从EASM到RBVM：漏洞评估最新技术趋势 – 作者:默安科技

引 | 漏洞评估的市场演变///

漏洞评估主要是指识别和量化目标环境中的安全漏洞。从漏洞评估延伸而来的是漏洞管理。本文所描述的“漏洞管理”有别于广义上的漏洞管理全生命周期，而主要关注的是漏洞的修复与缓解。

漏洞评估市场从最开始单一的概念和全面的解决方案，逐渐延伸出很多细分领域。本文从资产发现、漏洞评估和漏洞管理三个维度入手，简要分析当前的技术趋势与热点。

在资产发现领域，Gartner今年新提出的EASM非常有实践意义。EASM，External Attack Surface Management，外部攻击面管理，下文将做详细介绍。

在漏洞评估中，比较传统的技术DAST黑盒测试，而更加新兴的技术有入侵与攻击模拟（BAS）、云安全态势评估（CSPA）。

漏洞管理，即强调漏洞的修复与缓解，其中比较值得关注的新技术有漏洞优先级排序和威胁情报。从本身来看，如何优化漏洞的修复与缓解，也是一个非常值得探究的方向。

整个漏洞评估市场中涉及到的所有技术和能力可查阅下图：

图源：Gartner

一、资产发现///

本文主要分析一些新兴技术，因此在资产的发现上，主要介绍EASM这个由Gartner提出的理念。

（图片来自网络）

EASM是什么？

与传统的资产发现有何不同？

传统意义上的资产发现，目标资产主要包括域名、IP、端口，而Gartner提出的EASM（外部攻击面管理）应用范围要广得多，包含了数字资产、暴露面、供应链等资产的延伸概念。

EASM的主要应用场景包括：

1. 数字资产发现与梳理

不局限于IT资产，还包括在云、物联网和 OT 环境中发现未知资产，企业数据，个人信息资产等，并对资产列表实时维护。

2. 漏洞修复和暴露面收敛

除了漏洞，EASM还强调对修复和暴露面的收敛；将配置不当、开放端口、未修复漏洞等根据紧急程度、严重性、风险等级确定修复优先级。

3. 云安全与治理

发现不同云供应商中的公有资产，EASM提供全面的云资产清单。

4. 数据泄露检测

数据泄露监控，发现OA或其它三方应用可能泄露的敏感数据。

5. 子公司风险评估

对子公司数字资产作监控和风险评估。

6. 供应链/第三方风险评估

7. 并购风险评估

掌握待并购组织的数字资产和相关风险。

值得一提的是，从目前市场表现来看，EASM在网络安全保险领域非常受欢迎，因为在评估保费的时候，可通过EASM确定企业的完整暴露面，为保费金额的评估提供关键参考。

二、漏洞评估///

漏洞评估其实更为准确的说法应该是脆弱性评估，因为需要评估和发现的不仅是主机层、应用层等漏洞，还包括配置安全问题与合规检查，以及所有潜在的风险暴露面。为了通俗起见，还是选择沿用“漏洞评估”的说法。

（图片来自网络）

常见的扫描方式包括远程扫描、Agent扫描和被动扫描。数字资产风险的全面掌握需要配备多种扫描方式，同时对于暂无检测插件的未知风险，需要通过威胁情报判断0day/在野1day漏洞等风险对资产的影响面，真正做到实时响应。

总结来说，漏洞评估领域一些值得探索的方向包括：

1. 威胁情报

0day等未知风险的事前发现离不开威胁情报。

2. 云安全配置评估与管理

随着企业上云的趋势越来越明显，云资产占比逐年攀升。尽管云资产安全仍然处于起步阶段，但对于配置安全，目前已经有较成熟的技术解决方案，值得用户关注。

3. 攻击模拟BAS（Breach and Attack Simulation）

通过模拟真实攻击，发现能够被真实利用的漏洞，并绘制完整攻击链，找到受影响资产，不仅可以用于判断系统安全性，还可用于判断漏洞修复优先级，例如位于同一攻击链上的资产，只要修复某一切入点的中高危漏洞，即可切断攻击链，将该资产漏洞置为最高优先级，将其余资产中的脆弱性修复优先级置后。

4. API发现与安全评估

API 是极为关键的数字资产之一，例如大量银行App通过API实现连接与数据传输，API的安全防护就显得尤为重要。在技术实现上，主要包括API智能识别、API安全动态防御、API统一网关管理、API安全态势监控等等。

5. 暴露面的发现和收敛

传统模式是漏洞的发现与修复，但随着威胁的日益复杂化，应升级到暴露面的全面发现与收敛，涉及资产与检验范围更加广泛，并完成有针对性的高效收敛。

漏洞管理///

前文提到漏洞管理强调的是漏洞修复，可细分为修复优先级排序和具体的修复技术两类。

（图片来自网络）

在漏洞的优先级排序中，

传统的CVSS评估方法基于漏洞本身属性进行修复优先级排序，例如根据利用的难易程度、漏洞利用的潜在影响以及是否可公开利用进行判断。尽管有参考意义，但在实际应用中的效果不如人意。

目前最为流行的技术可分为2类：基于资产业务的漏洞优先级排序和基于风险的漏洞优先级排序（RBVM）。

基于资产业务是以业务关键程度、暴露资产价值（是否面向互联网、是否能被第三方访问、是否存有敏感数据以及是否承担着关键业务功能）进行综合判断。

基于风险主要是指有针对性和明确目标的威胁，RBVM的核心是威胁情报，例如该漏洞是否已经公开EXP、是否被添加到自动化利用工具箱、是否被添加到恶意软件、是否被添加到勒索病毒、是否被某组织利用。国内外能同时检测和控制上述风险的安全厂商极少。最高级别的修复优先级是，针对某行业/某公司专门的恶意程序、勒索软件、漏洞利用工具、特定的攻击组织已经利用该漏洞，则该漏洞需要立即修补。

在修复技术中，

比较常见的方向是联动补丁管理工具实现自动修复。而更创新的方式是“漏洞缓解”，因为经常会碰到一些漏洞因为业务原因无法完全修补，那么缓解相对完全修复更具备落地性。

漏洞缓解一般指现有各类安全工具（WAF、IPS、IDS、NAC、RASP等）集成，自动推送拦截规则，达到自动缓解的效果。

此外，还有4点优化修复技术的建议如下：

1. 根据漏洞优先级评估结果，向用户提供多样化的修复建议：除了完全修复以外，还应包括漏洞缓解和暂缓修复的选项。

2. 漏洞验证过程尽可能做到自动化，降低本就短缺的人力成本。

3. 保证修复工作流程的“高可用性”，即尽可能减少系统不能提供服务的时间，避免因安全修复带来业务损失。

4. 最后一条实用建议为漏洞评估类产品应该为用户评估漏洞管理能力，构建漏洞管理能力的衡量指标如下：

总结///

本文主要从资产发现、漏洞评估（威胁发现）、漏洞管理（优先级+修复）3个方向分析漏洞评估方向的技术发展趋势。从上文分析可见，该领域仍有很多值得深入探索和挖掘的细分技术和市场空白，无论是为用户的整体安全建设，还是供应商的产品发展方向，希望都能提供一些参考价值。

资产漏洞一体化管理解决方案

#默安科技#

默安科技基于自身技术与经验积累，目前已能够为用户提供资产漏洞一体化管理的解决方案。聚焦于安全开发全生命周期，打通全工具链与各个部门之间的数据链路，集成成份安全、白盒审计、灰盒检测，以及黑盒检测等功能模块，实现一体化的漏洞处理闭环，帮助目标用户实现软件开发阶段的资产与漏洞一体化管理与DevSecOps的良性业务循环。

方案概览

来源：freebuf.com 2021-07-06 11:31:05 by: 默安科技

相关推荐: 如何使用pyWhat从海量数据中识别出邮件或IP地址 – 作者:Alpha_h4ck

关于pyWhatpyWhat可以帮助广大研究人员轻松识别电子邮件、IP地址等数据，我们只需要给它提供一个.pcap文件或某些文本数据，pyWhat就可以给你返回你想要的数据。总的来叔，pyWhat可以帮助你识别任何你想识别的东西。大家可以想象一下，当你遇到了一…