2024數(shù)字安全能力指南-基于風險的脆弱性管理RBVM-數(shù)世咨詢

基于風險的脆弱性管理Risk-BasedVulnerabilityManagement?北京數(shù)字世界咨詢有限公司2024.06Risk-BasedVulnerabilityManagement?北京數(shù)字世界咨詢有限公司2024.06“數(shù)字安全三元論”由“網(wǎng)絡安全三元論”(數(shù)世咨詢于2數(shù)世咨詢作為國內獨立的第三方調研咨詢機構，為監(jiān)管機構、地方政府、投資機構、網(wǎng)安企業(yè)等合伙伙伴提供網(wǎng)絡安全產(chǎn)業(yè)現(xiàn)狀調研，細分技術領域調研、任何轉載、摘編或利用其他方式使用本報告文字或者觀點，應注明來源。違反上述聲明者，數(shù)世咨詢將保留依法追究其相關責4 5 7 8 8 8 2.1基于風險的脆弱性管理RBVM 2.2RBVM與傳統(tǒng)漏洞管理的區(qū)別 3.1RBVM能力要點 3.1.1關鍵資產(chǎn)攻擊面 3.1.2漏洞情報 3.1.3威脅情報 3.1.4VPT判定優(yōu)先級 3.1.5安全風險評分 3.2.1深度關聯(lián)分析的結果要能形成“證據(jù)鏈” 3.2.2對潛在攻擊路徑的預測 3.2.3精確且動態(tài)的風險量化 20 20 21 23 23 275從計算機時代、互聯(lián)網(wǎng)時代，到如今的數(shù)字時代，國內安全產(chǎn)先后出現(xiàn)終端安全、移動安全、云安全、物聯(lián)網(wǎng)安全等新的安全賽道，另一方面跟隨于美國、以色列等西方安全創(chuàng)業(yè)公司的安全理念、技術概念，我們也在不斷推出著新產(chǎn)品、新服務。學習與創(chuàng)新，是Vulnerability即是其中最典型的問題。具體來說，Vulnerability有三個方面需要補課：2.如何在眾多脆弱性當中確定優(yōu)先需要關注修復的漏洞？3.在漏洞修復前、修復后，如何對風險的變化進行評估和度量？這里筆者沒有完全以“漏洞”來做為Vulnerability的翻譯，而以其本意“脆弱性”來稱呼，是因為當傳統(tǒng)的漏洞掃描器產(chǎn)品發(fā)展風險視角，對資產(chǎn)、身份、漏洞等基礎工作進行補課，構建持續(xù)的脆弱性風險管理能力——安全應當真正有效鑒于此，數(shù)世咨詢基于田野調查，廣泛征集國內安全企業(yè)的相6關產(chǎn)品、服務、解決方案后撰寫本報告，希望厘清“基于風險的脆弱性管理”這一概念，并幫助一線用戶了解國內安全企業(yè)相關能力勘誤或進一步溝通，請聯(lián)系本報告主筆分析師劉宸宇：liuchenyu@7關鍵發(fā)現(xiàn)25.47%，預計2024年國內RBVM市場規(guī)模將達到15億元。RBVM定制化與功能化交付的比例較高，表明RBVM仍然處在VPT判定優(yōu)先級是RBVM各項能力要點的核心。復雜性和多樣性決定了個性化的RBVM定制解決方案81.1市場規(guī)模本次調研，共收到17家安全企業(yè)的調研表，同時線下走訪、人民幣，同比增長25.47%。參考各家對2024年的預期營收，以864201.2能力企業(yè)本報告將參與本次調研的企業(yè)，分別以橫軸-市場執(zhí)行力、豎軸-應用創(chuàng)新力兩個維度，在數(shù)世咨詢能力指南點陣圖中加以呈現(xiàn)，如9行業(yè)合規(guī)/行業(yè)實踐之所以將三類不同技術基因的企業(yè)放在同一張圖中列出，是因為對甲方用戶來說，解決問題的最終訴求是一致的，都是基于單點安全工具或合規(guī)類產(chǎn)品，進階為基于風險的脆弱性管理解決方案，為了滿足用戶的這一訴求，三類安全企業(yè)起點不同、路徑不同，但目標相同，都是通過補好“脆弱性”這門課，將安全能力落在實1.3能力交付模式根據(jù)調研數(shù)據(jù)，RBVM以單一標準化產(chǎn)品交付的比例僅為52%，剛剛超過一半，以定制化產(chǎn)品交付運營的比例達到30%，作交付模式占比中可以看出，定制化與功能化交付的比例較高，這表明雖然是從傳統(tǒng)漏洞評估與管理演變而來的解決方案，但RBVM仍然處在與用戶需求不斷磨合的階段。背后的主要原因在于RBVM的核心能力“優(yōu)先級判定”所需的上下文與用戶的業(yè)務優(yōu)先級、資產(chǎn)關鍵性等高度相關，更多細節(jié)，后面的能力部分會有詳述。1.4各行業(yè)需求占比根據(jù)安全廠商在各行業(yè)的收入分布情況，本次調研也統(tǒng)計了2%1%1%2%1%1%金融運營商監(jiān)管機構地方政府其他工業(yè)制造互聯(lián)網(wǎng)軌道交通燃氣/熱力/供水/電網(wǎng)石油石化新能源教育與科研物流生活消費水利從餅圖中可以看到，分布排名前三的行業(yè)“金融、運營商與監(jiān)基”行業(yè)的整體安全投入更高；另一方面也說明這些“強監(jiān)管”的行業(yè)更加重視漏洞/脆弱性的風險管理，或者換句話說，需要依靠RBVM作為更為有效的風險管理手段。值得一提的是，本調研中的行業(yè)分布是將“能源”行業(yè)拆分為電力、石油石化、燃氣/管網(wǎng)以及水利等多個細分行業(yè)，如果將這些行業(yè)以“大能源”進行歸總統(tǒng)計，其占比也可達到11%，進入前三2.概念描述2.1基于風險的脆弱性管理RBVM本報告將基于風險的脆弱性管理（Risk-BasedVulnerabilityManagement–RBVM）描述為：基于用戶的業(yè)務需求場景與資產(chǎn)洞風險評估為用戶提供帶有明確優(yōu)先級的脆弱性告警、修復或緩解被關注的可能帶來巨大風險的漏洞淹沒在海量漏洞告警中，轉而讓2.2RBVM與傳統(tǒng)漏洞管理的區(qū)別RBVM考慮合規(guī)性與法有有低高整個攻擊暴露面，除傳統(tǒng)IT資產(chǎn)外還包括更多形態(tài)的內部資產(chǎn)如云虛機、容器、Web、IoT、BYOD設備（CAASM）以及外部攻擊面如公眾號、小程序、代碼托管平臺、暗網(wǎng)等（EASM）重點關注的漏洞與威脅情報的整合無與利用上下文的無有漏洞修復環(huán)節(jié)，主要數(shù)據(jù)采集、漏洞修復與緩解、安全風險評分等多按照機會一般以月或季度為周期進行漏洞對新資產(chǎn)實時動態(tài)評估，對已知資產(chǎn)以天為周期對漏洞的判定因素僅按照漏洞嚴重性對漏洞進行分類，有過級、資產(chǎn)重要性、漏洞本身的可利用性等，確定深度參與多維數(shù)據(jù)采集、脆弱性相關數(shù)據(jù)分析，提升VPT優(yōu)先級判定的效率較少，以更新漏洞特3.RBVM能力框架在傳統(tǒng)漏洞管理能力中，機構用戶基于漏洞掃描器提供的基礎漏洞情報、威脅情報等多維度數(shù)據(jù)，以脆弱性優(yōu)先級技術（VulnerabilityPrioritizeTechnology–VPT）對漏洞進行打分洞的范圍與數(shù)量大大縮小，漏洞不再只是漏洞，而是與業(yè)務連續(xù)性、資產(chǎn)關鍵性等聯(lián)系更加緊密的脆弱點。安全團隊可以更加主動地協(xié)3.1RBVM能力要點3.1.1關鍵資產(chǎn)攻擊面如果安全團隊無法確定哪些業(yè)務屬于關鍵業(yè)務，可以直觀采用通過這兩項活動，安全團隊可以快速確定最重要的業(yè)務范圍，進而根據(jù)關鍵業(yè)務，找到對應的主機、系統(tǒng)、賬戶、域名、應用、重要的核心業(yè)務，并從關鍵資產(chǎn)中找到這3-5個核心業(yè)務所對應的最后以攻擊者的視角，調高這些資產(chǎn)攻擊面的檢測告警、應急3.1.2漏洞情報危害性極大、但可利用性極低的漏洞，要大幅降低其優(yōu)先級，3.1.3威脅情報在關鍵資產(chǎn)與漏洞情報工作扎實的基礎上，引入威脅情報后，潛在攻擊者都有哪些攻擊路徑，在理論上這是可窮舉的。因此，有3.1.4VPT判定優(yōu)先級VPT以傳統(tǒng)漏洞評估及上述三個能力要點的數(shù)據(jù)為基礎，綜合這個部分，VPT的準確性直接依賴于作為輸入的風險數(shù)據(jù)的質3.1.5安全風險評分根據(jù)脆弱性打分與評級，可以進一步得出組織機構的安全風險在高優(yōu)先級的脆弱性得到有效修復并復測無誤后，評分可以加分，即在時間維度上看出機構的安全風險變化。根據(jù)資產(chǎn)權屬、區(qū)域的不同，集團類用戶還可以在下屬不同的部門、分支機構等內部，在調研中，筆者了解到有一家“關基”用戶，就已經(jīng)在集團層面實現(xiàn)了這樣的內部橫向比較，目前已經(jīng)進行了第一季度的內部大排名，排名靠后的分支機構已被責令重點整改，第二季度的風險評分工作也在持續(xù)進行中。由此，安全工作可量化，安全效果可度量，由此推演下去，其實同行業(yè)間也可以得出行業(yè)平均分，并進行同業(yè)參考，不過這需要行業(yè)監(jiān)管、機構用戶、安全企業(yè)等各方形成行業(yè)共識。也因此，在前面的能力框架圖中，筆者將安全風險評分3.2圍繞VPT的一些難點在調研中筆者發(fā)現(xiàn)，RBVM各項能力中，圍繞核心能力VPT，3.2.1深度關聯(lián)分析的結果要能形成“證據(jù)鏈”對不同數(shù)據(jù)來源的海量數(shù)據(jù)關聯(lián)分析，要基于上下文，結合行為模式、攻擊路徑等進行深層次的數(shù)據(jù)挖掘、交叉驗證，形成“證數(shù)據(jù)只有成為證據(jù)，才能在不影響業(yè)務連續(xù)性的前提下，在滿足合規(guī)性要求的基礎上，為威脅攻擊映射、風險資產(chǎn)定位、脆弱性3.2.2對潛在攻擊路徑的預測的TTPs，對機構用戶真實環(huán)境中的潛在攻擊路徑做出預測，先于對海量數(shù)據(jù)（業(yè)務基線、攻擊面資產(chǎn)、網(wǎng)絡流量、威脅情報、日志文件、漏掃結果等）進行實時分析，需要高度自動化和高性能的數(shù)3.2.3精確且動態(tài)的風險量化優(yōu)先級判定、安全風險評分等量化能力，需要風險模型綜合考量業(yè)務優(yōu)先級、資產(chǎn)關鍵性、漏洞嚴重性、威脅的可利用性等多個一方面最終得出的風險評分要力求精確，能夠準確反映出多個維度的潛在影響，另一方面，無論是多個維度自身，還是作為參考系的行業(yè)平均分也在不斷發(fā)生變化，因此整個風險評分體系也應當性”與“不可解釋性”的天然缺點，加強“證據(jù)鏈”的可信度，另對絕大多數(shù)機構用戶來說，上述多個要點很難同時克服，需要在有限的安全預算和資源約束下，找到最優(yōu)的風險緩解措施，實現(xiàn)4.未來展望數(shù)據(jù)能力將成為RBVM新的驅動力業(yè)務基線數(shù)據(jù)、攻擊面資產(chǎn)數(shù)據(jù)、威脅情報數(shù)據(jù)，甚至開發(fā)供應鏈等數(shù)據(jù)，都將成為RBVM準確評估風險、判斷理脆弱性的必要數(shù)據(jù)底座，無論是數(shù)據(jù)本身，還是大數(shù)據(jù)分析，都將在基于風險的脆弱性管理中扮演更加重要的角色。數(shù)據(jù)驅動這一可以預見，安全行業(yè)在技術方面的融合式創(chuàng)新，將會首選自動化與人工智能技術?；陲L險的脆弱性管理可能會向更加自動化和智能化的方向發(fā)展。例如，利用機器學習和自然語言處理等技術，實現(xiàn)自動化的風險評估、漏洞掃描和威脅檢測，從而提高效率和準每個組織機構一線用戶的業(yè)務流程、系統(tǒng)架構以及面臨的潛在脆弱性風險都有所不同，需要根據(jù)其特定的需求和環(huán)境實施定制化的解決方案，對脆弱性持續(xù)管理的過程中還需要根據(jù)其團隊資源、安全意識等因素提供有針對性的脆弱性修復建議和緩解措施。不僅如此，隨著用戶自身業(yè)務、系統(tǒng)、環(huán)境的不斷迭代，定制化方案也要隨之調整。因此，復雜性和多樣性決定了機構用戶個性化的定制基于風險的脆弱性管理往往需要多部門間的協(xié)作與信息共享，但由于部門間、行業(yè)間本就存在壁壘和信息孤島，對脆弱性的持續(xù)管理還涉及到改變現(xiàn)有的工作方式、流程和習慣，因此要跨越不同的部門、甚至跨行業(yè)進行合作會面臨一系列的挑戰(zhàn)，甚至抵觸與阻力。這一方面需要技術創(chuàng)新者持續(xù)投入大量的研發(fā)和時間，另一方面也需要政府、企業(yè)和第三方咨詢機構等各方共同努力，基于最佳在調研中筆者注意到，隨著國產(chǎn)化替代加速，運營商、能源等關基用戶都建議加快推進對國產(chǎn)化操作系統(tǒng)、中間件、數(shù)據(jù)庫等信息基礎設施的風險及脆弱性管理能力的覆蓋。這不僅要求安全企業(yè)在技術上持續(xù)投入，國產(chǎn)化信息基礎設施供應商深度配合參與，更需要政策、產(chǎn)業(yè)、資本各方面的生態(tài)協(xié)同。相比跨部門、跨行業(yè)形附錄：RBVM行業(yè)用戶案例附1.某銀行漏洞全生命周期管理建設方案隨著信息技術的飛速發(fā)展，銀行業(yè)已深度融入數(shù)字化浪潮，業(yè)務運營、用戶服務、風險防控等各個環(huán)節(jié)均離不開信息系統(tǒng)的支持。然而，信息技術的廣泛應用也帶來了嚴峻的安全挑戰(zhàn)。由于銀行業(yè)務涉及大量敏感數(shù)據(jù)，如用戶身份信息、交易記錄等，一旦遭受攻擊或數(shù)據(jù)泄露，不僅威脅到銀行的資產(chǎn)安全，更可能損害用戶利益，對銀行聲譽產(chǎn)生嚴重影響。因此，建立一套完善的銀行漏洞全生命周期管理方案，對于提升銀行信息安全防護能力、保障銀行業(yè)務穩(wěn)在此背景下，銀行漏洞全生命周期管理方案旨在通過系統(tǒng)性的方法，對銀行信息系統(tǒng)中存在的漏洞進行全面識別、評估、修復、驗證和監(jiān)控，確保漏洞得到及時有效的處理，降低潛在的安全風險。該方案不僅關注漏洞的修復，更強調漏洞管理的持續(xù)性和全面性，通過構建漏洞管理的長效機制，提升銀行信息系統(tǒng)的整體安全水平。在本項目中，通過在銀行的總行和各分行部署上百套綠盟科技三合一掃描器(RSAS)，實現(xiàn)對生產(chǎn)網(wǎng)和辦公網(wǎng)資產(chǎn)范同時全行配套部署40余套綠盟漏洞全生命周期管理平臺，提供漏洞管理的全過程支撐。量化跟蹤和分析流程執(zhí)行情況，促進管理流程持續(xù)優(yōu)化。幫助用戶充分利用漏洞情報信息，推動流程的高效運轉，建立快速的應急響應機制，確保在發(fā)現(xiàn)漏洞后能夠迅速有效地資產(chǎn)&漏洞情報快速匹配獲取新增的各類資產(chǎn)信息。同時結合綠盟科技國內業(yè)界獨有的的漏息。通過將這些情報信息與全行資產(chǎn)版本信息進行精準匹配，第一對于行內存在的大量待修復漏洞，基于綠盟自研創(chuàng)新的漏洞修復優(yōu)先級評估模型，計算并推薦出對當前資產(chǎn)有嚴重影響的高修復優(yōu)先級漏洞，科學地將緊急修復的漏洞數(shù)量降低到2位數(shù)，大幅度用戶可通過工單管理系統(tǒng)，實時通知運維人員工作內容，全面記錄漏洞處置過程，及時提醒工作進展，并最終匯總各項數(shù)據(jù)，使運維人員的工作流程更加清晰、高效。綠盟科技憑借多年豐富的漏洞運營經(jīng)驗，率先提出了漏洞的九種處置狀態(tài)，可基于掃描器的掃描結果自動調整興業(yè)銀行資產(chǎn)的漏洞狀態(tài)，使漏洞管理更為專注和著提升銀行的應急漏洞處理效率，有效縮短處置時間窗口，減少降本增效：總體實現(xiàn)XX銀行漏洞運維工作量降低80%，每年為用戶節(jié)約超200萬成本支出，使運維管理人員能夠專注于業(yè)綠盟科技漏洞全生命周期管理解決方案，為用戶建立銀行漏洞管理的長效機制，進一步提升漏洞威脅情報快速響應、本地風險持續(xù)監(jiān)控、多種資產(chǎn)全面識別梳理、漏洞全流程管理能力。通過這一方案，幫助用戶實現(xiàn)風險高效響應的工作模式，確?？焖賾碧幹门c風險預警觸發(fā)的及時性。并且在管理流程的各環(huán)節(jié)，提供優(yōu)化分析后的技術建議，最大程度加快漏洞修復效率，在漏洞被利用前完成修復閉環(huán)。漏洞運維工作高效有序的開展，極大的降低了業(yè)務系統(tǒng)面臨的高風險，對提高業(yè)務系統(tǒng)連續(xù)性，減少因安全事件導致的附2.某交易所基于風險視角的漏洞主動治理案例在信息技術日新月異的今天，數(shù)字化、網(wǎng)絡化、智能化已成為行業(yè)的發(fā)展趨勢，交易所作為證券期貨市場的核心樞紐，其信息系統(tǒng)的穩(wěn)健運行對于保障市場穩(wěn)定、維護投資者權益具有至關重要意隨著行業(yè)系統(tǒng)的復雜性增加和漏洞數(shù)量的不斷增長，傳統(tǒng)的漏洞管理方式已經(jīng)難以滿足當前的安全運營需求，傳統(tǒng)的漏洞管理方式往往只關注漏洞的數(shù)量和類型，而缺乏對漏洞影響范圍和潛在風險的深入評估。這導致在處理漏洞時缺乏優(yōu)先級排序，難以確保高為了應對這一挑戰(zhàn)，該交易所急需引入一種更為高效、精準的漏洞管理方法。基于風險的漏洞管理（Risk-BasedVulnerabilityManagement,RBVM）作為一種新興的安全管理方法，通過將風險評估與漏洞管理相結合，可以幫助交易所優(yōu)先處理高風險漏洞，洞數(shù)據(jù)分散在各個系統(tǒng)和部門中，難以進行集中管理和統(tǒng)一分析。掃描工具提供的修復建議往往缺乏針對性，無法直接應用于實際環(huán)境，此外，一些修復方案可能涉及到業(yè)務中斷或系統(tǒng)停機，對缺乏從業(yè)務風險評估視角出發(fā)進行二次分析機制，這導致在識別和分析漏洞時，無法全面考慮漏洞對業(yè)務運營的實際影響及潛在風險級別，從而在漏洞處理過程中無法依據(jù)風險優(yōu)先級進行科學合漏洞修復信息缺乏統(tǒng)一、格式化的記錄方式，導致修復經(jīng)驗難以積累和復用，每次漏洞修復都像是重新開始，缺乏系統(tǒng)性和連續(xù)漏洞管理