5月23日,2022 ISC 萬人元宇宙序幕以云峰會的形式開啟,峰會聚焦全球數字化轉型之下網絡空間的前沿趨勢、創新方向、焦點問題。華云安產品總監王超在“實戰驅動下的安全運營論壇”就華云安專注的攻擊面管理領域研究與實踐進行分享。
數字化轉型加速,安全運營面臨新挑戰
近年來,國家正在推動數字化進程。特別是在當前疫情的影響下,數字化轉型的進程正在加速,遠程的辦公、協同正在逐漸成為日常。而數字化轉型正在帶來新的安全挑戰,王超總結出以下幾點,一是戰場的變化,網絡系統隨著數字化的建設較之傳統網絡更加發達、復雜;二是對手的變化,安全問題由以往的竊取信息、電信詐騙等黑客行為,上升為國家級的網絡對抗;三是攻擊的變化,傳統的單點突破正發展成包括勒索軟件、APT攻擊、供應鏈攻擊等在內的多點開花;最后是目標的變化,除了原有的服務器外,數據、拖庫、業務應用等也正轉變為攻擊目標。
新的安全挑戰致使實戰化攻防場景中,傳統的安全運營不堪一擊,針對這一問題,王超做出了以下分析:
1. 數字化轉型。數字時代的資產除了傳統的IT資產,也包括loT、傳感器、網站域名、數字證書、敏感數據等模塊,資產類別及資產體量在增加。
2. 漏洞的多樣化。數字時代的漏洞不僅是軟件缺陷,還包括弱口令、配置缺陷、泄露數據、過期證書、供應鏈漏洞等,這些也催生了黑客攻擊手段的多樣化。
3. 攻擊者更快。防御者需要完整的安全體系,而攻擊者只需要突破一點;防御者需要24小時在線,而攻擊者只需要攻其不備。
4. 安全盲區。在數字化背景下,由于數字業務開展的更多,我們并不能監管到所有數字資產,導致安全盲區的出現,而安全盲區誕生出的影子資產容易被攻擊者利用。
基于攻擊者視角驅動運營決策
隨后,針對安全運營的技術變革及其帶來的挑戰,王超提出,要基于攻擊者視角驅動運營決策:
1. 像攻擊者一樣思考。需要以攻擊者視角監測數字資產,分析攻擊者可能利用的弱點,并制訂對應的防守策略。
2. 關注重要的漏洞。據報告顯示,每年攻擊者實際利用的漏洞僅占所有漏洞的5%,為避免防守投入冗余,應利用弱點優先級技術重點關注重要資產漏洞和具備可檢測性、可利用性的漏洞,以及所有新爆發的1day漏洞等。
3. 檢驗防御有效性。傳統以合規為基礎的安全運營,在實戰攻防場景下不堪一擊,需要以自動化技術和攻擊模擬技術,以攻擊者視角持續不斷的檢驗現有安全機制的有效性。
4. 更快的響應速度。協同聯動各種安全能力,提高安全事件的響應速度,在漏洞被利用前修復漏洞。
攻擊面管理框架體系
攻擊面管理最早由Gartner在2019年納入安全運營技術曲線中,并且在2021年首次集成為一個完整的技術棧,提出攻擊面管理包括數字資產、網絡空間的攻擊面管理(簡稱CAASM)以及外部資產的攻擊面管理(簡稱EASM)。
關于攻擊面的定義,王超認為可利用的暴露面加上攻擊者制造的攻擊向量,等于攻擊面。因此,攻擊面管理要重點關注兩點:一是了解哪些暴露面是可利用的,并且對可利用暴露面進行收斂;二是針對攻擊向量的控制。
完整的攻擊面管理框架體系自下向上分別為基礎技術、安全能力和應用場景三層。基礎技術為支撐攻擊面管理的技術能力集合,多種技術組合形成攻擊面管理的能力體系,根據不同的業務場景需求采用不同的能力組合,形成不同的應用場景下的攻擊面管理解決方案,為用戶提供有針對性的攻擊面閉環管理能力。
華云安構建的下一代數字安全防御體系
在分享的最后,王超介紹了華云安正在構建的基于攻擊面管理的下一代數字安全防御體系:
1. 資產清點。通過知識圖譜技術,進行包括數字資產、業務資產、網絡資產在內的全面的資產清點,識別最完整的資產暴露面。
2. 自動化測試。通過多維度的自動化測試,進行全面的漏洞檢測以及安全有效性的檢測,以攻擊者視角繪制完整的資產攻擊面。
3. 優先級評估。華云安推出了靈洞這款產品進行基于風險的漏洞管理,將精力聚焦在有價值的漏洞修復上。
4. 情報預警。新一代的擴展威脅情報,先于攻擊者發現弱點和漏洞,并做出實時的預警推送。
5. 快速處置。通過簡化的工作流集成,縮短漏洞響應時間。
華云安將持續致力于對主動防御、情報協同、溯源反制能力進行融合創新,以攻擊者視角構建攻擊面管理安全能力平臺,提供新一代網絡安全對抗防御解決方案。
