「風險」、「威脅」和「漏洞利用」,其實差別很大

時常有朋友問:

你在豈安科技工作,是不是會黑客技術?是不是會修復漏洞?

安安覺得有必要科普一下,讓大家了解安安的真本事。

在很多人眼裡,黑客總是以高深莫測的形象出現,黑客們往往都是天才,為了證明自己黑掉政府網站,或者入侵美國國防部。

實際上,黑客技術大部分時候並不那麼高大上,甚至顯得下流齷齪。在計算機技術日益發達的今天,花上一定的金錢購買木馬,也能做到盜號。當然,這部分也是豈安打擊的對象之一。

說到這裡,你可能已經明白,像其它技術領域一樣,IT安全也發展出自己的特定語言以便讓從業者們更容易討論這個主題。

許多安全術語在熱門科技新聞中幾乎可以相互替換地使用,即使實際上不能替換。不同的安全行話具有獨特的的含義,以特定方式來使用,是有原因的。例如,「風險評估」和「威脅評估」是兩個完全不同的事情,並且每個都因其自身原因和適用於解決不同的問題而有具有價值。

這裡是對三個安全術語「風險」、「威脅」和「漏洞利用」的定義和區別:

風險

所謂「風險」是指一個成功的特定攻擊中被列為攻擊目標,並且通常在特定威脅中暴露的可能性。

風險評估是為了確定並儘快解決最重要的潛在的安全漏洞。其中列舉了最關鍵和最有可能的危險,並評估漏洞在費用和可能性相互作用函數中的風險相互關聯的程度。

分析風險有助於確定一個在時間和金錢上適當的安全預算,並確定實行安全政策的優先順序,這樣才能最迅速地解決最直接的挑戰。

威脅

所謂「威脅」是指特定類型攻擊的來源和手段。

威脅評估是為了確定最佳的辦法,確保系統對某一特定威脅,或各類威脅的安全。滲透測試演習基本上是側重於評估威脅概要,以幫助制定有效的對策來對付特定威脅所代表的各類攻擊。如果風險評估更注重分析的潛力和趨勢,一個人的資源,以犧牲品各種攻擊,威脅評估,更多地側重於分析攻擊者的資源。

分析威脅有助於制定具體的安全策略,以利用策略優先權實施在線安全策略,並了解要確保安全的資源的具體執行需求。

漏洞利用

所謂「漏洞利用」是指的是可以攻擊成功的系統安全缺陷。

漏洞測試,應在現有基礎上由各方負責解決這種漏洞,並有助於向需要加以解決的安全提供用於識別意外危險的數據。這種漏洞不是特別的技術-它們也可以適用於社會因素,如個人身份驗證和授權的政策。

這個就比較好理解了,很多系統或者軟體在設計之初,並沒有考慮到現在可能面對的所以情況,從而被別人發現並利用漏洞獲取許可權。當然,就算現在考慮周全了,未來也會出現新的場景,所以舊的系統漏洞會不斷消失,新的系統漏洞會不斷出現。

關於WARDEN

豈安科技的產品,包括 WARDEN 和 RED.Q 在內,都是定位與「業務風險控制」。

前面我們已經提到,「風險」不同於「威脅」和「漏洞利用」,從安全形度來說,風險更側重於可能存在的情況。比如說漏洞,一個漏洞是否存在其實在軟體完成之初就已經確定了,遲早有一天要被發現。但是,撞庫攻擊、爬蟲等行為,卻是不確定的,可能今天來,也可能明天來。這部分的風險我們稱之為「業務風險」。

對企業來說,「漏洞」看上去影響很大,但是真正利用漏洞入侵的黑客其實並不多。反倒是業務方面的風險更為常見。

  • 一家電商網站,可能會被各種爬蟲爬取價格,然後被同行抄走並制定相應的定價和銷售政策;
  • 一個P2P理財公司,好不容易拿出經費來補貼新用戶,卻可能被各種薅羊毛的手段奪走了大部分本屬於新用戶的補貼;
  • 一家出行網站,可能會被各種黑產撞庫,稍有差池可能就會導致用戶賬號信息被盜,雖然最初被盜的賬號並不是從自己這裡丟失的。

這些都是企業日常面臨的業務風險,並且實實在在影響到企業的生產和發展。豈安科技的 WARDEN (基於複雜信息流的業務風險實時檢測系統)等產品旨在幫助企業解決這樣的業務風險。

WARDEN 通過旁路分析業務應用的網路流量來實現無埋點信息採集,可以實現完全與業務並行,通過企業應用的網路流量可自適應採集各類業務行為。而自適應業務風控,通過分析用戶全量行為分析,細到一個圖片的載入。在WARDEN中,這些步驟只需要幾十分鐘就可以解決,讓解決安全問題的效率大大提升。

WARDEN 的設計思路展示了一種邏輯:

對企業來說,根據企業面臨的實際情況來制定對應的安全政策才是最合適的。

更多乾貨關注微信公眾號:bigsec

推薦閱讀:

財務分析有技巧
商業、風險以及我們的生命
誰更喜歡抵押貸款

TAG:风险控制 | 漏洞 | 黑客Hacker |