7月29日，ISC 2021大会迎来了“技术日”主题，在这一天的“重新定义安服——解构未来安服蓝图论坛”中，来自于初创企业——零零信安的创始人兼CEO王宇为大家带来了“基于VPT（弱点优先级技术）的风险管理服务”的主题演讲，围绕Gartner的“基于风险的弱点管理”关键技术点以及Tenable的实践展开，并分享了自己针对这方面的思考以及零零信安的解决方案。

王宇在演讲伊始先引出了风险、弱点和漏洞，并指出他们之间的关系——漏洞属于弱点的一部分，弱点属于风险的一部分。在这三个词汇中，风险和漏洞是最为常见的，而关于“弱点”方面提及相对较少，而这也是王宇此次演讲主题中“弱点优先级技术”的重点。

“众所周知，HVV中有三个大杀器，分别是0day、钓鱼和基于信息泄露所引发的其他攻击，在这之中，他们所利用的不仅仅只是漏洞，还有弱点的利用。“王宇谈道。

在王宇看来，在信息安全的攻防层面看，其中一个主要的工作内容就是防范不法黑客的攻击，而黑客的攻击之所以会成功，它的背后所体现的，则是防守方必然存在一个或多个弱点。因此，王宇认为这里面的关注点应重点放在可以让黑客攻击成功背后的弱点发现上。

”国内的信息安全已经有了20余年的历史，尽管早期就开始关注漏洞，并推出了漏洞扫描等产品，但实际上，关于漏洞和弱点的问题至今仍没有得到很好的解决。“王宇在现场还引用了Whitehat Security的一组数据，据统计截止到2021年5月，北美地区的平均漏洞修复时间为205天，公共事业部门中66%的应用存在至少一个可利用漏洞。虽然在我国还没有相关的数据统计，但王宇认为在数据层面尤其是在平均漏洞修复时间上应是相差不多的。
Gartner“基于风险的弱点管理”的五大关键点

Gartner在2018年提出了”符合Carta方法论的弱点管理“项目，在经过三年的沉淀和完善后，最终使用了一个更适合的名称——”基于风险的弱点管理“项目。

关于这一项目的关键技术点，王宇将其总结为五点：

1、风险和弱点不仅仅只是漏洞。就像王宇在一开始所讲的那样，漏洞只是弱点的一部分，弱点本身还会包括诸如弱口令的处理、配置的不完善、信息的泄露等等，而这些弱点都是风险的一部分。

2、风险永远不可能100%被处理，需要进行优先级的区分。王宇表示，“对于很多管理者而言，都会期望所有的漏洞都可以被处理掉，但现实中这个可能性是不存在的。每年光是被发现的通用型漏洞都有超过1万个，更何况还有那些事件型的漏洞了。”

‍王宇指出，在现实中，一些大的单位，它的关键业务系统都在10-20万甚至更高的数量级。‍‍当我们把超过1万个新爆发的通用型漏洞和几十万数量级的一个重要业务系统结合在一起看的时候，我们就会发现根本不可能做到去把所有的风险都处理到位。

3、找到需要优先处置的风险，从而显著降低风险。这一点在王宇看来，就是关键中的关键。哪些风险的优先级高，那么处置的优先级也应更高，长期以来这似乎是大家的共识，并没什么特别，但是王宇特别强调，“这里需要突出优先级的概念，因为并不是说漏洞的等级高，它的优先级就高。”

王宇谈道，按照当前的CVE和CVSS判定规则看，会更多地将可被用于发起远程攻击的漏洞定位为高风险，但在实际中，很多漏洞并不是非法黑客所喜欢使用的，反而是一些信息收集类或是一些中风险的漏洞会被更多的利用。这也是为什么无论是针对基于ATT&CK还是基于七步杀伤链的角度上看，都未必‍‍一定是高风险漏洞才会被攻击者更多的利用。‍

因此，在定义哪些是应该优先处置的风险时，不能仅针对漏洞的等级来处理。

4、利用现有的扫描数据和流程。信息安全建设到目前已经经历了几十年的事件，‍‍没有必要再去重新进行建设。

5、利用VPT（弱点优先级技术）工具。通过漏洞扫描、渗透测试、配置核查等技术或工具来发现弱点，然后进行评估、优先级排序、工作流程、处置方式和效果、自动化措施等串行在一起，形成整个风险管理的闭环和迭代提升。
VPT的关键能力——不在没有风险的漏洞上浪费时间

那么如何将基于风险的弱点管理通过工具、技术和服务手段来进行落地呢？王宇在这里引用了Tenable的方法论，主要有以下三点：

1、提供整个攻击面上所有资产和弱点视图

这个无需多言，要做好网络安全，摸清家底都是必须要做的。与此同时还要排查潜在的风险点，对于攻击者而言，在发起攻击之前也会这样操作。

2、不要在没有风险的漏洞上浪费时间

即使一个漏洞的评分很高，但如果不能被直接利用，那么就无需去花大量的时间优先处理，反而是一些评分较低甚至是没有评分的却有可能成为更大的弱点。比如企业的邮件列表、重要的组织架构、员工的个人信息数据等，这些都有可能会暴露在互联网上，这些不会有漏洞评分的弱点，反倒可能会形成一个重要的风险。

王宇指出，就当前而言，我国在威胁情报方面做的很多的工作，但同时，在漏洞、弱点相关的情报方面做得还不够，Tenable的风险管理为什么做的不错？就是因为它已经拥有了上万亿的弱点情报数据，将这些弱点情报充分的利用好，我们就可以知道哪些漏洞、弱点更值得去关注和优先处理。

3、动态的处理、响应0day和1day漏洞

针对实际业务环境，主动管理和自动化调用工具、策略、流程，最大程度提高应对效率和效果。王宇在这里分享了一个自己的体会，此前某客户在开发或更新业务系统时会采用这样一个流程——开发人员在上线前会将代码放入代码仓库，随后安全人员会通过工具对其进行审计，在审计完成后交给开发人员来进行更替。这个过程乍一看没什么问题，但在代码量很大、开发或更新的业务系统很多、所涉及的核心业务资产很多的情况下，这个流程的效率就会非常低，耗费的人力财力也会非常高，那么是否能够通过自动化将这个流程固化就很重要。
用20%的时间去解决80%的弱点与风险问题

在参考了Gartner和Tenable的方法论之后，王宇也分享了自己对于如何做好基于风险的弱点管理的思路，归纳起来其实也是三个部分：

1、做好全面准确的全网资产测绘，保证风险管理无死角。

2、建立服务客户业务的自动化风险管理方案，最大化提高效率和效果。

3、建立全国和全球漏洞情报和信息泄露情报库，为优先级分类提供依据；同时提供符合国情和政治要求的HVV、重保和实战化安全检测，以达到立竿见影的效果。

在这里，王宇重点强调了第3点，对于要建立的弱点情报库、漏洞情报库而言，同威胁情报库最大的区别在于关注点不同，威胁情报关注的是被攻击后能不能检测出来，而弱点情报或漏洞情报更关注的则是被攻击的可能性有多大。

这三个部分整合在一起，也就形成了零零信安的基于弱点的风险管理解决方案，将弱点管理起来，将优先级提出来是这个解决方案的核心关键词，只有这样才能够令企业用户用20%的时间去解决80%的问题，这也是零零信安从创立之日起一直坚持的整体思路。

“希望通过我们的解决方案，能够为企业和安全服务人员去解决掉那80%的关键弱点与风险问题。”
转载来源：https://mp.weixin.qq.com/s/PiO71hTFmWJUJdbbKCCW_w

零零信安王宇：通过基于VPT的风险管理 用20%的时间去解决80%的风险相关推荐

1. 麒麟信安携手河南IT联盟召开 《麒麟信安信创应用解决方案》线上分享会

   在党政及金融.交通.能源等重要行业的信创应用步伐逐步加快的背景下,各行业均面临着不同程度的国产化落地难题.11月29日下午,麒麟信安与河南省信息协会IT产业分会(河南IT联盟)携手召开<麒麟信安 ...

2. 国产操作系统第一股，杨涛的麒麟信安是否名副其实？

   文丨熔财经 作者|星影 随着chatGPT和AI技术的火热,国产芯片和操作系统能否适应人机交互也成了不少科技媒体的焦点.对于信息技术的发展而言,不仅只有芯片,操作系统更是灵魂,作为最基本,同时也是最重 ...

3. C++从零实现简单深度神经网络（基于OpenCV）

   代码地址如下: http://www.demodashi.com/demo/11138.html 一.准备工作 ####需要准备什么环境 需要安装有Visual Studio并且配置了OpenCV.能 ...

4. 麒麟信安：“一云多芯”信创云桌面解决方案引领者

   湖南麒麟信安科技股份有限公司(简称"麒麟信安")致力于推进国产化安全应用. 随着信息系统建设"上云是常态,不上云是意外!"云计算已成为当前IT架构的主流模式,云 ...

5. NJUPT 《信安数基》第 10 章证明题攻略

   NJUPT <信安数基>环和域证明题攻略 注:本文章适合学习信息安全数学基础的同学们考前突击,不适用于数学系专业的同学.里面有些内容可能对于数学系来说是不严谨的,但对于信息安全专业为了应付 ...

6. 麒麟信安推出“一云多芯”信创云桌面解决方案

   随着信息系统建设"上云是常态,不上云是意外!"云计算已成为当前IT架构的主流模式,云桌面已成为和传统PC桌面相并列的办公新模式,且增速加快.麒麟信安根植于操作系统技术,服务器操作系 ...

7. 可信计算期末复习（郑大信安个人总结版）

   可信计算期末复习(郑大信安个人总结版) 1.可信平台模块(Trusted Platform Module,简称TPM)是一种加密协处理器. 2.可信计算组织(Trusted Computing Gro ...

8. 滑动差分倒谱系数 matlab,【网安学术】基于音频特征参数的多语种分类算法

   原标题:[网安学术]基于音频特征参数的多语种分类算法 摘要:伴随着国际化的趋势,音频语种识别问题越来越受到重视.但是,现有的语种识别系统不能满足现代化日益增长的需求.处理小语种和混淆度高的语种分类时, ...

9. 2016风云杯大学生信安大赛 WriteUp

   2016风云杯大学生信安大赛 web 01 web 02 web 03 web 04 web 05 web 06 web 08 web 09 CRYPTO 01 misc 01 misc 02 mis ...

10. 【信安数基】数论篇（一）：整除

    [信安数基]数论篇(一):整除 文章目录 [信安数基]数论篇(一):整除 0x00 整除符号 1. 对符号的定义 2. 符号本身有以下性质 0x01 取余 对符号的定义 0x02 素数的四个定理 0x ...

最新文章

1. 强强联合！Papers with Code携手arXiv，上传论文、提交代码一步到位
2. UTF-8文本文件头部出现乱码“锘*”的问题及解决方法
3. 数据挖掘之KNN分类
4. 远程连接CentOS的MySQL报错：Can't connect to MySQL server on 'XXX' (13)
5. python的tkinter编写计算器_Python+Tkinter 实现计算器功能
6. Mybatis返回Map
7. ZeptoN正在将程序放入Java
8. 计算机作文叙事,电脑争夺战叙事作文
9. HDU 2689 POJ 2299 树状数组 + 离散化
10. 【C++】《C++ Primer Plus》--复习题、编程练习题答案
11. gulp项目找不到html标签,通过yeoman、gulp、angular编写前段时的html模板处理，打包后找不到html的问题解决...
12. FUP A17H/A17CH 微量高速冷冻离心机的优劣势
13. L2十档行情逐笔成交数据实战技巧
14. MSSQL2005的新功能创建数据库快照
15. 大数据基础知识之什么是服务器什么是集群
16. win10 安装 frida 安装配置
17. MacOS上ESP8266开发板刷microPython教程
18. 『The Book of Why』导言：思维胜于数据
19. xp系统远程桌面关闭计算机,WinXP如何打开远程桌面？WinXP打开远程桌面的命令是什么？...
20. cerr与cout的区别

热门文章

1. Java-springboot生鲜电商项目（四）商品模块
2. 大陆、香港、澳门、台湾身份证最全正则校验
3. 安装doctrine
4. 伟大的UHD编解码器的辩论:谷歌VP9与HEVC / H.265
5. 这种减肥方式是极度有害的，你还深陷其中吗
6. tableView for TTXS
7. 变异凯撒（实验吧CTF题库-密码学）
8. 了解arXiv，及arXiv的注册详细操作。
9. spring MVC之Annotated Controllers
10. windows7操作系统安装步骤（精简版）