itle="1.jpg" alt="1.jpg" width="700" height="466"/>
IT技術(shù)的改變,,先從架構(gòu)來看,傳統(tǒng)的看,,大家都在建數(shù)據(jù)中心,,今天越來越多的客戶接受了云,,尤其是國外,、美國,,絕大多數(shù)的客戶對公有云信任程度遠(yuǎn)遠(yuǎn)高于自建數(shù)據(jù)中心。另外,,看到工作的環(huán)境,,原來在實體機(jī)開發(fā),,現(xiàn)在是虛擬機(jī),、容器化,可以看到整個的趨勢在發(fā)生改變,。
在開發(fā)的環(huán)境下,,原來為了開發(fā)項目準(zhǔn)備很多的人專門開發(fā)一個程序,今天全都是微服務(wù),、DEVOPS,、敏捷開發(fā),整個開發(fā)環(huán)境也產(chǎn)生大量的改變,。此外,,原來只關(guān)心計算技術(shù)、筆記本電腦,、臺式機(jī),、網(wǎng)絡(luò)設(shè)備,今天看到2019年底激活大概多少個IOT設(shè)備,?是90億IOT設(shè)備,。所以你面臨的終端會越來越多。
原來總覺得內(nèi)網(wǎng)是絕對安全的,,今天來看也不一定,。我們看到到2020年底有25%的攻擊是針對OT設(shè)備。整體來看,,和傳統(tǒng)的IT,,不管從方法、從設(shè)備,、從技術(shù)都產(chǎn)生了巨大的變化,。
再來看攻擊的方面,原來大家是竊取數(shù)據(jù),,今天大家越來越多聽到的是勒索,、聽到了蠕蟲,。原來的問題只是南北向打進(jìn)來,很少有東西向的穿越,。今天可能一臺機(jī)器感染會橫向傳播,,導(dǎo)致若干臺、數(shù)千臺設(shè)備中招,。說明攻擊的方式也在發(fā)生改變,,還有大量工控設(shè)備。你可以看到索尼的問題,,拉斯維加斯賭場的問題,,都是通過工控的設(shè)備。比如說,,溫控系統(tǒng),、攝像頭系統(tǒng)來進(jìn)行攻擊。現(xiàn)在增加了新的攻擊手段是挖礦,,不是直接攻擊你的數(shù)據(jù),,而是占用你的CPU和內(nèi)存,用計算機(jī)資源幫助他獲取另外的利益,,可以看到攻擊的手段各式各樣,。
這些的原因是什么?數(shù)字化轉(zhuǎn)型,。傳統(tǒng)看安全團(tuán)隊負(fù)責(zé)的是服務(wù)器,、技術(shù)架構(gòu),今天看各種數(shù)字化轉(zhuǎn)型蓬勃發(fā)展,,有應(yīng)用服務(wù)器,、虛擬化、云,、容器,,企業(yè)有工控安全、內(nèi)網(wǎng)企業(yè)IOT設(shè)備,,越來越多的全都是暴露在互聯(lián)網(wǎng)側(cè),,導(dǎo)致了你面臨攻擊的風(fēng)險會越來越大。如果用傳統(tǒng)的方法只關(guān)注在服務(wù)器,、PC,、網(wǎng)絡(luò)設(shè)備,你會發(fā)現(xiàn)你會面臨越來越多的風(fēng)險,。
在看Gartner報告怎么講,?到2020年底,所有已知安全事件中99%是通過被利用的漏洞進(jìn)行,,事件中99%是已知,。說明沒有那么多的APP,,沒有那么多的未知威脅和攻擊。如果你沒有處理好已知問題,,而去把大量的資金或技術(shù)投在防止未知威脅是不應(yīng)該的,。我們的報告可以看到什么信息?可以看到大概90分鐘就有高危漏洞產(chǎn)生,,客戶里面平均8千到9千每個月新增漏洞數(shù),,一半以上客戶都受過網(wǎng)絡(luò)攻擊??梢钥吹绞欠浅?yán)重的現(xiàn)象,。
今天看過去的漏洞數(shù)據(jù),這是Gartner的報告,??梢钥吹绞昵安⒉皇翘啵荒陰浊€漏洞,,2017年達(dá)到14000個,,2018年是16000個,,可以看到數(shù)量是非常龐大的,。具體分析來看,7%的漏洞是可利用的,,你算算有多少,?也得有好幾千個。通過傳統(tǒng)的對漏洞優(yōu)先級評分可以看到超過7的63%,,超過9的12%,。如果12%的話,基本上是兩千以上,,數(shù)量太龐大了,。對于企業(yè)來說、對于用戶來說,,什么是真正的安全風(fēng)險,?是不是把所有的漏洞都發(fā)現(xiàn)掉了?是不是把所有的攻擊都發(fā)現(xiàn)掉了,?顯然不是,。
對用戶的安全風(fēng)險是什么?上面的圖非常好,,我非常的喜歡這幅圖,,是針對用戶的核心業(yè)務(wù)能產(chǎn)生攻擊的漏洞才應(yīng)該是你真正關(guān)注最優(yōu)先級處理的問題,這才是你真正的安全風(fēng)險,,而不是全部的發(fā)現(xiàn),。這對于企業(yè)來說是非常重要和需要看的點,。
今天來看,把安全的投資分成三個方面:事前,、事中和事后,。有很多的企業(yè)在投資大量的預(yù)算和資金在這部分,我們叫做“安全的事中防御”,,買了防病毒,、DLP等等,也有一些在新建C情報,,我們叫“事后的回促系統(tǒng)”,,沒錯都是有價值的,對于安全的整個鏈條來看都會有價值,,但往往忽略的是事前到底有什么樣的安全風(fēng)險,、有什么樣的問題。
四個問題,,在你們的企業(yè)中是否有被利用的風(fēng)險,?如果利用你現(xiàn)在的平臺來看是否能發(fā)現(xiàn)?這些風(fēng)險的修補(bǔ)等級是怎么樣的,?是高還是低,?怎樣才能降低被利用的風(fēng)險?以及跟同行,、跟金融,、跟制造業(yè)相比到底處在什么樣的安全水平。我相信你如果不能做很好平衡投資,,如果光投資實時保護(hù),,還是沒有太多的意義。
曾經(jīng)有個金融客戶經(jīng)過紅藍(lán)對抗以后CSO得出結(jié)論是什么,?有Gartner上線的(,,不講哪個公司的產(chǎn)品,仍然被打穿,。說明什么,?沒有不透風(fēng)的墻,純靠被動防御或監(jiān)測系統(tǒng)是不能完全發(fā)現(xiàn)和預(yù)防你風(fēng)險的,。傳統(tǒng)來看,,企業(yè)客戶最喜歡投資的一定是保護(hù),他見效最快,、最直接,。今天來看,雅虎、萬豪,、,,去年出了很大的安全事故,他買了什么樣的產(chǎn)品,?把大量的資金投在風(fēng)險可視部分,。做CSO認(rèn)為是平衡的投資,而不單單只是投某一塊,,這是從廠商角度的建議,。
今天來看問題是什么?可視化的能力夠不夠,?你有多少資產(chǎn),?舉個最簡單的例子,最近比較熱門的話題是RDP0708,,Web(英),,找到可能受到影響、可能被攻擊的資產(chǎn)是第一步,,但有什么方法去找,?靜態(tài)數(shù)據(jù)。準(zhǔn)嗎,?以數(shù)據(jù)來看靜態(tài)數(shù)據(jù)往往不準(zhǔn),,和實際數(shù)據(jù)存在巨大的偏差。曾經(jīng)跟一個客戶CSO聊,,上線系統(tǒng)非常的規(guī)范,,根本不可能說系統(tǒng)上線了不知道,應(yīng)用裝上去不知道,。可能你的流程非常的規(guī)范,,問題是什么,?買了第三方產(chǎn)品,里面帶了Web(音)是以第三方平臺包進(jìn)去的,,這時候再有更好靜態(tài)的表的管理系統(tǒng)也發(fā)現(xiàn)不了資產(chǎn),。對于資產(chǎn)的存量可視不光是IP、不光是端口,,包括應(yīng)用路口,、應(yīng)用版本全部具備可視。
缺乏優(yōu)先級處理是什么,?大家覺得我有漏洞掃描的產(chǎn)品就夠了,,能把所有的漏洞數(shù)全都掃出來。舉一個幫中國金融客戶做測試的時候,掃出12萬中危以上的漏洞,,2500個資產(chǎn)對應(yīng)12萬漏洞,。剛剛史總說一個券商的安全團(tuán)隊5個人左右,怎么處理12個洞,?顯然不行,。假如說,把中危去掉看高危和嚴(yán)重的仍然有6萬個,,數(shù)字非常的龐大,。哪些洞是產(chǎn)生實質(zhì)威脅的是最大的,而不是高危嚴(yán)重的,,這是很大的問題,。
缺乏商業(yè)的度量,一臺辦公電腦和業(yè)務(wù)服務(wù)器權(quán)重是一樣的嗎,?它倆有同樣風(fēng)險的時候先處理哪個,、后處理哪個?從資產(chǎn)的維度,、從應(yīng)用的維度,,基于度量。坦白地說,,現(xiàn)在也沒有,,完全憑手工、憑經(jīng)驗去做?,F(xiàn)在的問題在哪里,?有些問題覺得我有了掃描類產(chǎn)品、我有了資產(chǎn)掃描的產(chǎn)品就有了安全風(fēng)險可視能力,。坦然說,,你有這兩樣也回答不了上面的三個問題。
原來評價一個風(fēng)險是高危,、中危,、低危,這是傳統(tǒng)的攻擊,。今天來看漏洞的數(shù)據(jù)不停地增長,,看高危嚴(yán)重也仍然太多,仍然不能幫用戶從海量風(fēng)險中分析出來哪些是真正的對他能產(chǎn)生實質(zhì)威脅,,甚至攻擊的風(fēng)險是什么,。優(yōu)先級分析傳統(tǒng)的看到高危、嚴(yán)重,、中危,。新的聚焦體系在哪里?如何讓真正的威脅能夠更少,真正讓用戶處理的威脅更小,。目標(biāo)能讓我有時間,,比如說,今天只能修50個,,能告訴我哪50個最重要嗎,?哪些最優(yōu)先處理的?重要的是從三個維度將風(fēng)險能夠智能分析出來,。哪三個維度,?資產(chǎn)的價值/資產(chǎn)的嚴(yán)重性、漏洞數(shù)據(jù),、攻擊數(shù)據(jù),。攻擊數(shù)據(jù)包括漏洞情報,漏洞是不是能利用?,F(xiàn)在在暗網(wǎng)和黑客界是不是有攻擊腳本,?是不是有大量的黑客利用漏洞進(jìn)行漏洞攻擊。所有的綜合判斷幫你分析哪些是不是真正要處理,。
所以我們公司做了優(yōu)先級預(yù)測系統(tǒng),,通過150多項不同維度的數(shù)值幫你判斷修補(bǔ)。此外,,漏洞評分包括有沒有攻擊的模式,、攻擊的腳本有沒有,包括可利用方面去評估,。漏洞情報,,暗網(wǎng)上有POC,在Gartner有沒有公布等等,。舉0708最最關(guān)心的度,,剛出來評分只有5.9,CVSS角度認(rèn)為這個洞可被利用,,利用復(fù)雜度不是很高,,所以給了很高的分。值到上個禮拜,,我們的評分才會被它調(diào)成9.9。從5.9調(diào)到9.9的原因是什么,?在公開出現(xiàn)攻擊腳本被廣泛的散播在各個暗網(wǎng)以及黑客渠道里面,。
洞剛出來沒有實質(zhì)的威脅,修補(bǔ)優(yōu)先級并不是最高的,。但真正有了黑客已經(jīng)有了POC腳本有了攻擊,,顯然你最先修的是這個洞。我們可以讓客戶真正聚焦在3%的風(fēng)險上,而不是讓你在海量漏洞中發(fā)現(xiàn)了一堆扔給運(yùn)維部門,,結(jié)果我修的太多了,,這可能是和傳統(tǒng)的廠商有不太一樣的觀點。
重要的是安全可視的平臺需要做什么,,需要有哪些可視能力,?風(fēng)險可視能力,包括資產(chǎn)的維度,。剛剛講了開放的端口,、IP應(yīng)用、應(yīng)用版本,、路徑這些需要有非??梢暷芰Γ軌蚯宄闹赖降子惺裁礃拥馁Y產(chǎn),。對于漏洞風(fēng)險可視能力,,不管是在容器層面、在虛擬化層面,、在操作系統(tǒng),、在中間件數(shù)據(jù)庫、Web應(yīng)用安全風(fēng)險可視能力,??梢暷芰砹艘院笞钪匾氖悄軌蚍治觯?dāng)我去除雜疑能夠聚焦在真正產(chǎn)生實際威脅的是什么,。度量能力是什么,?要跟同行和制定策略的去比,到底現(xiàn)在做的好還是不好,,這樣的平臺才能真正幫你帶來風(fēng)險完全可視能力,。
目前,Tenable全球有2700家公司,,進(jìn)入中國三年不到的時間,,在中國有了近三十家券商、兩個交易所,、四個大銀行以及高科技公司,,包括華為、中信等等,。我們的產(chǎn)品涵蓋內(nèi)容相對比較多,,是安全里面更細(xì)分的一塊,有相應(yīng)的解決方案,。