一只南美洲亚马逊河流域热带雨林中的蝴蝶,偶尔扇动几下翅膀,可以在两周以后引起美国得克萨斯州的一场龙卷风。一个微小的动态事件可能带来异常巨大的变故。而在信息安全领域,亦是如此,一个微不足道的未及时修补的漏洞,一次视若无睹的不合规配置操作,都可能导致重大安全事件爆发。
伴随着网络的发展,客户IT资产迅速增加,而漏洞数量也在逐年攀升,这2年有爆发增长趋势。为客户服务多年,绿盟科技一直在思考:漏洞很多,风险总在,什么样的漏洞在什么样的场景更可能遭到攻击呢?能解答这一疑问的方案,想必是会让客户趋之若鹜的。
从这样的切实疑问出发,绿盟科技认为有效地聚焦并管控系统关键安全风险,才是标本兼治的方案。该方案应涵盖关键风险的识别与感知,防范和修复、预防及分享等方面。全方位的风险监测和防护机制,能帮助客户有效识别关键风险,便于及时修复风险,在遭遇攻击时能第一时间截断攻击链条,为客户避免更大的损失。
一次成功的攻击由资产、威胁、脆弱性三要素组成,参考下图内容所示。
图1 安全风险构成示意图
脆弱性来源则多种多样,如系统漏洞、配置不合规、弱口令、应用漏洞等。通常的脆弱性(例如CVE等),只有与客户资产相关联,才会变成有实际载体的具体脆弱性,只有当有实际载体的脆弱性被内外部的某个威胁所利用,才会构成一次成功的真实安全攻击。由此可见,安全风险绝不是一成不变的,而当某些特定事件发生时,实际风险可能迅速提升。因此考量风险等级,需要引入外部的威胁情报,例如是否有POC,攻击热度等,以体现出漏洞或资产的实时风险状况;此外,客户资产状况也与风险等级密切相关,外部访问度、价值等级、重要性等,都会影响漏洞或威胁在风险构成维度的权重。
图2绿盟TVM脆弱性管理系统架构
绿盟科技全方位风险监控涵盖全面的脆弱性管理,从安全攻击的构成源头入手,结合客户资产状况,从实时漏洞视角清晰跟踪资产的安全状态、感知整体的安全风险。在获取实时的威胁情报数据同时,绿盟分层风险量化模型可结合客户情况定制,为客户直观展示整体风险状况和细分风险优先等级,给出推荐修复范围,以便客户聚焦关键风险,做到高风险的及时缓解和修复。此外,还能利用社区等分享机制,快速传播解决方案、阻断风险的扩散。
绿盟分层风险量化模型
由于风险具有主观相对性,风险评估模型要能适应客户环境条件方能保证结果的准确合理性。一般的评估过程要素包括:评估者、模型、细分评估对象(风险构成维度)、各维度评分区间。按照安全行业的定义,安全风险等同于安全潜在事故发生的可能性发生后果。其中的安全潜在事故就是一次成功的安全攻击(successful exploit),其构成三要素:资产、脆弱性、威胁。基于安全攻击评判发生可能性,及业务损失,得到一次潜在事故的风险,如下图示:
图3 风险构成示意图
模型中目前考虑漏洞本身CVSS的基本访问性、时间、环境三个向量、漏洞外部热度情报、漏洞是否有POC的情报 、资产权重、资产防护措施(暴露程度),另外,对于资产,还区分单资产、多资产,资产群组等情况进行评估,这些因素被称为权重因子,因子可以根据评估对象可考虑因素不同进行扩展。
以下表格展示了绿盟TVM风险模型中各维度权重因子的示例
表1 风险模型各维度因子示意
模型的基本原理就是基于各权重因子的影响,把原本基于CVSS的分值,向最高分值或最低分子边际进行聚集,比如一个漏洞的CVSS的分值为6,在某个时间段,突然其情报热度大幅升高,则最终评分向10分最高分聚集。达到的效果就是,随着漏洞热度的提升,此漏洞的响应级别也随之快速增高,以期足够引起注意。
实际上,系统的安全风险由多种潜在的安全事故所构成,以上所述为一次潜在安全事故的风险,实际使用的风险评估对象可为:
单个资产风险值
域(资产群组)风险值
系统风险值
对于风险构成中的维度和权重因子,系统提供默认的配置,可由用户定制和参与打分,风险评估结果为风险值,按照CVSS风险等级划分评定风险类别。
图4 绿盟TVM分层风险量化模型
绿盟TVM系统采用CVSS安全等级划分风险值,区间等级如下
这样的风险模型使得整个系统的风险呈现通过横向维度(风险值、威胁值、脆弱性值)和纵向维度(单资产维度、各层级的安全域维度、总体维度)立体呈现,展现风险全貌,以求见微知著。绿盟科技所提出的安全风险评估算法,不仅仅是面向某个主机或者资产,而是一个体系化的风险管理方案,方案纳入全面脆弱性的同时,还引入了各类外部威胁的实时影响,兼顾考虑了客户资产等实际因素,给出了一个智能的从定性到定量的方法,从而使评估结果更能自适应于网络安全动态变化的状况。智能的模型给出明智的决定;明智的决定带来更好的安全实践;更好的安全实践提高看待风险的视角;这些,就是高效率的、成功的安全管理过程。