Gartner VPT技术原理——Tenable：专注于构成风险最大的漏洞

Gartner表示：“到2022年，使用基于风险的漏洞管理方法的组织，会减少80%的被攻击可能”【选择脆弱性评估解决方案的指南，Gartner，2019年4月】

传统的漏洞管理方法无法适应当今的数字时代

不管您在网络安全领域工作了多久，您都一定知道漏洞管理对于识别和降低网络风险至关重要。为什么呢？因为在每一次重大的网络攻击的背后，都有一个未被解决的漏洞。

但是，有一个大问题：在过去的20年里，攻击面在不断演变，漏洞管理人员却未能跟上演变的步伐。

当今的IT环境正在不断变化。在数字转型的推动下，现在我们的世界使用代码来编写的，充斥着新技术、新平台和新设备。联想云、物联网、可移动的、网络应用程序——甚至连工业设备也能连接到这个混乱的景观中。

不同类型的资产不断的进入和离开企业当中。最重要的是，有些资产是短暂的——只持续几秒钟或几分钟。

再多的资产，再多的漏洞，事情也不会更复杂了。

考虑到不断迅速演变膨胀的攻击面，漏洞数量的增长也就不足为奇了。事实上，这个数字已经完全令人生畏了。从2016年到2018年，新发布的漏洞从每年9,837【脆弱性情报报告，Tenable研究报告，2018】激增到每年16,500个。【美国国家漏洞库（NVD）】平均而言，这意味着企业每天会在960个IT资产中发现870个漏洞。【Tenable研究报告】

除了挑战之外，漏洞的严重成都似乎还在增加。由于行业标准的常见漏洞评分系统（CVSS）发生了变化，大多数的漏洞现在被归类为高危或严重漏洞。根据CVSSv3评级，60%的漏洞被认为是高危或者严重等级，而CVSSv2为31%（见图1）。【脆弱性情报报告，Tenable研究报告，2018】

图1:CVSSv2与CVSSv3的分类

因此，安全团队正在处理的漏洞数量超过了他们可以处理的。太过于分散这些有限且有价值的资源会迅速导致低效率和工作过度劳累。由于CVSS是没有风险区分的，你最不需要做的就是浪费宝贵的时间来修复那些几乎没有风险的漏洞。

与攻击者的竞争仍在继续，并且他们处于领先

三个月期间，在分析了大约20万个漏洞评估扫描中最常见的50个严重和高危漏洞后，Tenable研究发现，攻击者比防御者领先了7天的时间。【量化攻击者的先发优势，Tenable研究报告，2018】黑客在安全团队意识到他们面临风险之前就已经抢先开始利用漏洞。

如果不能不间断的了解困扰组织的漏洞，就不可能知道自己的弱点在哪里。传统的漏洞管理主要是以遵从法规为导向，旨在证明遵守法规遵并检查所有制定项目。这意味着漏洞扫描和补救计划通常是间断性的，被审计周期打断，使安全人员痛苦地意识不到重大的漏洞。幸运的是，有一种方法可以克服这些危险——从本质上改变了攻击者的优势。

利用基于风险的漏洞管理来抓住这个机会

每个安全行业的从业者都知道不可能完全躲避攻击。但是积极防御的方法是接下来最好的选择。最简单的实现方法是什么呢？就是基于风险的漏洞管理。

通过进行基于风险的漏洞管理，您可以自信地回答这三个关键问题：

1、业务暴露点在哪里？

2、基于可被利用性，我们应该优先考虑哪些问题？

3、如果漏洞被利用了，会对业务产生什么影响？

基于风险的漏洞管理可以帮助您减少大量的漏洞，为您提供快速、有效地采取修复行动所需的准确关注点。

“开始将其作为一个关键指标进行监控：您有多少可被利用的漏洞在外网”

——Gartner【“Gartner的脆弱性管理战略远景”，Craig Lawson; Gartner安全与风险管理峰会演讲，2019年8月，澳大利亚。悉尼】

首先，解决基本的可见性问题

您无法保护您看不见的东西，也无法解决您不知道的问题。然而，在整个不断扩展的攻击面上获得全面的可见性并不是一件容易的事情。

攻击面和威胁环境都在不断变化，所以不及时的评估为错误的信息决策留下了很大的空间。基于风险的漏洞管理远远超出了传统漏洞管理提供的静态、分散的可见性，并提供了总体动态视图——添加云、容器、web应用程序、物联网、操作技术以及任何计算机平台上的任何资产（见图2）。

无法使用传统的漏洞管理攻击来有效地查看和分析红色圈中的资产：

图2:通过进行基于风险的漏洞管理来消除所有盲点

通过实施基于风险的漏洞管理，您可以准确地查看组织中的所有潜在风险。

然后，回答优先级问题

基于风险的漏洞管理也回答了以下问题：“我们首先应该解决什么？”仅使用CVSS来确定优先级还不足够，因为它仅限于漏洞可能引入的风险的理论观点，因此将大多数漏洞归类为高危或严重等级。CVSS不考虑该漏洞是否正在互联网上被利用。它也不考虑该漏洞是否存在于关键业务或系统上。

例如，CVSSv2和CVSSv3优先考虑远程可利用漏洞，不需要用户交互。但是，攻击者更喜欢使用经过验证的、能够持续利用的漏洞。他们通常利用客户端漏洞，通过网络钓鱼攻击、恶意软件驱动器、恶意转换等方式执行。如果仅基于CVSS确定优先级（例如，修补所有评分为9及以上的漏洞），最终会浪费时间和精力去修复永远也不会被利用的和攻击者不喜欢利用的漏洞。要有效地确认优先级，您需要一种风险驱动的方法，对攻击者关注的关键资产和漏洞进行优先级排序。

通过基于风险的漏洞管理，您可以缩小严重漏洞的范围，并从理论中提取实际风险（参见图3）。它使用机器学习的方法自动分析、关联漏洞的严重性、威胁程度和资产重要性，基于风险为您提供明确的重点修复指导。

图3:使用 CVSS 与基于风险的优先级排序对比

鉴于当今攻击面产生的海量数据，资源紧张的团队不可能全部手动处理。让机器学习进行分析和关联，这样您就可以与 IT团队合作修复重要的漏洞。

“随着我们组织的有机发展，从传统系统转移到云环境，如GCP、亚马逊云和微软Azure，我们的攻击面正在迅速扩大。我们有巨大数量的漏洞。最初检测到大约25万个漏洞，由于传统应用程序的存在，其中一些漏洞被归类严重漏洞和可利用漏洞。我的团队必须有效地对我们的漏洞进行优先级排序以降低我们的网络风险，并领先威胁一步。

——迈克·科斯(Mike Koss)， NBrown 集团的IT安全和风险主管

基于风险与传统漏洞管理

将不可能变为可实现（并消除与 IT团队之间的摩擦）

Ponemon Institute最近的一项调查发现，51%的安全团队花在研究人工流程上的时间多于响应漏洞，导致不可避免的响应阻塞【衡量和管理商业运营的网络风险，Ponemon Institute, 2018】。再加上行业内严重的技能短缺，很容易就能理解为什么团队效率至关重要。

基于风险的漏洞管理为您提供指导团队所要关注的重点，同时向您展示您目前积极降低网络风险的工作成果。您会知道您正在采取的管理风险措施是正确的，因为您专注于可能被利用并造成最大伤害的少数漏洞。您还需要定期跟踪这两个KPI：

l 评估时间：从漏洞发布到您的团队评估漏洞需要多长时间？

l 修复时间：您的团队需要多长时间来响应并与 IT团队合作修复关键漏洞——这些漏洞在互联网上被大量利用后，所造成的最大风险是什么？

“我们不能向 IT 团队提供一份包含10,000个“漏洞”的清单，并期望他们与我们合作。如果我给他们一份几百个漏洞的清单，他们才会参与。”

– Dan Bowden，CISO，Sentara Healthcare

通过监控这些指标，您可以真实地了解哪些指标有效，哪些指标无效。这种新发现的清晰的漏洞优先级，将使您更好地与IT团队对话。您将与IT团队合作修复真正需要注意的一小部分漏洞，而不是向他们扔一个包含成百上千个需要解决的漏洞的电子表格。在确定工作中的差距并朝着共同目标取得的进展时，拥有可以依赖的数据会大有不同。

衡量和管理业务系统的风险

通过基于风险的漏洞管理，您将获得保护业务系统所需的洞察力。如果业务系统的网络风险是不可被接受的，您可以快速确定将其他的安全重心集中在可以降低风险地方。

您还可以轻松地将攻击面的网络风险传达给业务领导。管理基于风险的漏洞管理计划所依赖的数据会自动转换为业务领导能够理解的基于风险的指标。

想要将您的工作量直接减少97%吗？尝试预测优先级。

预测优先级结合了研究结果、威胁情报和漏洞评级，将需要立即修复的漏洞数量减少了 97%。看看它是如何工作的——查看交互式演示。

明确您的优先级——立即尝试基于风险的漏洞管理

大多数安全团队表示，他们有X多人在处理Y数量的案例，或者他们的公司有Z数量的开放的严重漏洞。这些数字如何转化才能使公司被攻击的可能性降到最低？他们不知道。

仅减少数量并不能降低您的风险。消除造成直接危险的漏洞才是关键所在。

想了解基于风险的漏洞管理如何为您的安全团队提供最大的帮助吗？从今天开始吧。

文章内容译自Tenable：《Focus on the vulnerabilities that pose the greatest risk》

新发项目代码审计的重要性

随着区块链行业的发展，项目如雨后春笋般应运而生，但是在大力开拓新项目的同时，158很多人没有6917注意到代码审计4431这一块，那么什么是代码审计呢？所谓代码审计，就是检查源代码的安全缺陷。那么代码审计有什么作用呢？

通过代码审计，检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析。

代码审计是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析，能够找到普通安全测试所无法发现的安全漏洞。

那么，为什么需要做代码审计？代码审计能带来什么好处？

据统计，早在2018年全球区块链领域发生近百起安全事件，损失超20亿美元，相较于2017年增长了538%。比特币的底层技术“区块链”面临着来自数据层、网络层、共识层、激励层、合约层、应用层的安全风险，安全攻击方式层出不穷，防不胜防。安全攻击主要发生在应用层，其中智能合约是区块链安全的重灾区。

99%的大型网站以及系统都被拖过库，泄漏了大量用户数据或系统暂时瘫痪，近日，英国机场遭勒索软件袭击，航班信息只能手写。

提前做好代码审计工作，非常大的好处就是将先于黑客发现系统的安全隐患，提前部署好安全防御措施，保证系统的每个环节在未知环境下都能经得起黑客挑战，进一步巩固客户对企业及平台的信赖。

区块链代币漏洞安全事件代码审计是必要条件

目前，区块130链整体9370还处于6165低迷期，但是智能合约的发展却非常稳定，根据猎豹区块链安全中心的数据，近一个月以太坊的智能合约平均每天以2000+的数量在增长。

智能合约漏洞虽然数量不多，但是所造成的损失是非常巨大的，这与solidity语言的特性有关，也与ERC20协议使代币发行变得便捷有关。

智能合约漏洞的TOP10攻击类型为：重入攻击、权限控制、整型溢出、未检查的call返回值、交易顺序依赖、时间戳依赖、条件竞争、短地址攻击、可预测的随机处理等。

所有智能合约事件中，最著名的当属美链事件。18年4月22日下午，才发行两个月左右的BEC美蜜合约出现重大的溢出漏洞，黑客通过合约的批量转账方法无限生成代币，天量BEC从两个地址转出，进而引发抛售潮。当日，BEC的价值几乎归零。损失金额超过10亿。

由于区块链的“代码即一切”的原则，导致目前没有有效的安全防护手段来彻底避免智能合约安全的问题。

对于智能合约的开发，小豹建议摒弃“敏捷开发”的理念。而采用缓慢而有条理的方法来开发智能合约，在最初设计和编码时，就尽量谨慎和考虑周全。

开发管理者也不要对开发人员太大的压力（比如制定严格的期限等），通常来说，赶出来的东西都多多少少会有问题。

另外，在上链之前，找到专业的区块链安全公司对智能合约进行安全审计是最最基础和必要的。

以下是2018年智能合约大事件，以及相关事件的一些细节：

（1）2018年 8月22日，GOD.GAME合约遭到黑客攻击，GOD智能合约上的以太坊总量归零

（2）2018年4月25日，SmartMesh 出现重大安全漏洞，导致1.4亿美元损失

（3）18年4月22日下午，才发行两个月左右的BEC美蜜合约因为存在溢出漏洞，被黑客从两个地址不断转出代币，使BEC价格几乎归零，损失金额总计超过10亿美元。

交易所安全

据网络安全公司 CiferTrace 10月发布的一份报告显示，2018年前9个月，通过黑客入侵交易所窃取的加密货币就已达9.27亿美金，已经是整个2017年的2.5倍。

韩国科技部的调查报告称：“大部分交易所都存在安全漏洞。”

那么，为什么加密货币交易所安全问题层出不穷？

一方面，数字货币的匿名性，不可篡改性以及无监管特性，导致了资产转移便捷，溯源找回难度大。另一方面，数字货币交易行业出现时间短，发展又非常快，利润高，导致本来技术积累就不足的情况下，仍然忽视信息安全方面的建设，隐藏的安全漏洞多，攻击起来相对容易。甚至还有一些加密数字交易所甚至完全没有安全系统。

数字货币交易所面临的安全威胁主要包括：服务器软件漏洞、配置不当、DDoS攻击、服务端Web程序漏洞（包括技术性漏洞和业务逻辑缺陷）、办公电脑安全问题、内部人员攻击等。

对于规模较大，用户较多的交易所，还会面临用户被攻击者利用仿冒的钓鱼网站骗取认证信息的问题。

而针对这些安全威胁，小豹建议交易所在面向用户之前，先进行渗透测试，代码审计等安全服务，挖掘并修复系统存在的安全漏洞。

另外，建议交易所对所有正式入职的员工进行必要的基础的安全培训。

最后，针对数字虚拟币交易的网民，建议大家主动学习安全知识，并在电脑端、手机端使用安全软件，千万不要自信“裸奔”，以避免掉进网络钓鱼陷阱以及钱包被盗事件的发生。

以下是2018年加密货币交易所被盗事件，以及相关事件的具体细节。

（1）1月，日本最大的数字加密货币交易所 Coincheck 被盗走价值5.34亿美元的XEM。Coincheck 是日本第二大交易所，在之后的官方发布会上，Coincheck 表示，XEM 被盗是因为存储 XEM 的热钱包的私钥被黑客所窃取，但是没有其他币种被盗。受此事件影响，XEM 当天下跌9.8%。

（2）2月11日，意大利加密货币交易所 BitGrail 被攻击，价值 1.7 亿美元的加密货币 NANO 被盗。

（3）3月7日，Binance 遭到黑客入侵，黑客通过控制币安部分账户，卖出这些账户持仓的BTC，买入 VIA 币，导致 VIA 逆市大涨。币安将异常交易进行了回滚处理，但此事件依然引起市场恐惧，随后几天比特币跌幅超过15%。

（4）4月1日，Bit-Z 遭遇黑客攻击，未造成资金损失。为此 Bit-Z 专门设立了10000个 ETH 安全基金，用于奖励安全漏洞提交者。这笔奖励在当时价值400万美金。

（5）4月13日，印度三大比特币交易所之一 Coinsecure 在官网发布公告称，该交易所438个 BTC 失窃，价值约330万美元。该交易所首席安全官 Amitabh Saxena 被列为嫌疑人。这是印度最大的加密货币被盗事件。

（6）6月5日，Bitfinex 遭到“拒绝服务（denial-of-service）”攻击，Bitfinex 随即暂停了交易所的所有交易。

（7）6月10日，韩国数字加密货币交易所 Coinrail 遭到黑客攻击，损失超过5000万美元。Coinrail 加密货币总量的70%被保存在冷钱包，被盗总量的三分之二已被追回。

（8）6月20日，韩国加密货币交易所 Bithumb 被黑客攻击，价值3000万美元的加密货币被盗，这是 Bithumb 第三次被黑客攻击。

此前，该交易所还遭受了两次“黑客攻击”。

第一次：2017年4月，Bithumb 某员工电脑被黑，导致超过3万名用户的资料被窃，Bithumb 也因此被韩国监管机构罚款5.5万美元。

第二次：2017年12月22日，韩国MBC电视台雇佣了一家安保公司，对包括Bithumb 在内的5家韩国交易所进行安全测试。该安保公司成功“黑入”包括Bithumb 在内的5家交易所，并获取了部分用户数据和资金。受雇“黑客”声称仅使用了“基本的黑客技巧”。

但是，安全问题并未引起交易所足够重视，这才导致了2018年6月份的黑客事件发生。

（9）9月20日，日本数字货币交易所 Zaif 宣布遭受黑客攻击，损失5967万美元。其中1959万美元属于该交易所自有资金，其余4007万美元属于客户资金。

区块链代码审计成就完美合约

区块链智能合约通过代码建立一套“法律合同”，软件工程师创造一个完全无误差的代码是不可能的，程序员总存在疏忽的地方。红岸科技和国防科技大学的Ulord区块链项目研究团队对市面上的区块链智能合约进行了审计，他们的研究发现：

对所有的程序员来说，写一个没有bug的代码实在是太难了，即使采取了所有可能的预防措施，在复杂的软件中也总会出现没有预料到的执行路径或可能的漏洞。

这是为什么要代码审计最重要的原因之一。

区块链中的 “法律合同”是一项受解释和仲裁的约束，程序员很难去创造一个缜密的合约。在任意一个大的合约里，可能出现的文稿错误以及一些条款需要解释和仲裁。

同时，软件工程师不是法律专家，反之亦然。起草一份好的合约需要各种各样的技能，不一定与编写的计算机程序兼容。

因此，智能合约代码在一定程度上都可能存在安全隐患。传统的智能合约代码审计主要利用人工，依靠code reviewer阅读智能合约代码。人工代码审计最终还是依赖人的经验，代码审计效果不明显，针对目前ETH大量代币的智能合约，人工审计工作量大，难以高效的完成工作。

在区块链领域从事代码审计业务的项目公司较少，目前每个代币在上交易所之前，其区块链智能合约代码由交易所进行审察和判定，但交易所有时并不能完全有效地判断合约是否完美。