itle="1.jpg" alt="1.jpg" width="700" height="466"/>
IT技術的改變,先從架構來看,傳統的看,大家都在建數據中心,今天越來越多的客戶接受了云,尤其是國外、美國,絕大多數的客戶對公有云信任程度遠遠高于自建數據中心。另外,看到工作的環境,原來在實體機開發,現在是虛擬機、容器化,可以看到整個的趨勢在發生改變。
在開發的環境下,原來為了開發項目準備很多的人專門開發一個程序,今天全都是微服務、DEVOPS、敏捷開發,整個開發環境也產生大量的改變。此外,原來只關心計算技術、筆記本電腦、臺式機、網絡設備,今天看到2019年底激活大概多少個IOT設備?是90億IOT設備。所以你面臨的終端會越來越多。
原來總覺得內網是絕對安全的,今天來看也不一定。我們看到到2020年底有25%的攻擊是針對OT設備。整體來看,和傳統的IT,不管從方法、從設備、從技術都產生了巨大的變化。
再來看攻擊的方面,原來大家是竊取數據,今天大家越來越多聽到的是勒索、聽到了蠕蟲。原來的問題只是南北向打進來,很少有東西向的穿越。今天可能一臺機器感染會橫向傳播,導致若干臺、數千臺設備中招。說明攻擊的方式也在發生改變,還有大量工控設備。你可以看到索尼的問題,拉斯維加斯賭場的問題,都是通過工控的設備。比如說,溫控系統、攝像頭系統來進行攻擊。現在增加了新的攻擊手段是挖礦,不是直接攻擊你的數據,而是占用你的CPU和內存,用計算機資源幫助他獲取另外的利益,可以看到攻擊的手段各式各樣。
這些的原因是什么?數字化轉型。傳統看安全團隊負責的是服務器、技術架構,今天看各種數字化轉型蓬勃發展,有應用服務器、虛擬化、云、容器,企業有工控安全、內網企業IOT設備,越來越多的全都是暴露在互聯網側,導致了你面臨攻擊的風險會越來越大。如果用傳統的方法只關注在服務器、PC、網絡設備,你會發現你會面臨越來越多的風險。
在看Gartner報告怎么講?到2020年底,所有已知安全事件中99%是通過被利用的漏洞進行,事件中99%是已知。說明沒有那么多的APP,沒有那么多的未知威脅和攻擊。如果你沒有處理好已知問題,而去把大量的資金或技術投在防止未知威脅是不應該的。我們的報告可以看到什么信息?可以看到大概90分鐘就有高危漏洞產生,客戶里面平均8千到9千每個月新增漏洞數,一半以上客戶都受過網絡攻擊。可以看到是非常嚴重的現象。
今天看過去的漏洞數據,這是Gartner的報告。可以看到十年前并不是太多,一年幾千個漏洞,2017年達到14000個,2018年是16000個,可以看到數量是非常龐大的。具體分析來看,7%的漏洞是可利用的,你算算有多少?也得有好幾千個。通過傳統的對漏洞優先級評分可以看到超過7的63%,超過9的12%。如果12%的話,基本上是兩千以上,數量太龐大了。對于企業來說、對于用戶來說,什么是真正的安全風險?是不是把所有的漏洞都發現掉了?是不是把所有的攻擊都發現掉了?顯然不是。
對用戶的安全風險是什么?上面的圖非常好,我非常的喜歡這幅圖,是針對用戶的核心業務能產生攻擊的漏洞才應該是你真正關注最優先級處理的問題,這才是你真正的安全風險,而不是全部的發現。這對于企業來說是非常重要和需要看的點。
今天來看,把安全的投資分成三個方面:事前、事中和事后。有很多的企業在投資大量的預算和資金在這部分,我們叫做“安全的事中防御”,買了防病毒、DLP等等,也有一些在新建C情報,我們叫“事后的回促系統”,沒錯都是有價值的,對于安全的整個鏈條來看都會有價值,但往往忽略的是事前到底有什么樣的安全風險、有什么樣的問題。
四個問題,在你們的企業中是否有被利用的風險?如果利用你現在的平臺來看是否能發現?這些風險的修補等級是怎么樣的?是高還是低?怎樣才能降低被利用的風險?以及跟同行、跟金融、跟制造業相比到底處在什么樣的安全水平。我相信你如果不能做很好平衡投資,如果光投資實時保護,還是沒有太多的意義。
曾經有個金融客戶經過紅藍對抗以后CSO得出結論是什么?有Gartner上線的(,不講哪個公司的產品,仍然被打穿。說明什么?沒有不透風的墻,純靠被動防御或監測系統是不能完全發現和預防你風險的。傳統來看,企業客戶最喜歡投資的一定是保護,他見效最快、最直接。今天來看,雅虎、萬豪、,去年出了很大的安全事故,他買了什么樣的產品?把大量的資金投在風險可視部分。做CSO認為是平衡的投資,而不單單只是投某一塊,這是從廠商角度的建議。
今天來看問題是什么?可視化的能力夠不夠?你有多少資產?舉個最簡單的例子,最近比較熱門的話題是RDP0708,Web(英),找到可能受到影響、可能被攻擊的資產是第一步,但有什么方法去找?靜態數據。準嗎?以數據來看靜態數據往往不準,和實際數據存在巨大的偏差。曾經跟一個客戶CSO聊,上線系統非常的規范,根本不可能說系統上線了不知道,應用裝上去不知道。可能你的流程非常的規范,問題是什么?買了第三方產品,里面帶了Web(音)是以第三方平臺包進去的,這時候再有更好靜態的表的管理系統也發現不了資產。對于資產的存量可視不光是IP、不光是端口,包括應用路口、應用版本全部具備可視。
缺乏優先級處理是什么?大家覺得我有漏洞掃描的產品就夠了,能把所有的漏洞數全都掃出來。舉一個幫中國金融客戶做測試的時候,掃出12萬中危以上的漏洞,2500個資產對應12萬漏洞。剛剛史總說一個券商的安全團隊5個人左右,怎么處理12個洞?顯然不行。假如說,把中危去掉看高危和嚴重的仍然有6萬個,數字非常的龐大。哪些洞是產生實質威脅的是最大的,而不是高危嚴重的,這是很大的問題。
缺乏商業的度量,一臺辦公電腦和業務服務器權重是一樣的嗎?它倆有同樣風險的時候先處理哪個、后處理哪個?從資產的維度、從應用的維度,基于度量。坦白地說,現在也沒有,完全憑手工、憑經驗去做。現在的問題在哪里?有些問題覺得我有了掃描類產品、我有了資產掃描的產品就有了安全風險可視能力。坦然說,你有這兩樣也回答不了上面的三個問題。
原來評價一個風險是高危、中危、低危,這是傳統的攻擊。今天來看漏洞的數據不停地增長,看高危嚴重也仍然太多,仍然不能幫用戶從海量風險中分析出來哪些是真正的對他能產生實質威脅,甚至攻擊的風險是什么。優先級分析傳統的看到高危、嚴重、中危。新的聚焦體系在哪里?如何讓真正的威脅能夠更少,真正讓用戶處理的威脅更小。目標能讓我有時間,比如說,今天只能修50個,能告訴我哪50個最重要嗎?哪些最優先處理的?重要的是從三個維度將風險能夠智能分析出來。哪三個維度?資產的價值/資產的嚴重性、漏洞數據、攻擊數據。攻擊數據包括漏洞情報,漏洞是不是能利用。現在在暗網和黑客界是不是有攻擊腳本?是不是有大量的黑客利用漏洞進行漏洞攻擊。所有的綜合判斷幫你分析哪些是不是真正要處理。
所以我們公司做了優先級預測系統,通過150多項不同維度的數值幫你判斷修補。此外,漏洞評分包括有沒有攻擊的模式、攻擊的腳本有沒有,包括可利用方面去評估。漏洞情報,暗網上有POC,在Gartner有沒有公布等等。舉0708最最關心的度,剛出來評分只有5.9,CVSS角度認為這個洞可被利用,利用復雜度不是很高,所以給了很高的分。值到上個禮拜,我們的評分才會被它調成9.9。從5.9調到9.9的原因是什么?在公開出現攻擊腳本被廣泛的散播在各個暗網以及黑客渠道里面。
洞剛出來沒有實質的威脅,修補優先級并不是最高的。但真正有了黑客已經有了POC腳本有了攻擊,顯然你最先修的是這個洞。我們可以讓客戶真正聚焦在3%的風險上,而不是讓你在海量漏洞中發現了一堆扔給運維部門,結果我修的太多了,這可能是和傳統的廠商有不太一樣的觀點。
重要的是安全可視的平臺需要做什么,需要有哪些可視能力?風險可視能力,包括資產的維度。剛剛講了開放的端口、IP應用、應用版本、路徑這些需要有非常可視能力,能夠清楚的知道到底有什么樣的資產。對于漏洞風險可視能力,不管是在容器層面、在虛擬化層面、在操作系統、在中間件數據庫、Web應用安全風險可視能力。可視能力來了以后最重要的是能夠分析,當我去除雜疑能夠聚焦在真正產生實際威脅的是什么。度量能力是什么?要跟同行和制定策略的去比,到底現在做的好還是不好,這樣的平臺才能真正幫你帶來風險完全可視能力。
目前,Tenable全球有2700家公司,進入中國三年不到的時間,在中國有了近三十家券商、兩個交易所、四個大銀行以及高科技公司,包括華為、中信等等。我們的產品涵蓋內容相對比較多,是安全里面更細分的一塊,有相應的解決方案。