与时间赛跑，大规模网络快速精准风险警告

 点击上方【禾云安全】关注我  

盘点2015年的各大安全盛会，RSA2015格外引人注目，其主题为《CHANGE:Challenge Today's Security Thinking》，认为当前的安全格局、安全市场、安全产业都处在快速变化之中，直指当前安全从业人员的安全思维需要改变，小禾深表认同，下面小禾就谈谈我们在安全漏洞管理方面的重新思考及实践。

1

黑客利用漏洞进行攻击周期越来越短，而检测发现和恢复周期却严重滞后

Verizon 2015 Data Breach Investigations Report关于漏洞被成功利用、攻击被发现与系统恢复等的时间窗口与统计概率分布

可以看出，超过85%的攻击从开始发起到攻击成功与数据泄露仅需几天的时间，而超过85%的攻击被发现和恢复则需要几个星期甚至几个月，攻击被发现和系统恢复的时间远远滞后于漏洞利用成功的时间。

2

关于漏洞生命周期和风险等级的重新思考

我们知道，漏洞在产生、发现、公开、修复和消亡的全生命周期中，其风险分布如下所示

小禾想重点分析一下上图中第一和第二个阶段，第一阶段漏洞在被发现到首次公开之间，称为0day漏洞，传统思维中，0day漏洞由于业界缺乏修复方法，其危害等级极高，属于黑色风险；第二阶段为漏洞从被公开到被修复之间，这个阶段由于已有修复补丁而风险可控，属于灰色风险。

然而，近年来，从struts2命令执行和心脏滴血等漏洞的爆发和修复周期来看，情况远远没有想象的乐观。几年前公开的漏洞在网络空间中仍然大量存在，而这些漏洞的利用方法和工具在互联网上唾手可得，大大降低了漏洞利用的成本和门槛。所以，区别于传统观点，小禾认为漏洞处于第二个阶段的风险，对于企业而言其等级是极高，属于黑色风险。

3

安全工作重心从防护到快速响应的转移

借用美国国防部PDRR安全模型，企业传统的安全工作重心在于防守(Protect)，如防攻击和避免出现漏洞等。随着新型漏洞披露越来越频繁，响应周期普遍偏长的现状，如何提高新型漏洞的快速响应(React)周期成为企业网络安全工作的重中之重。

4

对新型漏洞的免疫关键在于最大化程度的缩短漏洞修复时间窗口

小禾将新型漏洞从爆发到大规模利用分为三个阶段。第一个阶段为0day漏洞；第二个阶段为漏洞被披露，但只有少数人知道漏洞细节；第三个阶段为漏洞利用工具发布，漏洞被大规模利用。

对于企业而言，0day漏洞阶段较难控制；在第三个阶段漏洞被大规模利用之前，最大程度的缩短第二个阶段的漏洞排查和修复时间，可大大降低新型漏洞对企业的影响，这个阶段称之为“黄金修复时间窗口”，业界经验值一般为72小时。修复时间窗口越短，对新型漏洞的免疫能力则越强。

5

基于威胁情报的快速风险预警

对于大型企业来说，暴露在互联网上的资产数量少则几万，多则十几到几十万，运营商则达到数百万；当新型漏洞爆发时，如何能快速实现全网漏洞排查和风险预警，传统的基于漏洞扫描的逐个资产排查远远不能满足快速响应的需求，这是对超大规模网络运营安全所提出的严峻挑战。

我们的构想

通过建立超大规模网络安全威胁情报库，实现最新漏洞4小时精准预警，小禾和她的伙伴们正在构想和实践的技术架构如下

通过7*24采集网络空间指纹及风险信息，当新型漏洞被披露时，在动态指纹库中快速锁定与漏洞相关的设备资产，利用最新漏洞检测插件进行漏洞精准检测，大大缩短漏洞排查时间，提高排查效率，实现快速精准预警。

6

总结

网络安全日新月异，在攻防对抗的过程中，传统的防守思路越来越不能满足新形势下漏洞披露频繁的应对需求，在无法保障100%安全的情况下，提高安全快速响应和处置能力，也将成为一种新的思路。

禾云安全

专注于网络与信息安全事件、技术与市场。 

【本公众号由中国移动通信研究院安全所运营支撑】

长按指纹 > 识别图中二维码 > 添加关注