攻擊面管理關鍵目的是保護資產和資產上存儲、傳輸的數據。而攻擊面管理是風險管理的前提。唯有梳理清楚自有網絡中所有資產及資產相關攻擊面數據,才能充分評估網絡風險。
在攻擊面管理過程中,利用外部情報(如漏洞情報、POC情報、供應鏈情報等)能夠實時信息快速定位影響本地資產攻擊面的關鍵風險點,結合業務系統資產重要等級,給出更為有效的風險評估分析報告和響應處置方案,進而提升網絡安全健壯性,避免網絡安全事件和意外事件的發生。1 通過情報賦能攻擊面管理隨著情報越來越豐富以及準確度的不斷提升,情報被運用于攻擊面管理的場景也越來越多。在實際應用場景中,通過情報聯動所有攻擊面管理能力,為攻擊面管理進行賦能,從而實現能力互補。
企業將是情報與攻擊面管理高效聯動、緊密結合的最終受益者。情報驅動并以外部視角梳理企業的暴露面、攻擊面的信息,通過主動發現、被動測繪、周期掃描,持續探測,幫助企業實現業務風險的及時監測與防控。企業通過情報訂閱服務,有助于增強自身建設整體威脅情報能力,有助于更好得進行攻擊面管理。
做好外部攻擊面管理通過威脅情報賦能,可以提供:基礎阻斷能力依據情報提供結果,結合攻擊面管理數據,進行資產畫像,可以初步進行一些資產或流量的阻斷工作。威脅分析能力以IP情報為例,既可以提供訪問的廣(訪問量大)度、熱(單次訪問多)度,還可以提供IP上開放的端口服務。比方說這個域名曾經在歷史上解析過哪些域名,以及這些IP的互聯網態勢和它的基礎信息。除了這些,如果IP和APT組織有關聯,也可以獲取家族團伙的信息,以及其部分歷史攻擊行為為客戶提供參考。供應鏈分析能力攻擊面主要包括物理攻擊面、數字攻擊面、社會工程攻擊面、供應鏈攻擊面等,尤其供應鏈和其他第三方(尤其是能夠訪問組織數字資產或數據的第三方)也會給企業帶來重大的網絡風險。威脅參與者可以利用這些供應鏈系統中的安全問題,通過“供應鏈攻擊”方式攻擊客戶組織。定制情報能力對于客戶來說,結合事件的定制情報觸達感更強。推送客戶關心的最新最熱的安全信息和有價值信息,并協助他們提前進行預判;與此同時,如果客戶授權,也可以給客戶提供更多攻擊面信息,比如客戶資產存在哪些潛在危險,哪些在互聯網上暴露的信息、端口存在被利用、被攻擊的可能性;同時幫助客戶分析企業是否存在信息泄露的風險。另外還有一些黑灰產、仿冒APP、仿冒網站等情報,也是客戶比較關注的。2 借助情報發現攻擊面關鍵風險點華云安關注全球安全情報,與多方廣泛合作,建立起了VTI情報系統,并成為華云安攻擊面管理的重要情報來源。華云安攻擊面管理方案可以從華云安情報系統獲取漏洞披露情報,結合資產信息,精確分析漏洞對網絡的影響,并對可能存在漏洞的資產進行預警。
積極防患于未然,通過結合威脅情報和資產的大數據分析發現最易受到攻擊的關鍵攻擊面風險點。優先修補關鍵漏洞,可以在數以千計的漏洞管理中降低管控難度,進而最大化降低通過攻擊面受到漏洞攻擊的概率。
借助情報深入了解各個方向3 構建基于情報的快速應急響應機制在網絡攻防之戰中,通過情報可以最大程度減小攻擊面暴露時間窗,同時驅動、提高企業應急響應能力。比如:
1)2021年9月Conti勒索軟件也開始針對Microsoft Exchange服務器,利用ProxyShell漏洞(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)破壞企業資產等;
2)2021年12月被全球廣泛應用的Apache Log4j組件曝出“核彈級”的超危漏洞,成功利用漏洞的攻擊者能夠在目標服務器上遠程執行惡意代碼。
針對以上漏洞利用事件,華云安情報平臺在漏洞披露的第一時間將預警推送給客戶,并提供可落地的檢測手段和解決方案,助力客戶建立健全安全漏洞的應急響應機制,第一時間發現漏洞、處置漏洞,很大程度上保護企業資產免遭損失。
華云安漏洞情報平臺
作為國內首個推出完整的攻擊者視角的安全運營一體化解決方案的安全企業,華云安已建立了動態的應急響應機制。通過華云安漏洞情報中心實時跟蹤熱點漏洞事件,在華云安攻擊面管理平臺獲取情報后直接定位到客戶網絡受影響資產范圍,給出漏洞預警,幫助安全運營人員盡快完成確認、分析、修復工作,并確認修復效果,構造攻擊面管理和風險管理完整響應閉環。
華云安攻擊面管理平臺中,威脅情報被應用于漏洞快速響應、漏洞風險分析和優先級分析、漏洞修補等各環節,幫助安全運營人員動態識別企業信息系統中的關鍵風險,優先處理關鍵漏洞,在數以千計的漏洞管理中降低管控治理難度,從而達到對安全風險控制未雨綢繆。情報賦能可讓攻擊面管理和風險管理變得敏捷高效。
