正文

没想到,漏洞竟然比脆弱性小太太太太多!

admin
admin V管理员 /0 评论 /35 阅读
0208
此篇文章发布距今已超过4天,您需要注意文章的内容或图片是否可用!
本文1665字,阅读时长4分钟
指给你我看到的远方,助力你走得更远

Vulnerability,有时候翻译成“漏洞”,有时候又翻译成“脆弱性”,以至于我们很多时候,其实是分不清的。

而漏洞,有时候我们又翻译成“Weakness”,但是在专业语境里,Vulnerability更像是“漏洞”,而Weakness更像是“脆弱性”。

所以,很多很多场合,漏洞和脆弱性都共用“Vulnerability”这一个单词,就像运营、运行、运维,都共用“Operation”这一个单词一样。

其实,在中文语境里,要想区分漏洞和脆弱性,需要用“视角”这个思维工具。

站在攻击者视角,就是“漏洞”,站在防守者视角,就是“脆弱性”。或者说,站在威胁角度,就是“漏洞”;站在风险角度就是“脆弱性”。

虽然这么说,但是它们的涵义还是不同的,一般从涵盖范围来看,脆弱性 > 漏洞,但是我没想到的是,竟然大这么多。

咱们先看脆弱性。

1】脆弱性识别

在国家标准里,脆弱性分为技术脆弱性和管理脆弱性两大类。

图:脆弱性识别

技术脆弱性又分为:物理环境、网络结构、系统软件、应用中间件、应用系统等五种,这五种其实是IT系统的五个层次,记住这个分层框架,以后会很有用。

图:IT分层框架

管理脆弱性又分为:技术管理和组织管理两种。

  • 物理环境脆弱性包括:机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、 电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面。

  • 网络结构脆弱性包括:网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、 网络设备安全配置等。

  • 系统软件脆弱性包括:补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、 访问控制、新系统配置、注册表加固、网络安全、系统管理等。

  • 应用中间件脆弱性包括:协议安全、交易完整性、数据完整性等方面。

  • 应用系统脆弱性包括:审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面。

  • 技术管理脆弱性包括:物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面。

  • 组织管理脆弱性包括:安全策略、组织安全、资产分类与控制、人员安全、符合性等方面。

从这里你就能看到,安全行业里所说的“漏洞”,其实就是“IT资产”存在的技术脆弱性,再明确一点,就是看是否存在未知的0-DAY漏洞或已知的CVE漏洞。

所以,业内出现的所谓的漏洞扫描类产品,其实就是CVE漏洞或0-DAY漏洞的特征匹配工具。

这就是安全厂商无法帮助客户做好安全的原因,因为站在威胁角度看到的“漏洞”,要比站在风险角度看到的“脆弱性”小得太太太太多。

另外,技术管理脆弱性和组织管理脆弱性是过去大家都非常忽视的两个维度。

比如技术管理脆弱性中的“业务连续性”和组织管理脆弱性的“资产分类与控制”,是过去几十年一直忽略的领域。

但是,青藤云正是靠着“业务连续性优先”的产品设计理念,才让他的服务器安全产品卖成了行业爆款,而“资产测绘与暴露面管理”,这两年也发展成了一个数十亿的大安全赛道。

这里面蕴含着一个道理:不是客户安全需求“变小”了,而是客户的安全需求“变化”了。

2】脆弱性赋值

脆弱性的度量标准是:严重程度。

图:脆弱性赋值

这里面采用五级分类法:很高、高、中等、低、很低。

3】攻防视角到底有什么不一样?

我们平时总是在说“攻防视角”,其中“攻”与“防”其实是两个视角。

我们以为这两个视角看到的东西都是一样的,其实不然,这两个视角看到的是完全不同的两个世界。

攻击者眼中的世界只有“漏洞”。

图:攻击者视角下的数字世界

他们会以客户为目标,从物联世界里寻找网空靶标,然后是数字世界的深网靶标、互联网络的隐形靶标、动态网络的移动靶标、静态网络的固定靶标。

每一层靶标只要发现可利用的漏洞,就可以直接打穿,so easy!

而防守者眼中的世界,除了“漏洞”,还有“威胁”、“脆弱性”和“风险”。

图:防守者视角下的数字世界

防守者要对攻击者溯源、对资产与漏洞进行测绘、对脆弱性进行管理,然后用安全能力防御,最后还要对整体风险进行评估,so hard!

所以你看,表面上看,好像攻击更难,但实际上,防守的难度要比攻击高好几个维度。

这也说明,有一份攻击的市场,就有十份防守的市场。虽然大家都在谈攻大于防,其实,防守的空间更大。

所以,安全厂商不是没得做了,而是好多还没做得好!

注:如果你想获得本文及《安全到底》栏目近期或未来文章中插图的原始PPT版本,以方便修改成自己的版本,请选择本文下面的二条文章:【付费阅读:《风险建模:全新安全思考与建设规划指南》源PPT,会持续更新中......】。

恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见!

如果对我描述的安全世界感兴趣,可以翻翻我为你写的一本书,悄悄超过80%的人:

点击文末【阅读原文】,看到一个完整的安全系统

end

如果你对本文有任何建议,

欢迎联系我改进;

如果本文对你有任何帮助,

欢迎分享、点赞和在看

如果心生欢喜,不如做个长期朋友:)

参考资料:

[1]GB∕T 20984-2007 信息安全技术  信息安全风险评估规范

[2]GB∕T 20984-2022 信息安全技术 信息安全风险评估方法

题图:漏洞

题图创作者:晓兵与AI小助手

算法提供:FLUX


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网