏洞視角清晰跟蹤資產(chǎn)的安全狀態(tài)、感知整體的安全風(fēng)險(xiǎn)。在獲取實(shí)時(shí)的威脅情報(bào)數(shù)據(jù)同時(shí)，綠盟分層風(fēng)險(xiǎn)量化模型可結(jié)合客戶情況定制，為客戶直觀展示整體風(fēng)險(xiǎn)狀況和細(xì)分風(fēng)險(xiǎn)優(yōu)先等級(jí)，給出推薦修復(fù)范圍，以便客戶聚焦關(guān)鍵風(fēng)險(xiǎn)，做到高風(fēng)險(xiǎn)的及時(shí)緩解和修復(fù)。此外，還能利用社區(qū)等分享機(jī)制，快速傳播解決方案、阻斷風(fēng)險(xiǎn)的擴(kuò)散。

　　綠盟分層風(fēng)險(xiǎn)量化模型

　　由于風(fēng)險(xiǎn)具有主觀相對(duì)性，風(fēng)險(xiǎn)評(píng)估模型要能適應(yīng)客戶環(huán)境條件方能保證結(jié)果的準(zhǔn)確合理性。一般的評(píng)估過程要素包括：評(píng)估者、模型、細(xì)分評(píng)估對(duì)象(風(fēng)險(xiǎn)構(gòu)成維度)、各維度評(píng)分區(qū)間。按照安全行業(yè)的定義，安全風(fēng)險(xiǎn)等同于安全潛在事故發(fā)生的可能性發(fā)生后果。其中的安全潛在事故就是一次成功的安全攻擊(successful exploit)，其構(gòu)成三要素：資產(chǎn)、脆弱性、威脅?；诎踩粼u(píng)判發(fā)生可能性，及業(yè)務(wù)損失，得到一次潛在事故的風(fēng)險(xiǎn)，如下圖示：

　　圖3 風(fēng)險(xiǎn)構(gòu)成示意圖

　　模型中目前考慮漏洞本身CVSS的基本訪問性、時(shí)間、環(huán)境三個(gè)向量、漏洞外部熱度情報(bào)、漏洞是否有POC的情報(bào) 、資產(chǎn)權(quán)重、資產(chǎn)防護(hù)措施(暴露程度)，另外，對(duì)于資產(chǎn)，還區(qū)分單資產(chǎn)、多資產(chǎn)，資產(chǎn)群組等情況進(jìn)行評(píng)估，這些因素被稱為權(quán)重因子，因子可以根據(jù)評(píng)估對(duì)象可考慮因素不同進(jìn)行擴(kuò)展。

　　以下表格展示了綠盟TVM風(fēng)險(xiǎn)模型中各維度權(quán)重因子的示例

　　表1 風(fēng)險(xiǎn)模型各維度因子示意

　　模型的基本原理就是基于各權(quán)重因子的影響，把原本基于CVSS的分值，向最高分值或最低分子邊際進(jìn)行聚集，比如一個(gè)漏洞的CVSS的分值為6，在某個(gè)時(shí)間段，突然其情報(bào)熱度大幅升高，則最終評(píng)分向10分最高分聚集。達(dá)到的效果就是，隨著漏洞熱度的提升，此漏洞的響應(yīng)級(jí)別也隨之快速增高，以期足夠引起注意。

　　實(shí)際上，系統(tǒng)的安全風(fēng)險(xiǎn)由多種潛在的安全事故所構(gòu)成，以上所述為一次潛在安全事故的風(fēng)險(xiǎn)，實(shí)際使用的風(fēng)險(xiǎn)評(píng)估對(duì)象可為：

　　單個(gè)資產(chǎn)風(fēng)險(xiǎn)值

　　域(資產(chǎn)群組)風(fēng)險(xiǎn)值

　　系統(tǒng)風(fēng)險(xiǎn)值

對(duì)于風(fēng)險(xiǎn)構(gòu)成中的維度和權(quán)重因子，系統(tǒng)提供默認(rèn)的配置，可由用戶定制和參與打分，風(fēng)險(xiǎn)評(píng)估結(jié)果為風(fēng)險(xiǎn)值，按照CVSS風(fēng)險(xiǎn)等級(jí)劃分評(píng)定風(fēng)險(xiǎn)類別。

　　圖4 綠盟TVM分層風(fēng)險(xiǎn)量化模型

　　綠盟TVM系統(tǒng)采用CVSS安全等級(jí)劃分風(fēng)險(xiǎn)值，區(qū)間等級(jí)如下

　　這樣的風(fēng)險(xiǎn)模型使得整個(gè)系統(tǒng)的風(fēng)險(xiǎn)呈現(xiàn)通過橫向維度(風(fēng)險(xiǎn)值、威脅值、脆弱性值)和縱向維度(單資產(chǎn)維度、各層級(jí)的安全域維度、總體維度)立體呈現(xiàn)，展現(xiàn)風(fēng)險(xiǎn)全貌，以求見微知著。綠盟科技所提出的安全風(fēng)險(xiǎn)評(píng)估算法，不僅僅是面向某個(gè)主機(jī)或者資產(chǎn)，而是一個(gè)體系化的風(fēng)險(xiǎn)管理方案，方案納入全面脆弱性的同時(shí)，還引入了各類外部威脅的實(shí)時(shí)影響，兼顧考慮了客戶資產(chǎn)等實(shí)際因素，給出了一個(gè)智能的從定性到定量的方法，從而使評(píng)估結(jié)果更能自適應(yīng)于網(wǎng)絡(luò)安全動(dòng)態(tài)變化的狀況。智能的模型給出明智的決定;明智的決定帶來更好的安全實(shí)踐;更好的安全實(shí)踐提高看待風(fēng)險(xiǎn)的視角;這些，就是高效率的、成功的安全管理過程。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。