许晓晨-面向现代攻击面的漏洞风险管理（21页）.pdf

1、面向现代攻击面的漏洞风险管理面向现代攻击面的漏洞风险管理 许晓晨Tenable技术经理基础安全工作仍面临考验去年的攻防演练中，多家单位因去年的攻防演练中，多家单位因攻击面评估不到位等低级错误而被攻破评估不到位等低级错误而被攻破例例1：某单位被物理攻击，通过营业厅的网络接入到内网，再使用已知漏洞拿下护网目标：某单位被物理攻击，通过营业厅的网络接入到内网，再使用已知漏洞拿下护网目标例例2：某单位员工被钓鱼攻击，邮件链接下载恶意代码，后作为跳板进一步拿下内网目标：某单位员工被钓鱼攻击，邮件链接下载恶意代码，后作为跳板进一步拿下内网目标绝大部分情况下，攻击者绝大部分情况下，攻击者无需耗费0-day#L

2、ow-hanging Fruits(HW高风险攻击手法高风险攻击手法)未修复的漏洞未修复的漏洞老旧的资产老旧的资产未知且不必要的暴露未知且不必要的暴露弱口令弱口令过度的程序权限过度的程序权限未保护的敏感信息未保护的敏感信息新漏洞数量持续增长 8941020167721561527245149356610652056325736465241555297519179466484644714,71416,55617,313199920002001200220032004200520062007200820092010201120122013201420152016201720182019来源：漏洞情

3、报报告，Tenable Research2019 年为 17,313 个漏洞几乎是以前年份平均数的 3 倍企业 IoT工业 OTICS/SCADA容器云Web App虚拟机移动笔记本桌面网络服务器攻击面的扩大带来了更多的安全隐患56低效的 优先级分析 糟糕的 沟通方式 有限的 可见性 传统工具难以应对现代攻击面 传统漏洞管理 难以与时俱进 传统工具无法处理现代攻击面CVSS 是一个较差的风险指标来源:Tenable 研究院2424433866,2951,1893,5749,4991,1474,332295132,7563,63921,20511,76815,80825,7648,21814,7

4、090-0.91.0-1.92.0-2.93.0-3.94.0-4.95.0-5.96.0-6.97.0-7.98.0-8.99.0-10 CVSS Base ScoreExploit AvailableNo Exploit仅有仅有20%的漏洞有利用脚本的漏洞有利用脚本如果处理所有如果处理所有 CVSS 7+漏洞漏洞:会浪费安全部门 76%的时间 却有44%真正危险漏洞并未处理7无论公司规模大小，都可能永远没有足够的资源来补救攻击面上的每个漏洞。问题是问题是关注在最重要的事情上利用基于风险的漏洞管理进行优先级分析假如今天只有一个漏洞需要修复，你会选哪个？Risk业务策略合规运营名誉漏洞云应用程

5、序设备威胁InternalExternal优先关注最重要的利用机器学习和威胁情报来预测攻击中可能针对的漏洞VULNERABILITY PRIORITY RATINGVPR+ASSET CRITICALITY RATINGACR利用机器学习根据业务价值和重要性指标预测资产的优先级11海底可以捞针12威胁威胁情报情报深入洞察哪些漏洞会遭到有针对性或投机主机攻击者频繁利用漏洞漏洞评级评级与缺陷相关的重要性、可利用性和攻击向量研究洞察研究洞察对超过109,000个漏洞插件进行大数据分析，以识别漏洞导致的实际风险和理论风险97%减少对攻击面有同等影响的待修复漏洞基于基于风险的风险的漏洞管理漏洞管理VPR

6、实际功效更少修复但同效公众号原文链接:【什么是VPR，它与CVSS有何不同】https:/ VPR 后的后的 28 天内未发现天内未发现 IoC（攻陷指标）（攻陷指标）Ture:计算计算 VPR 后的后的 28 天内发现天内发现 IoC某金融企业案例背景每日全网交叉扫描关键补丁日级运营与响应演进目标2M IPs2?K Hosts20K Agents 7 Zones 1.5 Heads“HW_2019”攻防演练红队蓝队不通知、不明确对抗漏洞补丁长效机制7x24系统加固快速响应及时性规模空前全员扫描问责过度防御无人机下水道钓鱼40 Owners面临的问题扫描