漏洞的进化(CNCERT/CC CNVD)

1,561 views

Published on

在CNCERT/CC信息安全漏洞分享库(CNVD)春季工作会上做技术报告。主要谈了漏洞在风险三要素(资产、威胁和措施)的关联属性,寄生属性、利用属性、抗生属性。也谈到了与漏洞共生的观念。

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,561
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • 奥运 40 PM 保障 76+200
  • 漏洞的进化(CNCERT/CC CNVD)

    1. 1. 漏洞的进化 <ul><li>潘柱廷 2010 年 4 月 20 日 </li></ul>
    2. 2. 漏洞是什么?什么是漏洞?
    3. 3. ISO15408
    4. 4. ISO13335
    5. 5. 风险评估国家标准中 风险管理的要素化
    6. 6. 最精简的风险管理3要素
    7. 7. 风险立方体中的安全工作 资产 威胁 措施
    8. 8. GB 中的风险 10 要素与三要素对应
    9. 9. 对于资产,漏洞有寄生属性
    10. 10. 漏洞的寄生,是其存在 <ul><li>没有单独存在的漏洞 </li></ul><ul><li>漏洞都是某个资产、某类资产的漏洞 </li></ul>
    11. 11. 从资产的演化看漏洞的寄生进化
    12. 12. 对于威胁,漏洞有利用属性 <ul><li>广义威胁用例方法 威胁场景、隐患 </li></ul>
    13. 13. 漏洞被利用,是其宿命 <ul><li>漏洞是一定要被威胁利用的 </li></ul>
    14. 14. 广义威胁用例 威胁标识 : nnnn P 防范 W 预警 D 检测 R 响应 R 恢复 C 反击 威胁环境 ** ** 威胁来源 ** ** ** 威胁对象 ** 威胁内因 **** ** ** ** 威胁途径 **** ** ** ** ** 威胁时序 **** ** ** ** 威胁结果 ** ** ** 其他
    15. 15. 奥巴马 60 天报告:中期行动计划 <ul><li>1. Improve the process for resolution of interagency disagreements regarding interpretations of law and application of policy and authorities for cyber operations. </li></ul><ul><li>2. Use the OMB program assessment framework to ensure departments and agencies use performance-based budgeting in pursuing cybersecurity goals. </li></ul><ul><li>3. Expand support for key education programs and research and development to ensure the Nation’s continued ability to compete in the information age economy. </li></ul><ul><li>4. Develop a strategy to expand and train the workforce, including attracting and retaining cybersecurity expertise in the Federal government. </li></ul><ul><li>5. Determine the most efficient and effective mechanism to obtain strategic warning, maintain situational awareness, and inform incident response capabilities. </li></ul><ul><li>6. Develop a set of threat scenarios and metrics that can be used for risk management decisions, recovery planning, and prioritization of R&D. </li></ul><ul><li>7. Develop a process between the government and the private sector to assist in preventing, detecting, and responding to cyber incidents. </li></ul><ul><li>8. Develop mechanisms for cybersecurity-related information sharing that address concerns about privacy and proprietary information and make information sharing mutually beneficial. </li></ul>
    16. 16. 围绕威胁利用所推进的研究工作 <ul><li>威胁用例库(威胁场景库) </li></ul><ul><li>关于利用时间的 0-day 机理 </li></ul>威胁场景多维属性分类树
    17. 17. 对于措施,漏洞有抗生属性
    18. 18. 漏洞的抗生,是其必然 <ul><li>现在,没有一个系统是简单的 </li></ul>
    19. 19. 安全的两个认识观 <ul><li>面向体系的 </li></ul><ul><li>结构性地 </li></ul><ul><li>安全思路示例 </li></ul><ul><ul><li>信息安全管理体系, ISO27001, ISO20000 等是构建组织、制度和技术措施组成的管理结构 </li></ul></ul><ul><ul><li>网络安全域, 3+1/3x3 等是构建网络结构 </li></ul></ul><ul><ul><li>综合安全监控平台,T SOC 等是构建监控结构 </li></ul></ul><ul><li>高境界描述 </li></ul><ul><ul><li>类似中医的系统化 </li></ul></ul><ul><li>面向对抗的 </li></ul><ul><li>解构性的 </li></ul><ul><li>安全思路示例 </li></ul><ul><ul><li>漏洞扫描 </li></ul></ul><ul><ul><li>风险评估 </li></ul></ul><ul><ul><li>入侵检测 </li></ul></ul><ul><ul><li>渗透性测试 </li></ul></ul><ul><ul><li>应急响应 </li></ul></ul><ul><ul><li>广义威胁用例管理 </li></ul></ul><ul><li>高境界描述 </li></ul><ul><ul><li>类似西医的基于解剖学的、具有高覆盖度的“哪疼医哪” </li></ul></ul>
    20. 20. 漏洞的抗生,是其必然 <ul><li>现在,没有一个系统是简单的 </li></ul><ul><li>任何貌似完备的体系,最终都会在某个新层面找到漏洞 </li></ul><ul><li>漏洞是难于被全覆盖的 </li></ul><ul><li>措施是有副作用的 </li></ul>
    21. 21. 基于缓冲的安全 <ul><li>一些反思 </li></ul>
    22. 22. 回顾经典的 PDR 模型
    23. 23. 安全——及时的检测和处理 时间 Pt Dt Rt
    24. 24. 什么是安全? Pt Dt Rt > + <ul><li>基于时间的定义 </li></ul>
    25. 25. 缓冲的观点 <ul><li>看安全保障的实战中得到启示 </li></ul><ul><ul><li>2008 年奥运网络安全保障 </li></ul></ul><ul><ul><li>2008 年 2 月 PM 网络访谈保障 </li></ul></ul><ul><ul><li>… </li></ul></ul>
    26. 26. 缓冲的观点 <ul><li>缓冲包括 </li></ul><ul><ul><li>冗余、重复、纵深、延缓… </li></ul></ul><ul><ul><li>预警、抑制、丢车保帅、局部和整体… </li></ul></ul><ul><ul><li>响应、恢复、反击… </li></ul></ul><ul><ul><li>… </li></ul></ul><ul><li>基于时间     基于缓冲 </li></ul><ul><ul><li>基于时间的安全,其时间难于计算 </li></ul></ul><ul><ul><li>用缓冲过程代替时间结果 </li></ul></ul><ul><li>缓冲思想的基本立足点就是 </li></ul><ul><ul><li>原理上攻击是可以成功的,在实际中是可以解决的 </li></ul></ul><ul><li>缓冲思想的辅助性理念—— 君臣佐使 </li></ul>
    27. 27. 中药方剂的君臣佐使之道 <ul><li>君 </li></ul><ul><ul><li>解决主要症状 </li></ul></ul><ul><ul><li>解决病因 </li></ul></ul><ul><li>臣 </li></ul><ul><ul><li>解决次要症状 </li></ul></ul><ul><ul><li>辅助君药 </li></ul></ul><ul><li>佐 </li></ul><ul><ul><li>消除或减缓君药臣药的副作用 </li></ul></ul><ul><li>使 </li></ul><ul><ul><li>将药效送达患处 </li></ul></ul>
    28. 28. 研究中 <ul><li>业务流中看软件漏洞 </li></ul><ul><li>云化或网络计算化下的应用软件漏洞 </li></ul><ul><li>威胁用例库(威胁场景库) </li></ul><ul><li>ZERO-DAY </li></ul><ul><li>漏洞处置的副作用梳理和替代方案 </li></ul><ul><li>… </li></ul>
    29. 29. 2010RSA 大会看热度变化 绿 2009 , 蓝 2010 , 红增额
    30. 30. 2010 年增加最多的产品类 2010 差额 Data Security 44 44 Threat Management 32 32 Encryption 30 30 Cloud Computing 36 29 Online Security 17 17 PCI 30 14 Mobile Device Security 14 14 Insider Threats 12 12 Zero Day Vulnerability 11 11 Forensics 19 10 Biometrics 10 10 Identity Theft 10 10 Security Architecture 10 10 2010 差额 Botnet 9 9 Standard 9 9 Healthcare 8 8 Governance 7 7 Hacking 7 7 Intrusion Detection 34 6 Security Education 12 6 Visualization 8 6 Exploit of Vulnerability 6 6 Web2.0 6 6 Cybercrime 20 5 DLP 8 5 Web Server Security 5 5
    31. 31. 2010 年减少最多的产品类 产品类 2009 差 Secure File Transfer 14 -5 Software Code Vul. Analysis 11 -5 Physical Security 10 -5 User Awareness 5 -5 Messaging Security 17 -6 Network Protocol Security 15 -6 Configuration Patch Management 11 -6 Risk Management 41 -7 Policy management enforcement 26 -7 Wireless Security 19 -7 Content Filtering 24 -8 Password Management 21 -8 Endpoint Security 45 -9 VPN 15 -9 2009 差 Application Security 46 -10 Encryption key management 25 -10 Identity Management 40 -11 Authentication 47 -12 Database Security 22 -12 Access Control 45 -14 Web Services Security 24 -16 Web Filtering 16 -16 Compliance PCI 24 -24 Enterprise Security Management 76 -28
    32. 32. 变化不大的热门产品 2009 2010 Security Ecommerce 12 12 Virtualization 14 12 Privacy 8 11 Government Standards 10 11 Security Consulting 15 11 Storage Security 10 10 Penetration Testing 10 9 SSO 10 9 Incident Response 13 9 2009 2010 Compliance Management 55 55 Anti Malware 33 30 Vulnerability Assessment 28 28 Firewalls 24 24 Managed Security Services 18 22 Anti Spam 20 19 SIEM 15 15 Audit 19 15 Remote Access 16 14
    33. 33. 漏洞,我们与其共生在一个生态系统中

    ×