itle="1.jpg" alt="1.jpg" width="700" height="466"/>
IT技術(shù)的改變,,先從架構(gòu)來看,,傳統(tǒng)的看,大家都在建數(shù)據(jù)中心,,今天越來越多的客戶接受了云,,尤其是國外、美國,,絕大多數(shù)的客戶對公有云信任程度遠遠高于自建數(shù)據(jù)中心,。另外,看到工作的環(huán)境,,原來在實體機開發(fā),,現(xiàn)在是虛擬機、容器化,,可以看到整個的趨勢在發(fā)生改變,。
在開發(fā)的環(huán)境下,原來為了開發(fā)項目準(zhǔn)備很多的人專門開發(fā)一個程序,,今天全都是微服務(wù),、DEVOPS、敏捷開發(fā),,整個開發(fā)環(huán)境也產(chǎn)生大量的改變,。此外,原來只關(guān)心計算技術(shù),、筆記本電腦,、臺式機、網(wǎng)絡(luò)設(shè)備,,今天看到2019年底激活大概多少個IOT設(shè)備,?是90億IOT設(shè)備。所以你面臨的終端會越來越多,。
原來總覺得內(nèi)網(wǎng)是絕對安全的,,今天來看也不一定。我們看到到2020年底有25%的攻擊是針對OT設(shè)備,。整體來看,,和傳統(tǒng)的IT,不管從方法、從設(shè)備,、從技術(shù)都產(chǎn)生了巨大的變化,。
再來看攻擊的方面,原來大家是竊取數(shù)據(jù),,今天大家越來越多聽到的是勒索,、聽到了蠕蟲。原來的問題只是南北向打進來,,很少有東西向的穿越,。今天可能一臺機器感染會橫向傳播,導(dǎo)致若干臺,、數(shù)千臺設(shè)備中招,。說明攻擊的方式也在發(fā)生改變,還有大量工控設(shè)備,。你可以看到索尼的問題,,拉斯維加斯賭場的問題,都是通過工控的設(shè)備,。比如說,,溫控系統(tǒng)、攝像頭系統(tǒng)來進行攻擊?,F(xiàn)在增加了新的攻擊手段是挖礦,,不是直接攻擊你的數(shù)據(jù),而是占用你的CPU和內(nèi)存,,用計算機資源幫助他獲取另外的利益,,可以看到攻擊的手段各式各樣。
這些的原因是什么,?數(shù)字化轉(zhuǎn)型,。傳統(tǒng)看安全團隊負責(zé)的是服務(wù)器、技術(shù)架構(gòu),,今天看各種數(shù)字化轉(zhuǎn)型蓬勃發(fā)展,,有應(yīng)用服務(wù)器、虛擬化,、云,、容器,企業(yè)有工控安全,、內(nèi)網(wǎng)企業(yè)IOT設(shè)備,,越來越多的全都是暴露在互聯(lián)網(wǎng)側(cè),,導(dǎo)致了你面臨攻擊的風(fēng)險會越來越大,。如果用傳統(tǒng)的方法只關(guān)注在服務(wù)器、PC、網(wǎng)絡(luò)設(shè)備,,你會發(fā)現(xiàn)你會面臨越來越多的風(fēng)險,。
在看Gartner報告怎么講?到2020年底,,所有已知安全事件中99%是通過被利用的漏洞進行,,事件中99%是已知。說明沒有那么多的APP,,沒有那么多的未知威脅和攻擊,。如果你沒有處理好已知問題,而去把大量的資金或技術(shù)投在防止未知威脅是不應(yīng)該的,。我們的報告可以看到什么信息,?可以看到大概90分鐘就有高危漏洞產(chǎn)生,客戶里面平均8千到9千每個月新增漏洞數(shù),,一半以上客戶都受過網(wǎng)絡(luò)攻擊,。可以看到是非常嚴重的現(xiàn)象,。
今天看過去的漏洞數(shù)據(jù),,這是Gartner的報告??梢钥吹绞昵安⒉皇翘?,一年幾千個漏洞,2017年達到14000個,,2018年是16000個,,可以看到數(shù)量是非常龐大的。具體分析來看,,7%的漏洞是可利用的,,你算算有多少?也得有好幾千個,。通過傳統(tǒng)的對漏洞優(yōu)先級評分可以看到超過7的63%,,超過9的12%。如果12%的話,,基本上是兩千以上,,數(shù)量太龐大了。對于企業(yè)來說,、對于用戶來說,,什么是真正的安全風(fēng)險?是不是把所有的漏洞都發(fā)現(xiàn)掉了,?是不是把所有的攻擊都發(fā)現(xiàn)掉了,?顯然不是,。
對用戶的安全風(fēng)險是什么?上面的圖非常好,,我非常的喜歡這幅圖,,是針對用戶的核心業(yè)務(wù)能產(chǎn)生攻擊的漏洞才應(yīng)該是你真正關(guān)注最優(yōu)先級處理的問題,這才是你真正的安全風(fēng)險,,而不是全部的發(fā)現(xiàn),。這對于企業(yè)來說是非常重要和需要看的點。
今天來看,,把安全的投資分成三個方面:事前,、事中和事后。有很多的企業(yè)在投資大量的預(yù)算和資金在這部分,,我們叫做“安全的事中防御”,,買了防病毒、DLP等等,,也有一些在新建C情報,,我們叫“事后的回促系統(tǒng)”,沒錯都是有價值的,,對于安全的整個鏈條來看都會有價值,,但往往忽略的是事前到底有什么樣的安全風(fēng)險、有什么樣的問題,。
四個問題,,在你們的企業(yè)中是否有被利用的風(fēng)險?如果利用你現(xiàn)在的平臺來看是否能發(fā)現(xiàn),?這些風(fēng)險的修補等級是怎么樣的,?是高還是低?怎樣才能降低被利用的風(fēng)險,?以及跟同行,、跟金融、跟制造業(yè)相比到底處在什么樣的安全水平,。我相信你如果不能做很好平衡投資,,如果光投資實時保護,還是沒有太多的意義,。
曾經(jīng)有個金融客戶經(jīng)過紅藍對抗以后CSO得出結(jié)論是什么,?有Gartner上線的(,不講哪個公司的產(chǎn)品,,仍然被打穿,。說明什么?沒有不透風(fēng)的墻,,純靠被動防御或監(jiān)測系統(tǒng)是不能完全發(fā)現(xiàn)和預(yù)防你風(fēng)險的,。傳統(tǒng)來看,,企業(yè)客戶最喜歡投資的一定是保護,他見效最快,、最直接。今天來看,,雅虎,、萬豪、,,去年出了很大的安全事故,,他買了什么樣的產(chǎn)品?把大量的資金投在風(fēng)險可視部分,。做CSO認為是平衡的投資,,而不單單只是投某一塊,這是從廠商角度的建議,。
今天來看問題是什么,?可視化的能力夠不夠?你有多少資產(chǎn),?舉個最簡單的例子,,最近比較熱門的話題是RDP0708,Web(英),,找到可能受到影響,、可能被攻擊的資產(chǎn)是第一步,但有什么方法去找,?靜態(tài)數(shù)據(jù),。準(zhǔn)嗎?以數(shù)據(jù)來看靜態(tài)數(shù)據(jù)往往不準(zhǔn),,和實際數(shù)據(jù)存在巨大的偏差,。曾經(jīng)跟一個客戶CSO聊,上線系統(tǒng)非常的規(guī)范,,根本不可能說系統(tǒng)上線了不知道,,應(yīng)用裝上去不知道??赡苣愕牧鞒谭浅5囊?guī)范,,問題是什么?買了第三方產(chǎn)品,,里面帶了Web(音)是以第三方平臺包進去的,,這時候再有更好靜態(tài)的表的管理系統(tǒng)也發(fā)現(xiàn)不了資產(chǎn)。對于資產(chǎn)的存量可視不光是IP,、不光是端口,,包括應(yīng)用路口,、應(yīng)用版本全部具備可視。
缺乏優(yōu)先級處理是什么,?大家覺得我有漏洞掃描的產(chǎn)品就夠了,,能把所有的漏洞數(shù)全都掃出來。舉一個幫中國金融客戶做測試的時候,,掃出12萬中危以上的漏洞,,2500個資產(chǎn)對應(yīng)12萬漏洞。剛剛史總說一個券商的安全團隊5個人左右,,怎么處理12個洞,?顯然不行。假如說,,把中危去掉看高危和嚴重的仍然有6萬個,,數(shù)字非常的龐大。哪些洞是產(chǎn)生實質(zhì)威脅的是最大的,,而不是高危嚴重的,,這是很大的問題。
缺乏商業(yè)的度量,,一臺辦公電腦和業(yè)務(wù)服務(wù)器權(quán)重是一樣的嗎,?它倆有同樣風(fēng)險的時候先處理哪個、后處理哪個,?從資產(chǎn)的維度,、從應(yīng)用的維度,基于度量,。坦白地說,,現(xiàn)在也沒有,完全憑手工,、憑經(jīng)驗去做?,F(xiàn)在的問題在哪里?有些問題覺得我有了掃描類產(chǎn)品,、我有了資產(chǎn)掃描的產(chǎn)品就有了安全風(fēng)險可視能力,。坦然說,你有這兩樣也回答不了上面的三個問題,。
原來評價一個風(fēng)險是高危,、中危、低危,,這是傳統(tǒng)的攻擊,。今天來看漏洞的數(shù)據(jù)不停地增長,看高危嚴重也仍然太多,,仍然不能幫用戶從海量風(fēng)險中分析出來哪些是真正的對他能產(chǎn)生實質(zhì)威脅,,甚至攻擊的風(fēng)險是什么,。優(yōu)先級分析傳統(tǒng)的看到高危、嚴重,、中危,。新的聚焦體系在哪里?如何讓真正的威脅能夠更少,,真正讓用戶處理的威脅更小,。目標(biāo)能讓我有時間,比如說,,今天只能修50個,,能告訴我哪50個最重要嗎,?哪些最優(yōu)先處理的,?重要的是從三個維度將風(fēng)險能夠智能分析出來。哪三個維度,?資產(chǎn)的價值/資產(chǎn)的嚴重性,、漏洞數(shù)據(jù)、攻擊數(shù)據(jù),。攻擊數(shù)據(jù)包括漏洞情報,,漏洞是不是能利用。現(xiàn)在在暗網(wǎng)和黑客界是不是有攻擊腳本,?是不是有大量的黑客利用漏洞進行漏洞攻擊,。所有的綜合判斷幫你分析哪些是不是真正要處理。
所以我們公司做了優(yōu)先級預(yù)測系統(tǒng),,通過150多項不同維度的數(shù)值幫你判斷修補,。此外,漏洞評分包括有沒有攻擊的模式,、攻擊的腳本有沒有,,包括可利用方面去評估。漏洞情報,,暗網(wǎng)上有POC,,在Gartner有沒有公布等等。舉0708最最關(guān)心的度,,剛出來評分只有5.9,,CVSS角度認為這個洞可被利用,利用復(fù)雜度不是很高,,所以給了很高的分,。值到上個禮拜,我們的評分才會被它調(diào)成9.9,。從5.9調(diào)到9.9的原因是什么,?在公開出現(xiàn)攻擊腳本被廣泛的散播在各個暗網(wǎng)以及黑客渠道里面,。
洞剛出來沒有實質(zhì)的威脅,修補優(yōu)先級并不是最高的,。但真正有了黑客已經(jīng)有了POC腳本有了攻擊,,顯然你最先修的是這個洞。我們可以讓客戶真正聚焦在3%的風(fēng)險上,,而不是讓你在海量漏洞中發(fā)現(xiàn)了一堆扔給運維部門,,結(jié)果我修的太多了,這可能是和傳統(tǒng)的廠商有不太一樣的觀點,。
重要的是安全可視的平臺需要做什么,,需要有哪些可視能力?風(fēng)險可視能力,,包括資產(chǎn)的維度,。剛剛講了開放的端口、IP應(yīng)用,、應(yīng)用版本,、路徑這些需要有非常可視能力,,能夠清楚的知道到底有什么樣的資產(chǎn),。對于漏洞風(fēng)險可視能力,不管是在容器層面,、在虛擬化層面,、在操作系統(tǒng)、在中間件數(shù)據(jù)庫,、Web應(yīng)用安全風(fēng)險可視能力,。可視能力來了以后最重要的是能夠分析,,當(dāng)我去除雜疑能夠聚焦在真正產(chǎn)生實際威脅的是什么,。度量能力是什么?要跟同行和制定策略的去比,,到底現(xiàn)在做的好還是不好,,這樣的平臺才能真正幫你帶來風(fēng)險完全可視能力。
目前,,Tenable全球有2700家公司,,進入中國三年不到的時間,在中國有了近三十家券商,、兩個交易所,、四個大銀行以及高科技公司,包括華為、中信等等,。我們的產(chǎn)品涵蓋內(nèi)容相對比較多,,是安全里面更細分的一塊,有相應(yīng)的解決方案,。