黑白誓不两立｜《漏洞》第11讲：网络“白产”的三大趋势

《漏洞》作者：360公司创始人、360企业安全集团董事长齐向东

编者按

我们为您重磅推出的连载内容取自2018年下半年新出版的《漏洞》，这本七大院士联袂推荐的著作是齐向东根据他过去十几年的从业经历，对网络安全产业的总结和思考。他用通俗的语言和大家熟知的案例，把网络安全的基本构成、关键要素和未来趋势进行了梳理，并提出了应对当前网络安全威胁的新对策。上期为您介绍了网络“白产”的发展特点，本期将为您归纳网络“白产”的三大趋势。




第二章

黑与白：是“黑产”魔高一尺，还是“白产”道高一丈

第二节　网络白色产业

“白产”的三大趋势


上一节，我总结了网络黑色产业的四大趋势，对它做出了科学预判。按照相似的逻辑，我总结了网络白色产业的三大趋势。



趋势一：漏洞扫描与评估产品的应用场景将不断扩展



随着云计算、虚拟化数据中心、移动应用、IoT/OT设备等IT技术的持续演进和应用的深入，传统的漏洞扫描与评估技术面临着新的技术挑战，产品的功能和支持的应用场景也在不断扩展，主要包括：


支持基于主机代理软件（agent-based）的扫描器，以适应云计算和虚拟化数据中心的应用场景；为提高资产的发现与识别能力，提高漏洞扫描的效率，漏洞评估产品需要与虚拟化管理平台、企业移动管理（EMM）平台以及云服务提供商的应用程序编程接口（API）等的集成能力；拓展扫描能力，支持虚拟化环境中的容器技术；增强开源组件的漏洞扫描检测能力；支持IoT/OT应用场景，能够支持可编程逻辑控制器（PLC）、因特网连接共享（ICS）、数据采集与监视控制系统（SCADA）等工业控制设备的漏洞扫描与评估；支持SaaS模式交付；支持移动设备和应用的漏洞扫描与评估等。



虽然传统的漏洞扫描与评估产品在持续不断地扩展能力，但某些应用场景由于其技术特殊性，需要进行更加深入的漏洞检测与评估，需要特定的资源，甚至需要采用完全不同的漏洞检测技术和评估方法，同时，这些场景的应用程度又要足够广泛，这样就有机会发展成为独立的漏洞扫描与评估产品品类。



趋势二：威胁情报和机器学习将发挥巨大作用


漏洞扫描与评估只是漏洞管理工作的第一步，根据评估的结果进行漏洞的修复或缓解，才能够排除安全风险。


理想状况下，漏洞扫描与评估工作完成后，大家就应该立刻进行修复或缓解工作。但现实往往不是这样，我们遇到的第一个挑战就是，我们的资源和时间都是有限的，在实际工作中不可能立刻修复和缓解发现的每一个漏洞。因此，对发现的大量漏洞进行风险评估和修复优先级排序极为重要。


传统的优先级排序算法主要考虑资产重要性和漏洞严重性这两个因素：风险=资产重要性×漏洞严重性。漏洞严重性可以采用通用漏洞评分系统（CVSS）定义的0～10分值，或者简单采用“高/中/低”这样的表述，计算出风险分值，根据风险分值，排定漏洞的优先级。市场上有的漏洞评估产品还引入了更多的因素，采用了更加复杂的算法进行细粒度的排优。但即使采用更加复杂的算法，用户面临的大量需要处理的问题可能还是很难解决。



如果我们回到问题的本源，风险是与威胁相对应的概念，在排优算法中加入威胁相关的数据，可以极大缩减待处理漏洞的数量，优化漏洞排优算法。2011年在美国芝加哥创立的漏洞管理和风险智能安全公司肯纳安全（Kenna Security）就采用了这种方式，在漏洞排优中引入了威胁情报和机器学习算法。


肯纳的技术将外部互联网的泄露数据、零日漏洞威胁情报与内部漏洞扫描数据进行结合，可以实时监控组织内部的网络安全风险程度，并在风险程度超过预设的阈值之后通过告警系统通知组织相关人员采取相应行动。


可利用的威胁情报及上下文数据包括：观测到的与漏洞相关的安全事件数量、公开已获得的漏洞利用代码、已知的恶意代码家族或攻击工具套件使用的漏洞、监测到相关的组织受到类似的攻击等。可以说，这些情报和数据在未来将越来越重要。



趋势三：传统的漏洞管理平台将逐渐转变为“漏洞响应平台”


在新的安全态势下，漏洞信息和漏洞利用代码借助安全社区和社交软件，传播的速度大大加快，很快就会形成安全热点事件，传统的按部就班、周期性执行的漏洞管理流程已经很难应对快速的漏洞攻防态势，这就需要我们改变观念，把传统的“漏洞管理平台”转变为“漏洞响应平台”。这个平台的关键要素有三点。


第一点是数据驱动。 这里的数据主要包括两大类：漏洞情报库和本地漏洞库。通过两类数据的关联分析，形成安全事件和漏洞处理工单，驱动整个漏洞响应流程的运转。


漏洞情报库将整合国内外主要漏洞库、各种漏洞发现平台等的漏洞数据，建立统一化的漏洞库，之后通过平台支撑，监控各种安全社区、整合威胁情报数据（与漏洞相关）、收集验证漏洞证明（POC），等等，使用这些数据对统一化的漏洞库进行丰富化处理，形成以漏洞为核心的漏洞情报库。


本地漏洞库以本地漏洞数据为中心，使用资产数据、企业环境数据等进行丰富化处理，给每个漏洞打上内容丰富的标签，同时支持各种漏洞扫描与评估结果的数据归一化处理。


第二点是及时响应。 能够与资产管理系统、安全运营中心（SOC）平台、漏洞扫描与修复、漏洞修复与缓解等产品集成，构建事件触发、工单处理的流程和系统模块，形成自动化响应。


第三点是人的参与。 漏洞的安全运营需要专业安全分析人员、安全决策人员的参与，平台系统需要建立不同的角色和任务流程引擎。

来源  360企业安全