面向现代攻击面的漏洞风险管理 许晓晨 Tenable技术经理 xxu@tenable.com基础安全工作仍面临考验 •去年的攻防演练中，多家单位因攻击面评估不到位等低级错误而被攻破 例1：某单位被物理攻击，通过营业厅的网络接入到内网，再使用已知漏洞拿下护网目标 例2：某单位员工被钓鱼攻击，邮件链接下载恶意代码，后作为跳板进一步拿下内网目标 •绝大部分情况下，攻击者无需耗费0-day #Low-hanging Fruits (HW高风险攻击手法)未修复的漏洞 老旧的资产未知且不必要的暴露弱口令 过度的程序权限未保护的敏感信息新漏洞数量持续增长 894 102016772156 1527245149356610 6520 5632 5736 4652 41555297 51917946 6484 644714,71416,55617,313 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 来源：漏洞情报报告，Tenable Research •2019 年为 17,313 个漏洞 •几乎是以前年份平均数的 3 倍企业 IoT 工业 OT ICS/SCADA 容器 云 Web App 虚拟机 移动 笔记本 桌面 网络 服务器攻击面的扩大带来了更多的安全隐患 56低效的 优先级分析 糟糕的 沟通方式 有限的 可见性 传统工具难以应对现代攻击面 传统漏洞管理 难以与时俱进 传统工具无法处理现代攻击面CVSS 是一个较差的风险指标 来源: Tenable 研究院2 42443 3866,295 1,1893,5749,499 1,1474,332 295132,7563,63921,205 11,76815,80825,764 8,21814,709 0 - 0.9 1.0 - 1.9 2.0 - 2.9 3.0 - 3.9 4.0 - 4.9 5.0 - 5.9 6.0 - 6.9 7.0 - 7.9 8.0 - 8.9 9.0 - 10 CVSS Base Score Exploit Available No Exploit 仅有20%的漏洞有利用脚本 如果处理所有 CVSS 7+ 漏洞: •会浪费安全部门 76% 的时间 •却有44%真正危险漏洞并未处理 7无论公司规模大小， 都可能永远没有足够的资源来补救攻击 面上的每个漏洞。问题是