数字安全能力指南 基于风险的脆弱性管理RBVM

Risk-Based Vulnerability Management ©北京数字世界咨询有限公司2024.06 数字安全能力指南Risk-Based Vulnerability Management ©北京数字世界咨询有限公司2024.06 以安全能力、数字资产和数字活动为三元素以数据安全为核心目标即三元一核的 “数字安全三元论”由“网络安全三元论”(数世咨询于2020年提出)更新迭代而来旨在匹配数字中国建设的进程，保障数字基础设施稳定、可持续运行保障数据有效流动、激发数据要素价值 数字世界以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。数字安全以网络安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和国家社会的和谐稳定。数字世界，安全共生！ 数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务 报告编委主笔分析师刘宸宇首席分析师李少鹏分析团队：数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目录 前言............................................................................................5关键发现.....................................................................................71.市场概况.................................................................................81.1市场规模.........................................................................81.2能力企业.........................................................................81.3能力交付模式.................................................................101.4各行业需求占比.............................................................102.概念描述...............................................................................132.1基于风险的脆弱性管理RBVM........................................132.2 RBVM与传统漏洞管理的区别........................................143. RBVM能力框架...................................................................153.1 RBVM能力要点............................................................163.1.1关键资产攻击面.....................................................163.1.2漏洞情报...............................................................173.1.3威胁情报...............................................................173.1.4 VPT判定优先级....................................................173.1.5安全风险评分........................................................183.2围绕VPT的一些难点....................................................193.2.1深度关联分析的结果要能形成“证据链”...............193.2.2对潜在攻击路径的预测...........................................193.2.3精确且动态的风险量化...........................................203.2.4自动化编排与响应（SOAR）.................................204.未来展望..............................................................................21附录：RBVM行业用户案例......................................................23附1.某银行漏洞全生命周期管理建设方案............................23附2.某交易所基于风险视角的漏洞主动治理案例..................27 前言 从计算机时代、互联网时代，到如今的数字时代，国内安全产业一直在学习与创新中向前发展。一方面伴生于IT基础设施的演进，先后出现终端安全、移动安全、云安全、物联网安全等新的安全赛道，另一方面跟随于美国、以色列等西方安全创业公司的安全理念、技术概念，我们也在不断推出着新产品、新服务。学习与创新，是国内安全产业多年来最重要的主题。 然而，数世咨询认为，与“新”相对的，在甲方用户的实际安全工作中，却也面临着一些多年“痼疾”难以解决。安全需要补课，Vulnerability即是其中最典型的问题。 具体来说，Vulnerability有三个方面需要补课： 1.如何准确将外部威胁与自身存在的脆弱性进行关联对应？ 2.如何在众多脆弱性当中确定优先需要关注修复的漏洞？ 3.在漏洞修复前、修复后，如何对风险的变化进行评估和度量？ 这里笔者没有完全以“漏洞”来做为Vulnerability的翻译，而以其本意“脆弱性”来称呼，是因为当传统的漏洞扫描器产品发展为更全面的攻击面管理解决方案时，“脆弱性”的说法相比而言更加全面；同时，“脆弱性”的说法也更贴近用户对安全的期待，即基于风险视角，对资产、身份、漏洞等基础工作进行补课，构建持续的脆弱性风险管理能力——安全应当真正有效、有价值。 鉴于此，数世咨询基于田野调查，广泛征集国内安全企业的相 关产品、服务、解决方案后撰写本报告，希望厘清“基于风险的脆弱性管理”这一概念，并帮助一线用户了解国内安全企业相关能力的现状。 勘 误或 进 一 步 沟 通， 请 联 系本 报 告主 笔 分 析 师 刘 宸 宇 ：liuchenyu@dwcon.cn 关键发现 ✓RBVM基于用户的业务需求场景与资产攻击暴露面，结合Exp可用性、TTPs等漏洞情报，通过持续的漏洞风险评估为用户提供带有明确优先级的脆弱性告警、修复或缓解能力。✓国内RBVM市场规模约为11.85亿元人民币，同比增长25.47%，预计2024年国内RBVM市场规模将达到15亿元。✓通过补好“脆弱性”这门课，能够将安全能力落在实处，协助甲方降低潜在损失，提升业务的竞争力。✓RBVM定制化与功能化交付的比例较高，表明RBVM仍然处在与用户需求不断磨合的阶段。✓RBVM的主要价值在于，避免那些最需要优先被关注的可能带来巨大风险的漏洞淹没在海量漏洞告警中，转而让安全团队能够优先考虑优先级更高的关键漏洞。✓VPT判定优先级是RBVM各项能力要点的核心。✓数据能力将成为RBVM新的驱动力。✓复杂性和多样性决定了个性化的RBVM定制解决方案将会继续存在。 1.市场概况 1.1市场规模 本次调研，共收到17家安全企业的调研表，同时线下走访、线上调研十余家。据统计，国内RBVM市场规模约为11.85亿元人民币，同比增长25.47%。参考各家对2024年的预期营收，以25%的增长率预计，2024年国内RBVM市场规模将达到15亿元。 1.2能力企业 本报告将参与本次调研的企业，分别以横轴-市场执行力、竖轴-应用创新力两个维度，在数世咨询能力指南点阵图中加以呈现，如下图所示： 要说明的是，本次调研，点阵图中的各企业RBVM的技术基因并不一致，大致分为三类： ➢漏洞评估/漏洞扫描 ➢网络空间测绘/攻击面管理➢行业合规/行业实践 之所以将三类不同技术基因的企业放在同一张图中列出，是因为对甲方用户来说，解决问题的最终诉求是一致的，都是基于单点安全工具或合规类产品，进阶为基于风险的脆弱性管理解决方案，从传统形式合规走向获取安全价值。 为了满足用户的这一诉求，三类安全企业起点不同、路径不同，但目标相同，都是通过补好“脆弱性”这门课，将安全能力落在实处，协助甲方降低潜在损失，提升业务的竞争力。 1.3能力交付模式 根据调研数据，RBVM以单一标准化产品交付的比例仅为52%，刚刚超过一半，以定制化产品交付运营的比例达到30%，作为安全项目中的一个功能交付的比例为18%。如上图。 交付模式占比中可以看出，定制化与功能化交付的比例较高，这表明 虽 然是 从传 统 漏 洞评估与管理演变而来的解决方案，但RBVM仍然处在与用户需求不断磨合的阶段。背后的主要原因在于RBVM的核心能力“优先级判定”所需的上下文与用户的业务优先级、资产关键性等高度相关，更多细节，后面的能力部分会有详述。 1.4各行业需求占比 根据安全厂商在各行业的收入分布情况，本次调研也统计了RBVM在各行业中的需求占比，整体而言较为平均，排名前五的行业为金融26%、运营商14%、监管机构11%、地方政府7%以及国 家部委6%。如下图所示： 从饼图中可以看到，分布排名前三的行业“金融、运营商与监管机构”其占比之和为51%，已经超过了半数。一方面说明，“关基”行业的整体安全投入更高；另一方面也说明这些“强监管”的行业更加重视漏洞/脆弱性的风险管理，或者换句话说，需要依靠RBVM作为更为有效的风险管理手段。 值得一提的是，本调研中的行业分布是将“能源”行业拆分为电力、石油石化、燃气/管网以及水利等多个细分行业，如果将这些 行业以“大能源”进行归总统计，其占比也可达到11%，进入前三（并列）。这说明，“能源”也是RBVM的主要应用行业之一。 2.概念描述 2.1基于风险的脆弱性管理RBVM 本报告将基于风险的脆弱性管理（Risk-Based VulnerabilityManagement–RBVM）描述为：基于用户的业务需求场景与资产攻击暴露面，结合Exp可用性、TTPs等漏洞情报，通过持续的漏洞风险评估为用户提供带有明确优先级的脆弱性告警、修复或缓解能力。 RBVM的基本流程如下图所示： 从图中可以看出RBVM的主要价值在于，避免那些最需要优先被关注的可能带来巨大风险的漏洞淹没在海量漏洞告警中，转而让安全团队能够优先考虑优先级更高的关键漏洞。 3.RBVM能力框架 在传统漏洞管理能力中，机构用户基于漏洞扫描器提供的基础漏洞评估能力，依据合规性要求以及CVSS评分为参考，往往面临大量的“高危”、“严重”漏洞，往往只能等HVV或重保等安全团队话语权较高的非常时期，才能集中修复一批。 RBVM在传统漏洞管理的基础上，进一步引入了资产