“风险”、“威胁”和“漏洞利用”,其实差别很大

时常有朋友问安安:

你在岂安科技工作,是不是会黑客技术?是不是会修复漏洞?

安安觉得有必要科普一下,让大家了解安安的真本事。

在很多人眼里,黑客总是以高深莫测的形象出现,黑客们往往都是天才,为了证明自己黑掉政府网站,或者入侵美国国防部。

黑客入侵

实际上,黑客技术大部分时候并不那么高大上,甚至显得下流龌龊。在计算机技术日益发达的今天,花上一定的金钱购买木马,也能做到盗号。当然,这部分也是岂安打击的对象之一。

说到这里,你可能已经明白,像其它技术领域一样,IT安全也发展出自己的特定语言以便让从业者们更容易讨论这个主题。

许多安全术语在热门科技新闻中几乎可以相互替换地使用,即使实际上不能替换。不同的安全行话具有独特的的含义,以特定方式来使用,是有原因的。例如,“风险评估”和“威胁评估”是两个完全不同的事情,并且每个都因其自身原因和适用于解决不同的问题而有具有价值。

这里是对三个安全术语“风险”、“威胁”和“漏洞利用”的定义和区别:

风险

所谓“风险”是指一个成功的特定攻击中被列为攻击目标,并且通常在特定威胁中暴露的可能性,风险评估是为了确定并尽快解决最重要的潜在的安全漏洞。其中列举了最关键和最有可能的危险,并评估漏洞在费用和可能性相互作用函数中的风险相互关联的程度。

分析风险有助于确定一个在时间和金钱上适当的安全预算,并确定实行安全政策的优先顺序,这样才能最迅速地解决最直接的挑战。

威胁

所谓“威胁”是指特定类型攻击的来源和手段。

威胁评估是为了确定最佳的办法,确保系统对某一特定威胁,或各类威胁的安全。渗透测试演习基本上是侧重于评估威胁概要,以帮助制定有效的对策来对付特定威胁所代表的各类攻击。如果风险评估更注重分析的潜力和趋势,一个人的资源,以牺牲品各种攻击,威胁评估,更多地侧重于分析攻击者的资源。

分析威胁有助于制定具体的安全策略,以利用策略优先权实施在线安全策略,并了解要确保安全的资源的具体执行需求。

漏洞利用

所谓“漏洞利用”是指的是可以攻击成功的系统安全缺陷。漏洞测试,应在现有基础上由各方负责解决这种漏洞,并有助于向需要加以解决的安全提供用于识别意外危险的数据。这种漏洞不是特别的技术-它们也可以适用于社会因素,如个人身份验证和授权的政策。

这个就比较好理解了,很多系统或者软件在设计之初,并没有考虑到现在可能面对的所以情况,从而被别人发现并利用漏洞获取权限。当然,就算现在考虑周全了,未来也会出现新的场景,所以旧的系统漏洞会不断消失,新的系统漏洞会不断出现。

关于WARDEN

岂安科技的产品,包括 WARDEN 和RED.Q 在内,都是定位与“业务风险控制”。

WARDEN

前面我们已经提到,“风险”不同于“威胁”和“漏洞利用”,从安全角度来说,风险更侧重于可能存在的情况。比如说漏洞,一个漏洞是否存在其实在软件完成之初就已经确定了,迟早有一天要被发现。但是,撞库攻击、爬虫等行为,却是不确定的,可能今天来,也可能明天来。这部分的风险我们称之为“业务风险”。

对企业来说,“漏洞”看上去影响很大,但是真正利用漏洞入侵的黑客其实并不多。反倒是业务方面的风险更为常见。

一家电商网站,可能会被各种爬虫爬取价格,然后被同行抄走并制定相应的定价和销售政策;

一个P2P理财公司,好不容易拿出经费来补贴新用户,却可能被各种薅羊毛的手段夺走了大部分本属于新用户的补贴;

一家出行网站,可能会被各种黑产撞库,稍有差池可能就会导致用户账号信息被盗,虽然最初被盗的账号并不是从自己这里丢失的。

这些都是企业日常面临的业务风险,并且实实在在影响到企业的生产和发展。岂安科技的 WARDEN (基于复杂信息流的业务风险实时检测系统)等产品旨在帮助企业解决这样的业务风险。

WARDEN 通过旁路分析业务应用的网络流量来实现无埋点信息采集,可以实现完全与业务并行,通过企业应用的网络流量可自适应采集各类业务行为。而自适应业务风控,通过分析用户全量行为分析,细到一个图片的加载。在WARDEN中,这些步骤只需要几十分钟就可以解决,让解决安全问题的效率大大提升。

WARDEN 的设计思路展示了一种逻辑:

对企业来说,根据企业面临的实际情况来制定对应的安全政策才是最合适的。