「風險」、「威脅」和「漏洞利用」，其實差別很大

01-31

時常有朋友問：
你在豈安科技工作，是不是會黑客技術？是不是會修復漏洞？
安安覺得有必要科普一下，讓大家了解安安的真本事。

在很多人眼裡，黑客總是以高深莫測的形象出現，黑客們往往都是天才，為了證明自己黑掉政府網站，或者入侵美國國防部。

實際上，黑客技術大部分時候並不那麼高大上，甚至顯得下流齷齪。在計算機技術日益發達的今天，花上一定的金錢購買木馬，也能做到盜號。當然，這部分也是豈安打擊的對象之一。

說到這裡，你可能已經明白，像其它技術領域一樣，IT安全也發展出自己的特定語言以便讓從業者們更容易討論這個主題。

許多安全術語在熱門科技新聞中幾乎可以相互替換地使用，即使實際上不能替換。不同的安全行話具有獨特的的含義，以特定方式來使用，是有原因的。例如，「風險評估」和「威脅評估」是兩個完全不同的事情，並且每個都因其自身原因和適用於解決不同的問題而有具有價值。

這裡是對三個安全術語「風險」、「威脅」和「漏洞利用」的定義和區別：

風險

所謂「風險」是指一個成功的特定攻擊中被列為攻擊目標，並且通常在特定威脅中暴露的可能性。

風險評估是為了確定並儘快解決最重要的潛在的安全漏洞。其中列舉了最關鍵和最有可能的危險，並評估漏洞在費用和可能性相互作用函數中的風險相互關聯的程度。

分析風險有助於確定一個在時間和金錢上適當的安全預算，並確定實行安全政策的優先順序，這樣才能最迅速地解決最直接的挑戰。

所謂「威脅」是指特定類型攻擊的來源和手段。

威脅評估是為了確定最佳的辦法，確保系統對某一特定威脅，或各類威脅的安全。滲透測試演習基本上是側重於評估威脅概要，以幫助制定有效的對策來對付特定威脅所代表的各類攻擊。如果風險評估更注重分析的潛力和趨勢，一個人的資源，以犧牲品各種攻擊，威脅評估，更多地側重於分析攻擊者的資源。

分析威脅有助於制定具體的安全策略，以利用策略優先權實施在線安全策略，並了解要確保安全的資源的具體執行需求。

所謂「漏洞利用」是指的是可以攻擊成功的系統安全缺陷。

漏洞測試，應在現有基礎上由各方負責解決這種漏洞，並有助於向需要加以解決的安全提供用於識別意外危險的數據。這種漏洞不是特別的技術-它們也可以適用於社會因素，如個人身份驗證和授權的政策。

這個就比較好理解了，很多系統或者軟體在設計之初，並沒有考慮到現在可能面對的所以情況，從而被別人發現並利用漏洞獲取許可權。當然，就算現在考慮周全了，未來也會出現新的場景，所以舊的系統漏洞會不斷消失，新的系統漏洞會不斷出現。

豈安科技的產品，包括 WARDEN 和 RED.Q 在內，都是定位與「業務風險控制」。

前面我們已經提到，「風險」不同於「威脅」和「漏洞利用」，從安全形度來說，風險更側重於可能存在的情況。比如說漏洞，一個漏洞是否存在其實在軟體完成之初就已經確定了，遲早有一天要被發現。但是，撞庫攻擊、爬蟲等行為，卻是不確定的，可能今天來，也可能明天來。這部分的風險我們稱之為「業務風險」。

對企業來說，「漏洞」看上去影響很大，但是真正利用漏洞入侵的黑客其實並不多。反倒是業務方面的風險更為常見。

這些都是企業日常面臨的業務風險，並且實實在在影響到企業的生產和發展。豈安科技的 WARDEN （基於複雜信息流的業務風險實時檢測系統）等產品旨在幫助企業解決這樣的業務風險。

WARDEN 通過旁路分析業務應用的網路流量來實現無埋點信息採集，可以實現完全與業務並行，通過企業應用的網路流量可自適應採集各類業務行為。而自適應業務風控，通過分析用戶全量行為分析，細到一個圖片的載入。在WARDEN中，這些步驟只需要幾十分鐘就可以解決，讓解決安全問題的效率大大提升。

WARDEN 的設計思路展示了一種邏輯：

對企業來說，根據企業面臨的實際情況來制定對應的安全政策才是最合適的。

更多乾貨關注微信公眾號：bigsec