當前的攻擊手段層出不窮、應急響應多以補救措施為主,因此一種新的外部攻擊面管理技術思路就此誕生:“以情報驅動構建外部攻擊面管理技術,實現先于攻擊者掌握攻擊面”。
依據《中國攻擊面管理市場研究報告》,外部攻擊面管理是指完全基于攻擊者視角來發現、監測、評估、響應、預警企業所有攻擊面的技術。作為攻擊面管理的重要組成,今天我們來探討如何通過靈知·互聯網威脅監測預警中心(Ai.Radar),基于情報視角進行外部攻擊面管理。
1.企業四大痛點推動外部攻擊面管理發展
當前企業已經通過各種安全演練提升了安全意識,但是為啥在實戰攻防中還是不堪一擊呢?我們認為有以下幾個問題:
? 安全建設有盲區
首先,企業產生安全事件的原因從來不是防住了什么,而是沒有防住什么。究其根本,目前大多數企業受困于人員能力參差不齊、預算有限等原因,很難做到360度無死角的安全防護。所以在此局限的情況下,最重要的就是防御住攻擊者最可能發起攻擊的風險點。但企業并不能完全感知到企業所面臨的攻擊點。
? 企業無法確認未知資產
上一點說到了企業需要加強安全建設,才能有提高自身安全的能力。但是加強安全建設的前提是要清楚了解現在有哪些資產,這樣才能知道安全設備需要架設在哪些資產前。目前,企業對于未知資產的防護還是短板。退一步講,企業想對未知資產進行安全加固,企業是否能夠準確而全面的發現未知資產?如果企業無法梳理清楚未知資產,那就無從談起攻擊面管理。
? 企業對已經存在安全威脅知之甚少
即使客戶已經清楚擁有哪些資產,也未必清楚了解這些資產面臨哪些安全風險。外部攻擊面管理所定義的資產已經不僅僅包括IT資產、云資產、軟硬件,還包括企業人員的社工信息、員工的在網絡上的博客、github倉庫、企業軟硬件供應鏈等等。過往發生的安全事件屢屢告訴我們,網絡安全防護最難的不是系統安全,而是“人”的安全意識。值得警示的是,很多安全事件的背后,都是來源于一個個微不足道的信息泄露。因此,新一代企業安全解決方案就需要從多維度發現企業面臨的威脅。
? 企業無法做到事前預警,更多是事后應急
通常情況下,企業都是在某個安全事件爆發后,進行事后的應急響應。實際是新爆發的0day漏洞,都先會在小圈子進行小范圍傳播,傳統的安全建設,其實很難收集到此類漏洞情報信息。當企業感知到有0ady、1day漏洞的時候,往往是攻擊者已經利用漏洞對企業進行了攻擊,已經造成了實質上的損失。只有在安全事件全面爆發之前,能夠通過情報實現事前預警,并積極排查才能有效提升安全建設能力。
2.外部攻擊面呈現四大特點
華云安認為攻擊面管理具備四大特性:攻擊面的時效性,攻擊面的跨系統性,攻擊面的跨實體性,攻擊態勢是動態的。因此攻擊面管理的新思路,是要先于攻擊者掌握攻擊面。
外部攻擊面有幾大特點:
? 攻擊面是有時效性的
外部攻擊面是不斷變化的,例如80%-95%的Ip地址是短暫的,很可能只是短時間的暴露就會使攻擊者拿到他想要的信息和數據。
? 攻擊面是跨系統的
隨著時間推移,攻擊者可以嘗試作為攻擊目標的環境不僅限于傳統IT,還可能是代碼、敏感數據、移動應用、甚至IoT設備等。
? 攻擊面是跨實體的
數字時代的攻擊面不僅僅是自身軟件缺陷,還包括弱口令、配置缺陷、泄漏數據、過期證書、釣魚網站、供應鏈漏洞等多種類型。
? 攻擊態勢是動態的
管理者還需要以攻擊者的視角了解每天外部攻擊態勢的變化情況,第一時間掌握新爆發的漏洞、惡意的文件標識、流行的攻擊手法等。
3.靈知,以情報驅動的外部攻擊面管理
安全的本質是持續對抗。知己知彼才能百戰百勝。以往安全建設是基于防守者的角度,盡可能的防守住攻擊;而經過實戰驗證:基于攻擊者視角的主動防守才能真正發現企業面臨的網絡安全風險,進而實現先于攻擊者掌握攻擊面,在這一過程中情報搜集便是首要的。
這里所指的情報并非是傳統的“威脅情報”,而是“擴展情報”。在靈知·互聯網威脅監測預警中心(Ai.Radar)所定義的情報不僅包含傳統的“威脅情報”,更包括漏洞情報(例如漏洞的流行度、可利用性、可檢測性、漏洞利用成功率等)、數據泄露情報(例如企業的某些敏感信息、配置文件被人公開在了github等)、安全事件情報(例如某0day漏洞爆發)、以及被攻擊者大范圍使用的情報。因此靈知定義的“擴展情報”已突破了IT層的邊界,一切可能影響企業網絡安全和政策安全的信息,都被稱之為“擴展情報”。
華云安的靈知·互聯網威脅監測預警中心(Ai.Radar),依托海量數據情報構建的互聯網威脅監測平臺,基于自然語言處理(NLP)和知識圖譜(KG)技術對30多個數據源進行大數據處理捕獲情報數據,靈知從發現情報到華云安情報庫可查詢,精準定位情報來源可以做到分鐘級的情報響應。在情報分析方面,華云安將VPT技術融入其中,從CVSS、發布時間長度、可修復性、漏洞影響范圍、漏洞利用條件等10+個維度對攻擊態勢進行評估,實現精準、全面、及時的發現外部攻擊面。目前,靈知已支持定向情報訂閱服務。
靈知是以黑盒視角模擬攻擊者對企業進行過安全評估,將收集所有企業相關的“擴展情報”,按照實體類型和實體間關系,繪制企業暴露面,構建基于攻擊者視角的企業資產知識圖譜,同時基于企業暴露面,將自動化滲透測試與安全服務團隊結合,繪制企業攻擊面。同時將暴露面與攻擊面進行關聯分析,形成基于攻擊者視角的企業暴露面與攻擊面交錯的全景圖。