安全风险评估

漏洞利用周期缩短
10年间，漏洞被利用的平均时间从45天缩短到15天
变化3：漏洞风险处置模型的转变
漏洞修补的三种模型
• 基于资产 • 基于漏洞 • 基于威胁
基于威胁的漏洞修补模式 紧急程度和漏洞概率相关
概率
• 外部威胁行为概率，恶意软件、工具包、勒索软件等
《Threat-Centric Vulnerability Remediation Prioritization》
安全管理中的灰犀牛胜于黑天鹅
风险评估应该挖掘时 常发生而被忽略事件， 灰犀牛事件是潜在的 高危风险
风险评估应该评估安 全体系应对突发黑天 鹅事件的能力
变化1：漏洞应急响应已经成为常态
怎样及时有效的做好漏洞应急响应工作？
漏洞应急之前的线索
2017年3月 微软发布MS17-010补丁 2017.4.14 方程式工具被ShadowBrokers曝光 2017.5.12 Wanncry爆发 2017.5.13 随着开关域名被注册，开始迅速受到遏制
利用弱口令进行攻击的安全事件占2018年处理事件总数的33%， 可见弱口令是安全事件高发的重 要原因之一。针对RDP、SSH、 Redis、Memcached、Tomcat等服务的攻击类型中，弱口令尤 为突出， 攻击行业覆盖运营商、企业、政府、金融、能源等多种 行业类型，攻击类型包括蠕虫、暴力破解、人工 渗透等多种手段。 在弱口令的攻击中，RDP暴力破解成为主要的入侵手段。
安全风险评估
1 安全风险评估综述
目
2 主机安全风险评估
3 网站安全风险评估
录
1
安全风险评估综述
什么是信息安全风险评估
信息安全风险评估是对信息在产生、存储、传输等过程中其 机密性、完整性、可用性遭到破坏的可能性及由此产生的后 果所做的估计或估价，是组织确定信息安全需求的过程。
安全风险评估综述
• 高效
快速检测并发现各类系统安全隐患
端口扫描： nmap。检查主机端口、服务、版本。
漏洞扫描产品： 绿盟RSAS、 Tenable Nessus、启明天镜等
配置核查产品： 绿盟RSAS、绿盟BVS、启明天镜
Web应用扫描器 绿盟RSAS、绿盟WVSS、AWVS、APPSCAN
2
主机安全风险评估
2.1
RSAS产品介绍
升级包制作发布 扫描设备升级 定期全网扫描 风险分析确认 漏洞修补
发现漏洞披露 编写攻击工具 开始实施攻击
漏洞披露数量快速增长
2018年漏洞评分分布 2000~2019年 • 2017、2018是漏洞的爆发年 • 与2016年相比，2017年的漏洞总数已经翻了超过一番，比上一年增加了约120％ • 在2017年，每天平均有40个漏洞被报告，而在2016年每天平均被报告的漏洞数量仅为17个 数据来源：• CNN恶VD意20软16年件1-1数1月漏量洞快统计速增长
风险评估工作场景
应用\系统入网：评估新接入的应用\系统是否
设备
存在安全风险
入网
工程验收：评估新上线的应用\系统符合工程 验收的安全要求
Leabharlann Baidu安全
工程
RSAS
检查
验收
日常运维：日常评估在网应用\系统持续符合
安全要求
日常
运维
安全检查：上级单位对下级单位进行安全风险
评估检查
常见安全评估工具和产品
2017.1.25~4.10 样本陆续在网络中出现 2017.4.7 McAfee和FireEye爆出CVE-2017-0199 漏洞，细节公布 2017.4.11 微软官方补丁发布 2017.6.27 Petya开始大量传播，利用了另一个微软Office漏洞
变化2：漏洞处置要求更快
攻防中如何做到正确的快
安全风险评估：针对系统、设备、应用的脆弱性进行自动化 检测，帮助企业或者组织来侦测、扫描和改善其信息系统面 临的网络安全风险隐患，并进行风险管理，是企业和组织进 行信息系统合规度量和审计的一种基础技术手段。
为什么要做安全风险评估
网络安全现状： 2019年2月中国互联网络信息中心发布的《中国互联网络发展 状况统计报告》1显示，截止2018年12月，中国网民规模达到 8.29亿人，互联网普及率为59.6%，互联网已经渗透到各行各 业，直接影响着国家发展和人们的生产生活。随着互联网技术 的发展，网络安全事件种类越来越多，攻击手段层出不穷，严 重危及政府和企业的运转，极大影响了公众的社会生活。
信息安全风险评估的原则是什么
风险评估需要平衡防护需 求和业务需求
风险评估从关注系统安全 到关注数据安全
风险评估的范围变得更广
在新的数据安全要求下， 风险评估要使防护需求和 业务需求达到新平衡
信息安全风险评估重点在变化
当前信息系统安全重点问题 网络攻击 关键信息基础设施破坏 数据诈骗或窃取
RSAS产品介绍
什么是网络漏洞扫描系统
• 基于漏洞数据库，通过扫描等手段，对指定的计算机系统的安 全脆弱性进行检测，发现可利用的漏洞的一种安全检测行为。
形象化的说：
给网络体检的
体检医生
RSAS产品在全网中的位置和作用
网络漏洞扫描系统是一种检查工具，只要网络可达就能进行漏洞 扫描。
亡羊补牢不如防微杜渐——只有发现问题，才能解决问题
为什么要做安全风险评估
在2018年处理的事件中，由历史漏洞造成的事件占比34%，常见 漏洞有MS17-010、 Struts2-045、Struts2-046、反序列化等。 NDay漏洞利用攻击事件往往是由于用户缺乏安全意识，没有 更 新或者安装官方的补丁，导致黑产从业者可以轻松地通过网上公 开的漏洞利用代码进行攻击，攻击成 本较低，造成危害较大。
为什么要做安全风险评估
在绿盟科技2018年处理的安 全事件中，勒索软件、挖矿和 入侵类事件占比最高，分别为 20%、17%和15%。黑客的攻 击目标和攻击手段一直在变， 唯一不变的是攻击者对利益的 追求。而虚拟货币 因其不可追 溯性成为攻击事件中资源套现 的最好载体，黑客通过勒索和 挖矿可以获得大量虚拟币，攫 取高额的非法收入。典型的攻 击场景主要有：虚拟币勒索、 虚拟币盗窃、“挖矿”、诈骗 等。另外各类安全事件数量也 较往年呈上升态势。