数字安全能力指南 基于风险的脆弱性管理RBVM

数字安全能力指南 Risk-BasedVulnerabilityManagement ©北京数字世界咨询有限公司2024.06 数字安全能力指南 Risk-BasedVulnerabilityManagement ©北京数字世界咨询有限公司2024.06 以安全能力、数字资产和数字活动为三元素以数据安全为核心目标 即三元一核的 “数字安全三元论”由“网络安全三元论”(数世咨询于2020年提出)更新迭代而来旨在匹配数字中国建设的进程，保障数字基础设施稳定、可持续运行 保障数据有效流动、激发数据要素价值 数字世界以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。 数字安全以网络安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和国家社会的和谐稳定。 数字世界，安全共生！ 数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务 报告编委 主笔分析师刘宸宇首席分析师李少鹏 分析团队：数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。 任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目录 前言5 关键发现7 1.市场概况8 1.1市场规模8 1.2能力企业8 1.3能力交付模式10 1.4各行业需求占比10 2.概念描述13 2.1基于风险的脆弱性管理RBVM13 2.2RBVM与传统漏洞管理的区别14 3.RBVM能力框架15 3.1RBVM能力要点16 3.1.1关键资产攻击面16 3.1.2漏洞情报17 3.1.3威胁情报17 3.1.4VPT判定优先级17 3.1.5安全风险评分18 3.2围绕VPT的一些难点19 3.2.1深度关联分析的结果要能形成“证据链”19 3.2.2对潜在攻击路径的预测19 3.2.3精确且动态的风险量化20 3.2.4自动化编排与响应（SOAR）20 4.未来展望21 附录：RBVM行业用户案例23 附1.某银行漏洞全生命周期管理建设方案23 附2.某交易所基于风险视角的漏洞主动治理案例27 前言 从计算机时代、互联网时代，到如今的数字时代，国内安全产业一直在学习与创新中向前发展。一方面伴生于IT基础设施的演进，先后出现终端安全、移动安全、云安全、物联网安全等新的安全赛道，另一方面跟随于美国、以色列等西方安全创业公司的安全理念、技术概念，我们也在不断推出着新产品、新服务。学习与创新，是国内安全产业多年来最重要的主题。 然而，数世咨询认为，与“新”相对的，在甲方用户的实际安全工作中，却也面临着一些多年“痼疾”难以解决。安全需要补课，Vulnerability即是其中最典型的问题。 具体来说，Vulnerability有三个方面需要补课： 1.如何准确将外部威胁与自身存在的脆弱性进行关联对应？ 2.如何在众多脆弱性当中确定优先需要关注修复的漏洞？ 3.在漏洞修复前、修复后，如何对风险的变化进行评估和度量？这里笔者没有完全以“漏洞”来做为Vulnerability的翻译，而 以其本意“脆弱性”来称呼，是因为当传统的漏洞扫描器产品发展为更全面的攻击面管理解决方案时，“脆弱性”的说法相比而言更加全面；同时，“脆弱性”的说法也更贴近用户对安全的期待，即基于风险视角，对资产、身份、漏洞等基础工作进行补课，构建持续的脆弱性风险管理能力——安全应当真正有效、有价值。 鉴于此，数世咨询基于田野调查，广泛征集国内安全企业的相 关产品、服务、解决方案后撰写本报告，希望厘清“基于风险的脆弱性管理”这一概念，并帮助一线用户了解国内安全企业相关能力的现状。 勘误或进一步沟通，请联系本报告主笔分析师刘宸宇： liuchenyu@dwcon.cn 关键发现 RBVM基于用户的业务需求场景与资产攻击暴露面，结合Exp可用性、TTPs等漏洞情报，通过持续的漏洞风险评估为用户提供带有明确优先级的脆弱性告警、修复或缓解能力。 国内RBVM市场规模约为11.85亿元人民币，同比增长 25.47%，预计2024年国内RBVM市场规模将达到15亿元。 通过补好“脆弱性”这门课，能够将安全能力落在实处，协助甲方降低潜在损失，提升业务的竞争力。 RBVM定制化与功能化交付的比例较高，表明RBVM仍然处在与用户需求不断磨合的阶段。 RBVM的主要价值在于，避免那些最需要优先被关注的可能带来巨大风险的漏洞淹没在海量漏洞告警中，转而让安全团队能够优先考虑优先级更高的关键漏洞。 VPT判定优先级是RBVM各项能力要点的核心。 数据能力将成为RBVM新的驱动力。 复杂性和多样性决定了个性化的RBVM定制解决方案将会继续存在。 1.市场概况 1.1市场规模 2023年度国内RBVM市场规模统计及预测 20 18 16 14 12 10 8 6 4 2 0 2022 2023 2024E 2025E 市场规模（单位：亿元CNY） 本次调研，共收到17家安全企业的调研表，同时线下走访、线上调研十余家。据统计，国内RBVM市场规模约为11.85亿元人民币，同比增长25.47%。参考各家对2024年的预期营收，以25%的增长率预计，2024年国内RBVM市场规模将达到15亿元。 图例：2023年度国内RBVM市场规模统计及预测 1.2能力企业 本报告将参与本次调研的企业，分别以横轴-市场执行力、竖轴 -应用创新力两个维度，在数世咨询能力指南点阵图中加以呈现，如下图所示： 要说明的是，本次调研，点阵图中的各企业RBVM的技术基因并不一致，大致分为三类： 漏洞评估/漏洞扫描 网络空间测绘/攻击面管理 行业合规/行业实践 之所以将三类不同技术基因的企业放在同一张图中列出，是因为对甲方用户来说，解决问题的最终诉求是一致的，都是基于单点安全工具或合规类产品，进阶为基于风险的脆弱性管理解决方案，从传统形式合规走向获取安全价值。 为了满足用户的这一诉求，三类安全企业起点不同、路径不同，但目标相同，都是通过补好“脆弱性”这门课，将安全能力落在实处，协助甲方降低潜在损失，提升业务的竞争力。 1.3能力交付模式 交付模式占比 作为安全项目中的一个功能交付 18% 单一标准化产品交付 52% 定制化产品交付 30% 图例：国内RBVM产品的交付模式占比 根据调研数据，RBVM以单一标准化产品交付的比例仅为52%，刚刚超过一半，以定制化产品交付运营的比例达到30%，作为安全项目中的一个功能交付的比例为18%。如上图。 交付模式占比中可以看出，定制化与功能化交付的比例较高，这表明虽然是从传统漏洞评估与管理演变而来的解决方案，但RBVM仍然处在与用户需求不断磨合的阶段。背后的主要原因在于RBVM的核心能力“优先级判定”所需的上下文与用户的业务优先级、资产关键性等高度相关，更多细节，后面的能力部分会有详述。 1.4各行业需求占比 根据安全厂商在各行业的收入分布情况，本次调研也统计了 RBVM在各行业中的需求占比，整体而言较为平均，排名前五的行业为金融26%、运营商14%、监管机构11%、地方政府7%以及国 家部委6%。如下图所示： RBVM在各行业的需求占比 2%1%1% 3% 2% 3% 3% 26% 4% 4% 5% 5% 14% 5% 6% 7% 11% 金融 地方政府工业制造电力 新能源 物流 运营商监管机构 国家部委其他 互联网轨道交通 燃气/热力/供水/电网石油石化医疗教育与科研 生活消费水利 图例：国内RBVM在各行业的需求占比 从饼图中可以看到，分布排名前三的行业“金融、运营商与监管机构”其占比之和为51%，已经超过了半数。一方面说明，“关基”行业的整体安全投入更高；另一方面也说明这些“强监管”的行业更加重视漏洞/脆弱性的风险管理，或者换句话说，需要依靠RBVM作为更为有效的风险管理手段。 值得一提的是，本调研中的行业分布是将“能源”行业拆分为电力、石油石化、燃气/管网以及水利等多个细分行业，如果将这些 行业以“大能源”进行归总统计，其占比也可达到11%，进入前三 （并列）。这说明，“能源”也是RBVM的主要应用行业之一。 2.概念描述 2.1基于风险的脆弱性管理RBVM 本报告将基于风险的脆弱性管理（Risk-BasedVulnerabilityManagement–RBVM）描述为：基于用户的业务需求场景与资产攻击暴露面，结合Exp可用性、TTPs等漏洞情报，通过持续的漏洞风险评估为用户提供带有明确优先级的脆弱性告警、修复或缓解能力。 RBVM的基本流程如下图所示： 图例：RBVM基本流程 从图中可以看出RBVM的主要价值在于，避免那些最需要优先被关注的可能带来巨大风险的漏洞淹没在海量漏洞告警中，转而让安全团队能够优先考虑优先级更高的关键漏洞。 2.2RBVM与传统漏洞管理的区别 比较项 传统漏洞管理 RBVM 考虑合规性与法规要求 有 有 与业务的关联性 低 高 管理目标与范围 传统IT资产，如服务器、网络设备、PC等 整个攻击暴露面，除传统IT资产外还包括更多形态的内部资产如云虚机、容器、Web、IoT、BYOD设备（CAASM）以及外部攻击面如公众号、小程序、代码托管平台、暗网等（EASM） 重点关注的漏洞指标 CVSS评分 漏洞可利用性，如PoC、Exp的可获得性，Exp的可用性等 与威胁情报的整合 无 深度整合 与利用上下文的关联分析 无 有 跨部门协作 漏洞修复环节，主要与运维部门协作 数据采集、漏洞修复与缓解、安全风险评分等多个环节，与多部门协作 管理频度 按照机会一般以月或季度为周期进行漏洞扫描评估 对新资产实时动态评估，对已知资产以天为周期可持续评估 对漏洞的判定因素 仅按照漏洞严重性对漏洞进行分类，有过多漏洞被列为高危 与组织机构的业务、资产相结合，根据业务优先级、资产重要性、漏洞本身的可利用性等，确定漏洞的优先级 与流程的集成 对接工单 对接工单、ITSM、SOAR、DevOps等 人工智能的参与 几乎没有 深度参与多维数据采集、脆弱性相关数据分析，提升VPT优先级判定的效率 持续改进与调优 较少，以更新漏洞特征库为主 对基于多维度数据，多场景中综合多种算法得出的优先级结果，持续调优 4.RBVM能力框架 在传统漏洞管理能力中，机构用户基于漏洞扫描器提供的基础漏洞评估能力，依据合规性要求以及CVSS评分为参考，往往面临大量的“高危”、“严重”漏洞，往往只能等HVV或重保等安全团队话语权较高的非常时期，才能集中修复一批。 RBVM在传统漏洞管理的基础上，进一步引入了资产攻击面、漏洞情报、威胁情报等多维度数据，以脆弱性优先级技术 （VulnerabilityPrioritizeTechnology–VPT）对漏洞进行打分与评级。RBVM能力框架如下页图所示： 图例：RBVM能力框架 如此一来，机构用户安全团队需要面对的“高危”、“严重”漏洞的范围与数量大大缩小，漏洞不再只是漏洞，而是与业务连续性、资产关键性等联系更加紧密的脆弱点。安全团队可以更加主动地协调运维、业务部门率先修复高优先级的脆弱点。 4.1RBVM能力要点 4.1.1关键资产攻击面 重点是与核心业务相关的资产攻击面。 如果安全团队无法确定哪些业务属于关键业务，可以直观采用“跟钱走”的原则，即 挣钱的业务有哪些，例如产品、服务的销售； 花钱的活动有哪些，例如人力、产品开发、生产线运行等； 通过这两项活动，安全团队可以快速确定最重要的业务范围，进而根据关键业务，找到对应的主机、系统、账户、域名、应用、代码、API等关键资产。 之后，根据公司战略或核心领导的指导意见，圈定出3-5个最 重要的核心业务，并从关键资产中找到这3-5个核心业务所对应的所有资产。