itle="1.jpg" alt="1.jpg" width="700" height="466"/>

趙陽  Tenable中國區(qū)經(jīng)理

　　IT技術(shù)的改變，先從架構(gòu)來看，傳統(tǒng)的看，大家都在建數(shù)據(jù)中心，今天越來越多的客戶接受了云，尤其是國外、美國，絕大多數(shù)的客戶對公有云信任程度遠遠高于自建數(shù)據(jù)中心。另外，看到工作的環(huán)境，原來在實體機開發(fā)，現(xiàn)在是虛擬機、容器化，可以看到整個的趨勢在發(fā)生改變。

　　在開發(fā)的環(huán)境下，原來為了開發(fā)項目準備很多的人專門開發(fā)一個程序，今天全都是微服務、DEVOPS、敏捷開發(fā)，整個開發(fā)環(huán)境也產(chǎn)生大量的改變。此外，原來只關(guān)心計算技術(shù)、筆記本電腦、臺式機、網(wǎng)絡設備，今天看到2019年底激活大概多少個IOT設備？是90億IOT設備。所以你面臨的終端會越來越多。

　　原來總覺得內(nèi)網(wǎng)是絕對安全的，今天來看也不一定。我們看到到2020年底有25%的攻擊是針對OT設備。整體來看，和傳統(tǒng)的IT，不管從方法、從設備、從技術(shù)都產(chǎn)生了巨大的變化。

　　再來看攻擊的方面，原來大家是竊取數(shù)據(jù)，今天大家越來越多聽到的是勒索、聽到了蠕蟲。原來的問題只是南北向打進來，很少有東西向的穿越。今天可能一臺機器感染會橫向傳播，導致若干臺、數(shù)千臺設備中招。說明攻擊的方式也在發(fā)生改變，還有大量工控設備。你可以看到索尼的問題，拉斯維加斯賭場的問題，都是通過工控的設備。比如說，溫控系統(tǒng)、攝像頭系統(tǒng)來進行攻擊?，F(xiàn)在增加了新的攻擊手段是挖礦，不是直接攻擊你的數(shù)據(jù)，而是占用你的CPU和內(nèi)存，用計算機資源幫助他獲取另外的利益，可以看到攻擊的手段各式各樣。

　　這些的原因是什么？數(shù)字化轉(zhuǎn)型。傳統(tǒng)看安全團隊負責的是服務器、技術(shù)架構(gòu)，今天看各種數(shù)字化轉(zhuǎn)型蓬勃發(fā)展，有應用服務器、虛擬化、云、容器，企業(yè)有工控安全、內(nèi)網(wǎng)企業(yè)IOT設備，越來越多的全都是暴露在互聯(lián)網(wǎng)側(cè)，導致了你面臨攻擊的風險會越來越大。如果用傳統(tǒng)的方法只關(guān)注在服務器、PC、網(wǎng)絡設備，你會發(fā)現(xiàn)你會面臨越來越多的風險。

　　在看Gartner報告怎么講？到2020年底，所有已知安全事件中99%是通過被利用的漏洞進行，事件中99%是已知。說明沒有那么多的APP，沒有那么多的未知威脅和攻擊。如果你沒有處理好已知問題，而去把大量的資金或技術(shù)投在防止未知威脅是不應該的。我們的報告可以看到什么信息？可以看到大概90分鐘就有高危漏洞產(chǎn)生，客戶里面平均8千到9千每個月新增漏洞數(shù)，一半以上客戶都受過網(wǎng)絡攻擊?？梢钥吹绞欠浅乐氐默F(xiàn)象。

　　今天看過去的漏洞數(shù)據(jù)，這是Gartner的報告。可以看到十年前并不是太多，一年幾千個漏洞，2017年達到14000個，2018年是16000個，可以看到數(shù)量是非常龐大的。具體分析來看，7%的漏洞是可利用的，你算算有多少？也得有好幾千個。通過傳統(tǒng)的對漏洞優(yōu)先級評分可以看到超過7的63%，超過9的12%。如果12%的話，基本上是兩千以上，數(shù)量太龐大了。對于企業(yè)來說、對于用戶來說，什么是真正的安全風險？是不是把所有的漏洞都發(fā)現(xiàn)掉了？是不是把所有的攻擊都發(fā)現(xiàn)掉了？顯然不是。

　　對用戶的安全風險是什么？上面的圖非常好，我非常的喜歡這幅圖，是針對用戶的核心業(yè)務能產(chǎn)生攻擊的漏洞才應該是你真正關(guān)注最優(yōu)先級處理的問題，這才是你真正的安全風險，而不是全部的發(fā)現(xiàn)。這對于企業(yè)來說是非常重要和需要看的點。

　　今天來看，把安全的投資分成三個方面：事前、事中和事后。有很多的企業(yè)在投資大量的預算和資金在這部分，我們叫做“安全的事中防御”，買了防病毒、DLP等等，也有一些在新建C情報，我們叫“事后的回促系統(tǒng)”，沒錯都是有價值的，對于安全的整個鏈條來看都會有價值，但往往忽略的是事前到底有什么樣的安全風險、有什么樣的問題。

　　四個問題，在你們的企業(yè)中是否有被利用的風險？如果利用你現(xiàn)在的平臺來看是否能發(fā)現(xiàn)？這些風險的修補等級是怎么樣的？是高還是低？怎樣才能降低被利用的風險？以及跟同行、跟金融、跟制造業(yè)相比到底處在什么樣的安全水平。我相信你如果不能做很好平衡投資，如果光投資實時保護，還是沒有太多的意義。

　　曾經(jīng)有個金融客戶經(jīng)過紅藍對抗以后CSO得出結(jié)論是什么？有Gartner上線的（，不講哪個公司的產(chǎn)品，仍然被打穿。說明什么？沒有不透風的墻，純靠被動防御或監(jiān)測系統(tǒng)是不能完全發(fā)現(xiàn)和預防你風險的。傳統(tǒng)來看，企業(yè)客戶最喜歡投資的一定是保護，他見效最快、最直接。今天來看，雅虎、萬豪、，去年出了很大的安全事故，他買了什么樣的產(chǎn)品？把大量的資金投在風險可視部分。做CSO認為是平衡的投資，而不單單只是投某一塊，這是從廠商角度的建議。

　　今天來看問題是什么？可視化的能力夠不夠？你有多少資產(chǎn)？舉個最簡單的例子，最近比較熱門的話題是RDP0708，Web（英），找到可能受到影響、可能被攻擊的資產(chǎn)是第一步，但有什么方法去找？靜態(tài)數(shù)據(jù)。準嗎？以數(shù)據(jù)來看靜態(tài)數(shù)據(jù)往往不準，和實際數(shù)據(jù)存在巨大的偏差。曾經(jīng)跟一個客戶CSO聊，上線系統(tǒng)非常的規(guī)范，根本不可能說系統(tǒng)上線了不知道，應用裝上去不知道?？赡苣愕牧鞒谭浅５囊?guī)范，問題是什么？買了第三方產(chǎn)品，里面帶了Web（音）是以第三方平臺包進去的，這時候再有更好靜態(tài)的表的管理系統(tǒng)也發(fā)現(xiàn)不了資產(chǎn)。對于資產(chǎn)的存量可視不光是IP、不光是端口，包括應用路口、應用版本全部具備可視。

　　缺乏優(yōu)先級處理是什么？大家覺得我有漏洞掃描的產(chǎn)品就夠了，能把所有的漏洞數(shù)全都掃出來。舉一個幫中國金融客戶做測試的時候，掃出12萬中危以上的漏洞，2500個資產(chǎn)對應12萬漏洞。剛剛史總說一個券商的安全團隊5個人左右，怎么處理12個洞？顯然不行。假如說，把中危去掉看高危和嚴重的仍然有6萬個，數(shù)字非常的龐大。哪些洞是產(chǎn)生實質(zhì)威脅的是最大的，而不是高危嚴重的，這是很大的問題。

　　缺乏商業(yè)的度量，一臺辦公電腦和業(yè)務服務器權(quán)重是一樣的嗎？它倆有同樣風險的時候先處理哪個、后處理哪個？從資產(chǎn)的維度、從應用的維度，基于度量。坦白地說，現(xiàn)在也沒有，完全憑手工、憑經(jīng)驗去做?，F(xiàn)在的問題在哪里？有些問題覺得我有了掃描類產(chǎn)品、我有了資產(chǎn)掃描的產(chǎn)品就有了安全風險可視能力。坦然說，你有這兩樣也回答不了上面的三個問題。

　　原來評價一個風險是高危、中危、低危，這是傳統(tǒng)的攻擊。今天來看漏洞的數(shù)據(jù)不停地增長，看高危嚴重也仍然太多，仍然不能幫用戶從海量風險中分析出來哪些是真正的對他能產(chǎn)生實質(zhì)威脅，甚至攻擊的風險是什么。優(yōu)先級分析傳統(tǒng)的看到高危、嚴重、中危。新的聚焦體系在哪里？如何讓真正的威脅能夠更少，真正讓用戶處理的威脅更小。目標能讓我有時間，比如說，今天只能修50個，能告訴我哪50個最重要嗎？哪些最優(yōu)先處理的？重要的是從三個維度將風險能夠智能分析出來。哪三個維度？資產(chǎn)的價值/資產(chǎn)的嚴重性、漏洞數(shù)據(jù)、攻擊數(shù)據(jù)。攻擊數(shù)據(jù)包括漏洞情報，漏洞是不是能利用?，F(xiàn)在在暗網(wǎng)和黑客界是不是有攻擊腳本？是不是有大量的黑客利用漏洞進行漏洞攻擊。所有的綜合判斷幫你分析哪些是不是真正要處理。

　　所以我們公司做了優(yōu)先級預測系統(tǒng)，通過150多項不同維度的數(shù)值幫你判斷修補。此外，漏洞評分包括有沒有攻擊的模式、攻擊的腳本有沒有，包括可利用方面去評估。漏洞情報，暗網(wǎng)上有POC，在Gartner有沒有公布等等。舉0708最最關(guān)心的度，剛出來評分只有5.9，CVSS角度認為這個洞可被利用，利用復雜度不是很高，所以給了很高的分。值到上個禮拜，我們的評分才會被它調(diào)成9.9。從5.9調(diào)到9.9的原因是什么？在公開出現(xiàn)攻擊腳本被廣泛的散播在各個暗網(wǎng)以及黑客渠道里面。

　　洞剛出來沒有實質(zhì)的威脅，修補優(yōu)先級并不是最高的。但真正有了黑客已經(jīng)有了POC腳本有了攻擊，顯然你最先修的是這個洞。我們可以讓客戶真正聚焦在3%的風險上，而不是讓你在海量漏洞中發(fā)現(xiàn)了一堆扔給運維部門，結(jié)果我修的太多了，這可能是和傳統(tǒng)的廠商有不太一樣的觀點。

　　重要的是安全可視的平臺需要做什么，需要有哪些可視能力？風險可視能力，包括資產(chǎn)的維度。剛剛講了開放的端口、IP應用、應用版本、路徑這些需要有非?？梢暷芰Γ軌蚯宄闹赖降子惺裁礃拥馁Y產(chǎn)。對于漏洞風險可視能力，不管是在容器層面、在虛擬化層面、在操作系統(tǒng)、在中間件數(shù)據(jù)庫、Web應用安全風險可視能力。可視能力來了以后最重要的是能夠分析，當我去除雜疑能夠聚焦在真正產(chǎn)生實際威脅的是什么。度量能力是什么？要跟同行和制定策略的去比，到底現(xiàn)在做的好還是不好，這樣的平臺才能真正幫你帶來風險完全可視能力。

　　目前，Tenable全球有2700家公司，進入中國三年不到的時間，在中國有了近三十家券商、兩個交易所、四個大銀行以及高科技公司，包括華為、中信等等。我們的產(chǎn)品涵蓋內(nèi)容相對比較多，是安全里面更細分的一塊，有相應的解決方案。