漏洞的进化(cncert/cc cnvd)
DESCRIPTION
在CNCERT/CC信息安全漏洞分享库(CNVD)春季工作会上做技术报告。主要谈了漏洞在风险三要素(资产、威胁和措施)的关联属性,寄生属性、利用属性、抗生属性。也谈到了与漏洞共生的观念。TRANSCRIPT
漏洞的进化
潘柱廷 2010年 4月 20 日
2
漏洞是什么?什么是漏洞?
3
ISO15408
4
ISO13335
5
风险评估国家标准中
使命
脆弱性
安全需求
安全措施
资产价值资产
威胁 风险
残余风险事件
依赖
拥有
被满足
抗击
利用
暴露
增加 导出
演变成
未被满足
未控制可能诱发
残留
成本
风险管理的要素化
6
最精简的风险管理3要素
三要素风险模型:R3-AST
资产和业务Asset
保障措施Safeguard
威胁Threat
7
风险立方体中的安全工作资产
威胁
措施
8
GB 中的风险 10 要素与三要素对应
使命
脆弱性
安全需求
安全措施
资产价值资产
威胁 风险
残余风险事件
依赖
拥有
被满足
抗击
利用
暴露
降低
增加增加
增加 导出
演变成
未被满足
未控制可能诱发
残留
成本
9
对于资产,漏洞有寄生属性
10
漏洞的寄生,是其存在
• 没有单独存在的漏洞• 漏洞都是某个资产、某类资产的漏洞
11
从资产的演化看漏洞的寄生进化
12
对于威胁,漏洞有利用属性
广义威胁用例方法威胁场景、隐患
13
漏洞被利用,是其宿命
• 漏洞是一定要被威胁利用的
14
广义威胁用例
威胁标识 : nnnn P防范 W预警 D检测 R响应 R恢复 C反击
威胁环境 ** **
威胁来源 ** ** **
威胁对象 **
威胁内因 **** ** ** **
威胁途径 **** ** ** ** **
威胁时序 **** ** ** **
威胁结果 ** ** **
其他
15
奥巴马 60 天报告:中期行动计划1. Improve the process for resolution of interagency disagreements regarding
interpretations of law and application of policy and authorities for cyber operations.
2. Use the OMB program assessment framework to ensure departments and agencies use performance-based budgeting in pursuing cybersecurity goals.
3. Expand support for key education programs and research and development to ensure the Nation’s continued ability to compete in the information age economy.
4. Develop a strategy to expand and train the workforce, including attracting and retaining cybersecurity expertise in the Federal government.
5. Determine the most efficient and effective mechanism to obtain strategic warning, maintain situational awareness, and inform incident response capabilities.
6. 6. Develop a set of threat scenarios and metrics that can be used for risk Develop a set of threat scenarios and metrics that can be used for risk management decisions, recovery planning, and prioritization of R&D. management decisions, recovery planning, and prioritization of R&D.
7. Develop a process between the government and the private sector to assist in preventing, detecting, and responding to cyber incidents.
8. Develop mechanisms for cybersecurity-related information sharing that address concerns about privacy and proprietary information and make information sharing mutually beneficial.
16
围绕威胁利用所推进的研究工作
• 威胁用例库(威胁场景库)
• 关于利用时间的 0-day 机理
威胁场景多维属性分类树
17
对于措施,漏洞有抗生属性
18
漏洞的抗生,是其必然
• 现在,没有一个系统是简单的
19
安全的两个认识观
面向体系的• 结构性地• 安全思路示例
信息安全管理体系, ISO27001, ISO20000等是构建组织、制度和技术措施组成的管理结构
网络安全域, 3+1/3x3等是构建网络结构
综合安全监控平台,T SOC等是构建监控结构
• 高境界描述 类似中医的系统化
面向对抗的• 解构性的• 安全思路示例
漏洞扫描 风险评估 入侵检测 渗透性测试 应急响应 广义威胁用例管理
• 高境界描述 类似西医的基于解剖学的、具有高覆盖度的“哪疼医哪”
20
漏洞的抗生,是其必然
• 现在,没有一个系统是简单的
• 任何貌似完备的体系,最终都会在某个新层面找到漏洞
• 漏洞是难于被全覆盖的
• 措施是有副作用的
21
基于缓冲的安全一些反思
22
回顾经典的 PDR 模型
23
安全——及时的检测和处理
时间
Pt
Dt Rt
24
什么是安全?
Pt Dt Rt> +
•基于时间的定义
25
缓冲的观点
• 看安全保障的实战中得到启示2008年奥运网络安全保障2008年 2月 PM网络访谈保障…
26
缓冲的观点
• 缓冲包括冗余、重复、纵深、延缓…预警、抑制、丢车保帅、局部和整体…响应、恢复、反击……
• 基于时间 基于缓冲基于时间的安全,其时间难于计算用缓冲过程代替时间结果
• 缓冲思想的基本立足点就是原理上攻击是可以成功的,在实际中是可以解决的
• 缓冲思想的辅助性理念——君臣佐使
27
中药方剂的君臣佐使之道
君解决主要症状
解决病因
臣解决次要症状
辅助君药
佐消除或减缓君药臣药的副作
用
使将药效送达患处
28
研究中
• 业务流中看软件漏洞• 云化或网络计算化下的应用软件漏洞• 威胁用例库(威胁场景库)• ZERO-DAY• 漏洞处置的副作用梳理和替代方案• …
29
2010RSA 大会看热度变化
绿 2009,蓝 2010, 红增额
30
2010 年增加最多的产品类
2010 差额Data Security 44 44
Threat Management 32 32
Encryption 30 30
Cloud Computing 36 29
Online Security 17 17
PCI 30 14Mobile Device Security
14 14
Insider Threats 12 12Zero Day Vulnerability
11 11
Forensics 19 10
Biometrics 10 10
Identity Theft 10 10
Security Architecture 10 10
2010差额
Botnet 9 9
Standard 9 9
Healthcare 8 8
Governance 7 7
Hacking 7 7
Intrusion Detection 34 6
Security Education 12 6
Visualization 8 6Exploit of Vulnerability
6 6
Web2.0 6 6
Cybercrime 20 5
DLP 8 5
Web Server Security 5 5
31
2010 年减少最多的产品类产品类 200
9差
Secure File Transfer 14 -5Software Code Vul. Analysis
11 -5
Physical Security 10 -5
User Awareness 5 -5
Messaging Security 17 -6
Network Protocol Security 15 -6Configuration Patch Management
11 -6
Risk Management 41 -7Policy management enforcement
26 -7
Wireless Security 19 -7
Content Filtering 24 -8
Password Management 21 -8
Endpoint Security 45 -9
VPN 15 -9
2009
差
Application Security 46 -10
Encryption key management 25 -10
Identity Management 40 -11
Authentication 47 -12
Database Security 22 -12
Access Control 45 -14
Web Services Security 24 -16
Web Filtering 16 -16
Compliance PCI 24 -24
Enterprise Security Management
76 -28
32
变化不大的热门产品
2009
2010
Security Ecommerce 12 12
Virtualization 14 12
Privacy 8 11
Government Standards 10 11
Security Consulting 15 11
Storage Security 10 10
Penetration Testing 10 9
SSO 10 9
Incident Response 13 9
2009 2010
Compliance Management 55 55
Anti Malware 33 30
Vulnerability Assessment
28 28
Firewalls 24 24
Managed Security Services 18 22
Anti Spam 20 19
SIEM 15 15
Audit 19 15
Remote Access 16 14
33
漏洞,我们与其共生在一个生态系统中