freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

斗象陈玉奇:浅析漏洞管理与VPT(漏洞优先级技术)
  • 关注
斗象陈玉奇:浅析漏洞管理与VPT(漏洞优先级技术)
2021-10-12 17:32:28

漏洞及其管理是一个老生常谈的问题,但是近年来由于国内对信息安全的重视,和信息安全行业的快速发展,企业对漏洞管理的关注度不断上升。尤其随着由斗象科技参与制定的新的GB/T 30276-2020《信息安全技术网络安全漏洞管理规范》标准正式实施以来,各类漏洞评估工具和漏洞管理的解决方案也掀起了一个新的高潮。

但是当客户真正开始通过这些解决方案进行漏洞管理的时候,往往会发现很多流程实际上是无法闭环的。理论上,只要能够找到这个资产,发现针对这个资产的漏洞,就应该可以针对这个漏洞进行修复。但是实际情况不是这样的,因为资产是复杂的,环境是多变的,由此发现的漏洞也是多种多样的,修复的方法和周期也不一样。当我们面对每天层出不穷的漏洞,在人员和资源有限的情况下,必然要思考,是不是每一个漏洞都是需要修复?

答案显然是否定的!真正的漏洞管理平台需要做的,就是在保证业务正常运行的情况下,快速而准确地决定,哪些漏洞是危害最大,是优先级最高需要修复的。此时,VPT(漏洞优先级技术“Vulnerability prioritization technology”)这个概念被提了出来。VPT在Gartner发布的《漏洞评估市场指南“Market Guide for Vulnerability Assessment”(2019)》开始作为非常明确的用户场景被提出了,主要为了增强在整个漏洞管理上的风险定义和处置优先级,在之后的《漏洞评估市场指南“Market guide for vulnerability assessment”(2021)》被进一步强化,同时在《安全运营技术成熟度模型“Hype Cycle for Security Operations”2021》中,Gartner将VPT定义为最具期待性的巅峰技术之一,将在2-5年中进入成熟期。

抛开技术定义,所谓VPT,就是通过各种方法,动态的将需要修复的漏洞排定优先级,并且在统一的平台上进行排序和处理,以期利用最合理的资源、最少的时间最大程度降低由漏洞造成的风险。

VPT作为基于风险的漏洞管理策略的具体组成部分,从一开始就不依赖单纯的漏洞评估工具,而是采用了更多方法和手段,包括:

01 遥测数据

遥测数据,为了实现VPT的准确性,要求能够集成大量的漏洞评估工具的遥测信息,不是单纯的资产信息或者漏洞扫描,必要的时候还需要将与主机相关的遥测信息,例如端口、漏洞、甚至进程等信息统计进行分析;

02 漏洞情报

漏洞情报,VPT的实现需要纳入多源海量的漏洞情报,包括漏洞库、EXP等,能够与官方漏洞情报库、厂商漏洞情报库以及开源漏洞情报库对接;

03 上下文环境关联

上下文环境关联,漏洞的风险和优先级必然与资产所处的环境上下文具有强关联,所以VPT必然要求与环境信息进行互动,例如需要知道漏洞相关的访问控制信息,获取资产之间的建联信息;

04 动态评估加上安全专家人工确认

动态评估加上安全专家人工确认,VPT必须通过动态的方法,在海量的数据中求得相关优先级的评级,为了保证优先级的可靠性,最好还需要安全专家的服务与确认。

VPT实现最终会落到一个统一的平台上,而斗象科技推出的基于风险管理的漏洞运营管理平台——VMS就是这样一个平台。VMS能够提高用户的资产安全运营效率,通过漏洞情报订阅实现安全左移、漏洞接入(包括漏洞扫描器、基线检测、代码审计、灰盒检测工具、风险评估、渗透测试、众测、企业SRC等平台数据)实现漏洞全生命周期的管理,通过资产管理实现用户对全网资产的安全感知。

VMS能够对接官方漏洞库、CERT和社区类漏洞度,整合运营海量安全漏洞情报,基于不同的业务场景,赋予系统智能化分析和决策能力。帮助客户实时监测IT系统中所有软硬件资产的漏洞威胁,通过基于风险优先级的管理方式,找到优先需要处理的弱点并进行补偿性管理,从而显著降低风险。

VMS基于VPT评估所有资产,对资产的弱点可以从漏洞影响面,主机影响面,风险程度等多个维度进行可视化呈现。

VMS实现动态VPT评估,并可以与斗象PRS全流量分析系统联动,可以快速甄别出易被黑客利用的漏洞攻击链路和上下文信息,并给出完善的处置策略。将弱点的发现、评估、优先级排序、工作流程、处置方式和效果、自动化措施等串行在一起,形成整个风险管理的闭环和迭代提升。

VMS漏洞自动化闭环处置流程集成VPT模型,安全运营人员不会在没有风险的漏洞上浪费时间。工单处理优先级明确,极大提高了安全防御的有效性和效率。

VPT作为新兴的技术,方兴未艾,而VMS基于这项技术无论在评估体系、应用场景和实际运用中还需要有更多的实践,无论如何,其最终会帮助客户降低风险,实现全面有效的漏洞管理和安全控制。

文/斗象科技技术副总经理、首席安全架构师 陈玉奇

REFERENCE

本文部分内容来源参考以下链接:gartner官网

参考文献:

1.Gartner,2021.6.25,Market Guide for Vulnerability Assessment

2.Gartner,2021.7.23,Hype Cycle for Security Operations

# 漏洞管理 # VPT # 漏洞优先级 # VMS
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者