在数字化转型过程中,数字技术对企业的业务模式、组织架构和企业文化产生了积极影响,但同时也给企业带来更多的安全威胁和风险:企业暴露在互联网上的攻击面数据呈指数级增长,攻击载体也随之大量增加。攻击面正在成为攻防博弈中攻守易势的关键。
在此背景下,在“2022网络安全运营技术峰会”上,国内权威咨询机构赛迪顾问重磅首发《中国攻击面管理市场白皮书》(以下简称白皮书)。白皮书选取了华云安等国内外攻击面管理领域代表企业,立足于攻击面管理的本土化洞察与实践,探讨攻击面管理在新一代网络安全防御体系中的能动作用。
基于攻击者视角的主动防御技术
企业需求转变催生了新概念、新产品的应运而生。攻击面管理概念的提出也是如此。近年来,新兴技术纷涌出现带动了网络资产边界快速拓展,远程办公的兴起与发展进一步增加了企业资产暴露面,而基于供应链的新型攻击大大降低了攻击成本....在多重因素驱动下,网络安全防御策略需要与时俱进化被动防御为主动防御,需要以攻击者视角梳理资产与风险脆弱点,更好地解决企业在数字化转型中面临的复杂现实。
攻击面管理,由国际知名咨询机构Gartner于2018年首次提出。在2021年7月,Gartner发布了《2021安全运营技术成熟度曲线》,将攻击面管理相关技术定义为新兴技术。在Gartner 发布 的2022 年主要安全和风险管理趋势中,“企业攻击面正在扩大”被首先提出,与网络物理系统和物联网、开源代码、云应用程序、复杂的数字供应链、社交媒体等相关的风险,已使企业的暴露表面置于可控资产之外。企业必须采用超越传统的安全监控、检测和响应方法,管理更广泛的安全风险。Gartner认为,攻击面管理主要包含,外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)。
要讲攻击面管理,首先要知道何为攻击面。白皮书指出,攻击面是指未经授权即能访问和利用企业数字资产的所有潜在入口的总和,包括未经授权的可访问的硬件、软件、云资产和数据资产等,同样也包括人员管理、技术管理、业务流程存在的安全弱点和缺陷等,即存在可能会被攻击者利用并造成损失的潜在风险。白皮书认为不是所有资产暴露面都可以成为攻击面,只有可利用暴露面叠加攻击向量才形成了攻击面。因此,如何进行暴露面的收敛以及攻击向量的控制是攻击面管理的重要手段。
值得一提的是,在白皮书中对攻击面管理 (ASM)进行了定义:攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法,其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性,而这里的所有资产包含已知资产、未知资产、数字资产、企业品牌、泄露信息等等一系列可存在被利用的风险的资产内容。
首发攻击面管理框架体系和成熟度模型
在本次报告中,华云安作为国内领先的攻击面管理创新公司入选。在2021年,华云安在行业率先提出以攻击者视角构建的攻击面管理产品解决方案之时,便认为攻击面管理可以有效整合漏洞扫描、攻击和突破模拟BAS、扩展检测和响应XDR、扩展威胁情报XTI、漏洞优先级VPT等各种安全能力,并结合用户需求,提供网络资产攻击面管理CAASM、外部攻击面管理EASM等场景化应用,实现攻击面的有效检测、分析、监控和响应。因此,攻击面管理不仅仅是一种理念,更是一种新兴的方法论,亦是一个天然的技术融合架构。这一点,与白皮书中的阐述不谋而合。
在白皮书中,赛迪顾问首发攻击面管理框架体系。攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景。基础技术为支撑攻击面管理的技术能力集合,多种技术组合形成攻击面管理的能力体系,根据不同的业务场景需求采用不同的能力组合,形成不同的应用场景下的攻击面管理解决方案,为用户提供有针对性的攻击面闭环管理能力。在白皮书中,将攻击面管理按照不同的应用场景分为外部视角的攻击面管理和内部视角攻击面管理两类,将数字风险保护依据其外延与内核归属融入到了外部视角当中。
白皮书对于外部视角的攻击面管理(EASM)和内部视角的攻击面管理构成(CAASM)进行了定义与规范。EASM主要关注外部资产,使用一系列来源和方法来扫描全球的互联网,寻找其面向外部的资产暴露面,并且对这种资产暴露面进行可视化。而CAASM关注内部资产,发现功能主要通过与现有工具的API集成(被动)来工作,依赖于其他已部署的技术作为上下文,并富化从这些技术中提取的数据,以提供组织资产库存的整体视图 。
此外,在白皮书中建立了攻击面管理的成熟度模型,主要是工具阶段的被动防御、平台阶段的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级;提出了暴露面获取、脆弱点发现、攻击面挖掘、情报获取能力等攻击面管理要具备的12个能力域,从检测发现、分析研判、情报预警、响应运营的闭环管控过程分解了响应的能力子项,从子能力的具备和完善情况来评价攻击面管理的有效性。
产品视角看攻击面管理
日前,在2022网络安全运营技术峰会(SecOps2022)上,华云安重磅发布“三维一体、内外兼修”攻击面管理产品解决方案,将定位CAASM的灵洞·网络资产攻击面管理系统(Ai·Vul),定位EASM的灵知·互联网情报监测预警中心(Ai·Radar),定位BAS的灵刃·智能渗透与攻击模拟系统(Ai·Bot)的三款产品,融合构建形成一体化攻击面管理整体解决方案。
灵洞·网络资产攻击面管理系统(Ai·Vul),重新定义了资产管理、漏洞管理情报和响应。灵洞将企业网络空间攻击面管理过程中的攻击者视角信息和防御者视角信息,通过安全分析引擎、数据分析引擎进行统一整合,以主动扫描、被动监测、情报预警和自动化评估等多种手段及时发现内外部数字资产攻击面,并进行分析评估和响应处置,让用户先于攻击者了解数字化攻击手段和攻击路径,并采取针对性措施进行高效敏捷响应,帮助企业降低被攻击的可能性,保障数字业务安全。
灵知·互联网情报监测预警中心(Ai·Radar),先于攻击者对外部攻击面发现和收敛。灵知基于华云安知识图谱的安全风险库、基于企业暴露面数据源、托管服务及安全服务三类数据源,以攻击者思维定向梳理、发现企业未知资产暴露面及脆弱性,通过“主动+被动+服务”形成具有即时性、可定位性、可追溯性的暴露面测绘图,持续监测网络安全态势,实现从“被动防御”向“主动防御”的进阶。
灵刃·智能渗透与攻击模拟系统(Ai·Bot)将实战攻防演习常态化,通过自动化和人工智能的技术,以攻击者视角,模拟攻击者可能进行的攻击链路,测试系统的安全性和防御策略的有效性。
灵洞、灵知、灵刃以微服务的方式提供不断迭代的安全能力。平台化架构让三个产品既可以独立提供各自的安全能力,也可以原子化安全能力编排构成全面且完整的攻击面整体解决方案。“三维一体、内外兼修”的攻击面管理解决方案将华云安在攻击面管理领域的产品实践落地,平台化架构也使得华云安以云原生的方式构建下一代的数字安全防御体系。
