零零信安王宇：透過基於VPT的風險管理 用20%的時間去解決80%的風險

7 月 29 日， ISC 2021 大會迎來了 “ 技術日 ” 主題，在這一天的 “ 重新定義安服 —— 解構未來安服藍圖論壇 ” 中，來自於初創企業 —— 零零信安的創始人兼 CEO 王宇為大家帶來了 “ 基於 VPT （弱點優先順序技術）的風險管理服務 ” 的主題演講，圍繞 Gartner 的 “ 基於風險的弱點管理 ” 關鍵技術點以及 Tenable 的實踐展開，並分享了自己針對這方面的思考以及零零信安的解決方案。

 

 

  王宇在演講伊始先引出了風險、弱點和漏洞，並指出他們之間的關係 —— 漏洞屬於弱點的一部分，弱點屬於風險的一部分。在這三個詞彙中，風險和漏洞是最為常見的，而關於 “ 弱點 ” 方面提及相對較少，而這也是王宇此次演講主題中 “ 弱點優先順序技術 ” 的重點。

“ 眾所周知， HVV 中有三個大殺器，分別是 0day 、釣魚和基於資訊洩露所引發的其他攻擊，在這之中，他們所利用的不僅僅只是漏洞，還有弱點的利用。 “ 王宇談道。

在王宇看來，在資訊保安的攻防層面看，其中一個主要的工作內容就是防範不法駭客的攻擊，而駭客的攻擊之所以會成功，它的背後所體現的，則是防守方必然存在一個或多個弱點。因此，王宇認為這裡面的關注點應重點放在可以讓駭客攻擊成功背後的弱點發現上。

” 國內的資訊保安已經有了 20 餘年的歷史，儘管早期就開始關注漏洞，並推出了漏洞掃描等產品，但實際上，關於漏洞和弱點的問題至今仍沒有得到很好的解決。 “ 王宇在現場還引用了 Whitehat Security 的一組資料，據統計截止到 2021 年 5 月，北美地區的平均漏洞修復時間為 205 天，公共事業部門中 66% 的應用存在至少一個可利用漏洞。雖然在我國還沒有相關的資料統計，但王宇認為在資料層面尤其是在平均漏洞修復時間上應是相差不多的。

Gartner“ 基於風險的弱點管理 ” 的五大關鍵點

Gartner 在 2018 年提出了 ” 符合 Carta 方法論的弱點管理 “ 專案，在經過三年的沉澱和完善後，最終使用了一個更適合的名稱 ——” 基於風險的弱點管理 “ 專案。

關於這一專案的關鍵技術點，王宇將其總結為五點：

1 、風險和弱點不僅僅只是漏洞。 就像王宇在一開始所講的那樣，漏洞只是弱點的一部分，弱點本身還會包括諸如弱口令的處理、配置的不完善、資訊的洩露等等，而這些弱點都是風險的一部分。

2 、風險永遠不可能 100% 被處理，需要進行優先順序的區分。 王宇表示，“ 對於很多管理者而言，都會期望所有的漏洞都可以被處理掉，但現實中這個可能性是不存在的。每年光是被發現的通用型漏洞都有超過 1 萬個，更何況還有那些事件型的漏洞了。 ”

‍ 王宇指出，在現實中，一些大的單位，它的關鍵業務系統都在 10-20 萬甚至更高的數量級。 ‍‍ 當我們把超過 1 萬個新爆發的通用型漏洞和幾十萬數量級的一個重要業務系統結合在一起看的時候，我們就會發現根本不可能做到去把所有的風險都處理到位。

3 、找到需要優先處置的風險，從而顯著降低風險。 這一點在王宇看來，就是關鍵中的關鍵。哪些風險的優先順序高，那麼處置的優先順序也應更高，長期以來這似乎是大家的共識，並沒什麼特別，但是王宇特別強調，“ 這裡需要突出優先順序的概念，因為並不是說漏洞的等級高，它的優先順序就高。 ”

王宇談道，按照當前的CVE 和 CVSS 判定規則看，會更多地將可被用於發起遠端攻擊的漏洞定位為高風險，但在實際中，很多漏洞並不是非法駭客所喜歡使用的，反而是一些資訊收集類或是一些中風險的漏洞會被更多的利用。這也是為什麼無論是針對基於 ATT&CK 還是基於七步殺傷鏈的角度上看，都未必 ‍‍ 一定是高風險漏洞才會被攻擊者更多的利用。 ‍

因此，在定義哪些是應該優先處置的風險時，不能僅針對漏洞的等級來處理。

4 、利用現有的掃描資料和流程。 資訊保安建設到目前已經經歷了幾十年的事件，‍‍ 沒有必要再去重新進行建設。

5 、利用 VPT （弱點優先順序技術）工具。 透過漏洞掃描、滲透測試、配置核查等技術或工具來發現弱點，然後進行評估、優先順序排序、工作流程、處置方式和效果、自動化措施等序列在一起，形成整個風險管理的閉環和迭代提升。

VPT 的關鍵能力 —— 不在沒有風險的漏洞上浪費時間

那麼如何將基於風險的弱點管理透過工具、技術和服務手段來進行落地呢？王宇在這裡引用了Tenable 的方法論，主要有以下三點：

1 、提供整個攻擊面上所有資產和弱點檢視

這個無需多言，要做好網路安全，摸清家底都是必須要做的。與此同時還要排查潛在的風險點，對於攻擊者而言，在發起攻擊之前也會這樣操作。

2 、不要在沒有風險的漏洞上浪費時間

即使一個漏洞的評分很高，但如果不能被直接利用，那麼就無需去花大量的時間優先處理，反而是一些評分較低甚至是沒有評分的卻有可能成為更大的弱點。比如企業的郵件列表、重要的組織架構、員工的個人資訊資料等，這些都有可能會暴露在網際網路上，這些不會有漏洞評分的弱點，反倒可能會形成一個重要的風險。

王宇指出，就當前而言，我國在威脅情報方面做的很多的工作，但同時，在漏洞、弱點相關的情報方面做得還不夠，Tenable 的風險管理為什麼做的不錯？就是因為它已經擁有了上萬億的弱點情報資料，將這些弱點情報充分的利用好，我們就可以知道哪些漏洞、弱點更值得去關注和優先處理。

3 、動態的處理、響應 0day 和 1day 漏洞

針對實際業務環境，主動管理和自動化呼叫工具、策略、流程，最大程度提高應對效率和效果。王宇在這裡分享了一個自己的體會，此前某客戶在開發或更新業務系統時會採用這樣一個流程—— 開發人員在上線前會將程式碼放入程式碼倉庫，隨後安全人員會透過工具對其進行審計，在審計完成後交給開發人員來進行更替。這個過程乍一看沒什麼問題，但在程式碼量很大、開發或更新的業務系統很多、所涉及的核心業務資產很多的情況下，這個流程的效率就會非常低，耗費的人力財力也會非常高，那麼是否能夠透過自動化將這個流程固化就很重要。

用20% 的時間去解決 80% 的弱點與風險問題

在參考了Gartner 和 Tenable 的方法論之後，王宇也分享了自己對於如何做好基於風險的弱點管理的思路，歸納起來其實也是三個部分：

1 、做好全面準確的全網資產測繪，保證風險管理無死角。

2 、建立服務客戶業務的自動化風險管理方案，最大化提高效率和效果。

3 、建立全國和全球漏洞情報和資訊洩露情報庫，為優先順序分類提供依據；同時提供符合國情和政治要求的 HVV 、重保和實戰化安全檢測，以達到立竿見影的效果。

在這裡，王宇重點強調了第3 點，對於要建立的弱點情報庫、漏洞情報庫而言，同威脅情報庫最大的區別在於關注點不同，威脅情報關注的是被攻擊後能不能檢測出來，而弱點情報或漏洞情報更關注的則是被攻擊的可能性有多大。

這三個部分整合在一起，也就形成了零零信安的基於弱點的風險管理解決方案，將弱點管理起來，將優先順序提出來是這個解決方案的核心關鍵詞，只有這樣才能夠令企業使用者用20% 的時間去解決 80% 的問題，這也是零零信安從創立之日起一直堅持的整體思路。

“ 希望透過我們的解決方案，能夠為企業和安全服務人員去解決掉那 80% 的關鍵弱點與風險問題。 ”

原文連結： https://mp.weixin.qq.com/s/PiO71hTFmWJUJdbbKCCW_w