在數字化轉型過程中,數字技術對企業的業務模式、組織架構和企業文化產生了積極影響,但同時也給企業帶來更多的安全威脅和風險:企業暴露在互聯網上的攻擊面數據呈指數級增長,攻擊載體也隨之大量增加。攻擊面正在成為攻防博弈中攻守易勢的關鍵。
在此背景下,在“2022網絡安全運營技術峰會”上,國內權威咨詢機構賽迪顧問重磅首發《中國攻擊面管理市場白皮書》(以下簡稱白皮書)。白皮書選取了華云安等國內外攻擊面管理領域代表企業,立足于攻擊面管理的本土化洞察與實踐,探討攻擊面管理在新一代網絡安全防御體系中的能動作用。
基于攻擊者視角的主動防御技術
企業需求轉變催生了新概念、新產品的應運而生。攻擊面管理概念的提出也是如此。近年來,新興技術紛涌出現帶動了網絡資產邊界快速拓展,遠程辦公的興起與發展進一步增加了企業資產暴露面,而基于供應鏈的新型攻擊大大降低了攻擊成本....在多重因素驅動下,網絡安全防御策略需要與時俱進化被動防御為主動防御,需要以攻擊者視角梳理資產與風險脆弱點,更好地解決企業在數字化轉型中面臨的復雜現實。
攻擊面管理,由國際知名咨詢機構Gartner于2018年首次提出。在2021年7月,Gartner發布了《2021安全運營技術成熟度曲線》,將攻擊面管理相關技術定義為新興技術。在Gartner 發布 的2022 年主要安全和風險管理趨勢中,“企業攻擊面正在擴大”被首先提出,與網絡物理系統和物聯網、開源代碼、云應用程序、復雜的數字供應鏈、社交媒體等相關的風險,已使企業的暴露表面置于可控資產之外。企業必須采用超越傳統的安全監控、檢測和響應方法,管理更廣泛的安全風險。Gartner認為,攻擊面管理主要包含,外部攻擊面管理(EASM)、網絡資產攻擊面管理(CAASM)、數字風險保護服務(DRPS)。
要講攻擊面管理,首先要知道何為攻擊面。白皮書指出,攻擊面是指未經授權即能訪問和利用企業數字資產的所有潛在入口的總和,包括未經授權的可訪問的硬件、軟件、云資產和數據資產等,同樣也包括人員管理、技術管理、業務流程存在的安全弱點和缺陷等,即存在可能會被攻擊者利用并造成損失的潛在風險。白皮書認為不是所有資產暴露面都可以成為攻擊面,只有可利用暴露面疊加攻擊向量才形成了攻擊面。因此,如何進行暴露面的收斂以及攻擊向量的控制是攻擊面管理的重要手段。
值得一提的是,在白皮書中對攻擊面管理 (ASM)進行了定義:攻擊面管理是一種從攻擊者的角度對企業數字資產攻擊面進行檢測發現、分析研判、情報預警、響應處置和持續監控的資產安全性管理方法,其最大特性就是以外部攻擊者視角來審視企業所有資產可被利用的攻擊可能性,而這里的所有資產包含已知資產、未知資產、數字資產、企業品牌、泄露信息等等一系列可存在被利用的風險的資產內容。
首發攻擊面管理框架體系和成熟度模型
在本次報告中,華云安作為國內領先的攻擊面管理創新公司入選。在2021年,華云安在行業率先提出以攻擊者視角構建的攻擊面管理產品解決方案之時,便認為攻擊面管理可以有效整合漏洞掃描、攻擊和突破模擬BAS、擴展檢測和響應XDR、擴展威脅情報XTI、漏洞優先級VPT等各種安全能力,并結合用戶需求,提供網絡資產攻擊面管理CAASM、外部攻擊面管理EASM等場景化應用,實現攻擊面的有效檢測、分析、監控和響應。因此,攻擊面管理不僅僅是一種理念,更是一種新興的方法論,亦是一個天然的技術融合架構。這一點,與白皮書中的闡述不謀而合。
在白皮書中,賽迪顧問首發攻擊面管理框架體系。攻擊面管理框架體系自下向上分別為基礎技術、安全能力和應用場景。基礎技術為支撐攻擊面管理的技術能力集合,多種技術組合形成攻擊面管理的能力體系,根據不同的業務場景需求采用不同的能力組合,形成不同的應用場景下的攻擊面管理解決方案,為用戶提供有針對性的攻擊面閉環管理能力。在白皮書中,將攻擊面管理按照不同的應用場景分為外部視角的攻擊面管理和內部視角攻擊面管理兩類,將數字風險保護依據其外延與內核歸屬融入到了外部視角當中。
白皮書對于外部視角的攻擊面管理(EASM)和內部視角的攻擊面管理構成(CAASM)進行了定義與規范。EASM主要關注外部資產,使用一系列來源和方法來掃描全球的互聯網,尋找其面向外部的資產暴露面,并且對這種資產暴露面進行可視化。而CAASM關注內部資產,發現功能主要通過與現有工具的API集成(被動)來工作,依賴于其他已部署的技術作為上下文,并富化從這些技術中提取的數據,以提供組織資產庫存的整體視圖 。
此外,在白皮書中建立了攻擊面管理的成熟度模型,主要是工具階段的被動防御、平臺階段的主動防御、流程化階段的對抗防御、先知階段的優先防御四個層級;提出了暴露面獲取、脆弱點發現、攻擊面挖掘、情報獲取能力等攻擊面管理要具備的12個能力域,從檢測發現、分析研判、情報預警、響應運營的閉環管控過程分解了響應的能力子項,從子能力的具備和完善情況來評價攻擊面管理的有效性。
產品視角看攻擊面管理
日前,在2022網絡安全運營技術峰會(SecOps2022)上,華云安重磅發布“三維一體、內外兼修”攻擊面管理產品解決方案,將定位CAASM的靈洞·網絡資產攻擊面管理系統(Ai·Vul),定位EASM的靈知·互聯網情報監測預警中心(Ai·Radar),定位BAS的靈刃·智能滲透與攻擊模擬系統(Ai·Bot)的三款產品,融合構建形成一體化攻擊面管理整體解決方案。
靈洞·網絡資產攻擊面管理系統(Ai·Vul),重新定義了資產管理、漏洞管理情報和響應。靈洞將企業網絡空間攻擊面管理過程中的攻擊者視角信息和防御者視角信息,通過安全分析引擎、數據分析引擎進行統一整合,以主動掃描、被動監測、情報預警和自動化評估等多種手段及時發現內外部數字資產攻擊面,并進行分析評估和響應處置,讓用戶先于攻擊者了解數字化攻擊手段和攻擊路徑,并采取針對性措施進行高效敏捷響應,幫助企業降低被攻擊的可能性,保障數字業務安全。
靈知·互聯網情報監測預警中心(Ai·Radar),先于攻擊者對外部攻擊面發現和收斂。靈知基于華云安知識圖譜的安全風險庫、基于企業暴露面數據源、托管服務及安全服務三類數據源,以攻擊者思維定向梳理、發現企業未知資產暴露面及脆弱性,通過“主動+被動+服務”形成具有即時性、可定位性、可追溯性的暴露面測繪圖,持續監測網絡安全態勢,實現從“被動防御”向“主動防御”的進階。
靈刃·智能滲透與攻擊模擬系統(Ai·Bot)將實戰攻防演習常態化,通過自動化和人工智能的技術,以攻擊者視角,模擬攻擊者可能進行的攻擊鏈路,測試系統的安全性和防御策略的有效性。
靈洞、靈知、靈刃以微服務的方式提供不斷迭代的安全能力。平臺化架構讓三個產品既可以獨立提供各自的安全能力,也可以原子化安全能力編排構成全面且完整的攻擊面整體解決方案。“三維一體、內外兼修”的攻擊面管理解決方案將華云安在攻擊面管理領域的產品實踐落地,平臺化架構也使得華云安以云原生的方式構建下一代的數字安全防御體系。
