漏洞管理的本質是,對于隨企業業務發展而不斷產生的各類漏洞采用一系列措施進行從發現到解決閉環管理,以避免因漏洞被利用并演變為安全事件。隨著IT體系和各類系統日漸復雜化,攻擊逐漸走向多源化,因而在網絡安全事件頻發的時代,僅僅對漏洞進行管理是遠遠不夠的,網絡安全風險和脆弱性需要用“攻擊面管理”技術增強其“反脆弱性”,建立以各類資產發現為基點的整體網絡安全風險管理體系。
從漏洞管理到攻擊面管理,是網絡安全發展的必然趨勢
傳統漏洞管理的需求本質類似于項目管理中的風險管理模型,是以“由被動防御到主動防御”核心思想衍生,希望將安全事故應急模式由被動的“亡羊補牢”轉變為“早發現、早預防、早處理”。這標志著網絡安全防護逐漸向常態化、積極化發展。但傳統漏洞管理多是基于管理和治理角度下的無差別防御,防御能力有效性難以驗證。
近年來,攻防演練常態化,以及《中華人民共和國網絡安全法》、《關鍵信息基礎設施安全保護條例》等法律法規的頒布,意味著網絡安全防御有效性不斷傾向于以實戰化方式檢驗。基于實戰化的角度,守護方需要關注的內容也正是攻擊方所關注的內容,包括物理環境、組織、過程、人員、管理、配置、硬件、軟件和信息等各個方面。在面向網絡安全本質-攻防對抗之下,攻擊面管理是新的網安時代下的必然之路。
在相當長一段時間內,漏洞是攻防雙方博弈的關鍵。2018年,在Gartner首次提出“攻擊面”概念后,網絡安全攻防博弈的焦點已悄然發生轉變。2021年,Gartner將攻擊面管理相關技術定義為新興技術,從漏洞管理到攻擊面管理,網絡安全攻防博弈將真正意義上迎來一次升維跨越。
漏洞管理鞭長莫及之處,就是攻擊面管理優勢所在
相較于漏洞管理,攻擊面管理需要以外部視角來審視企業網絡資產可能存在的攻擊面及脆弱性,如開放端口是否做映射、網絡邊界是否做隔離、人員行為是否被明確約束等,上述未被滿足的安全需求,將增加資產受到危害可能性。
所謂攻擊面管理,將攻擊者可能引發攻擊的向量進行管理,以便進行減少入口點、訪問和特權、面向互聯網的應用程序與服務,甚至供應商產品、開放API等等。以攻擊者視角梳理和管理攻擊面,才能在真實發生邏輯攻擊、0day攻擊等時,及時了解內外網弱點、防御策略等后進行更為全面的預防與安全監管。
攻擊面管理強調的,絕不僅僅是已存在的靜態漏洞及其閉環跟蹤,而是任何可能發生安全問題進而演化為安全事件的網絡風險和脆弱性。攻擊面管理,新增了基于業務的風險評價過程以確定管理的有效性;以攻擊視角匯集所有可能發生問題攻擊向量,通過擴大收集信息面來提高網絡安全風險預防的全面性;融入了人、防御、流程等因素,將管理模型演變為立體空間。
積蓄新力量,開啟新跨越
兵法云:知己知彼百戰不殆,基于華云安攻擊面管理(ASM)產品體系,可避免網絡安全運營成本的過量投入,同時進一步提升安全管理運營的有效性,幫助企業以攻擊視角評估自身可能存在的網絡安全風險和脆弱性。
攻擊面檢測發現
漏洞掃描是攻擊面檢測的核心與基礎。攻擊面的主動檢測更關注實戰性、高效性,對近期公布1day漏洞和真正被用于實際攻擊的漏洞進行真實性驗證。
此外,攻擊模擬是攻擊面檢測的進階和提升,以攻擊者的視角進行沉浸式模擬嘗試甚至利用,才能發現更深層的隱含風險。通過模擬攻擊,將人員、流程、配置、弱點、業務融合,發現攻擊點并繪制完整攻擊鏈路。在此基礎上,引入流量分析,發現影子資產、僵尸資產,并識別其中可能的0day攻擊與未知威脅,進一步繪制更完善的攻擊面。
攻擊面分析研判
網絡安全的本質,是攻守雙方人與人的較量。真實攻擊者不會無目標、無差別進行攻擊。攻擊面管理,需要專注對抗這個本質進行分析和研判,需要評估漏洞的利用成本、漏洞所在資產的價值,該漏洞是否能構成實現最終目標的環節等等。攻擊面分析與研判需要以下分析:
· 評價該攻擊面是否需要被管理
· 分析該攻擊面出現根本原因
· 管理的成本與危害損失是否成正比
· 采取的管理方式是否可有效避免
安全管理人員需在管理前進行基于業務場景真實的評估與判斷,包括考慮業務維護、成本、響應代價、有效性、統一分發等等,這些基于實際業務和風險影響的分析和研判,才是管理的核心所在。
攻擊面情報預警
攻擊面檢測與發現,主要是以聚合分析內部信息為主。然而在互聯網海量信息的時代,外部情報的獲取也不容忽視。
外部情報的搜集,要確保情報來源的全面性,同時關注國內外主流情報源;在應用上,則可無縫應用于產品,將其價值最大化。漏洞和威脅情報至少需具備以下兩個應用點:①先于監管要求的攻擊面應急,聚合全球主流漏洞情報源、國家級漏洞通報預警、重大活動及演練成果等相關漏洞信息,實時傳遞最新全球漏洞安全態勢和攻擊趨勢,助力企業先于攻擊者排查自身可能存在的安全隱患,并采取針對性的主動防御,極大地縮短了自身風險暴露時間,預防入侵事件發生。②先于攻擊的攻擊面監測預警,打破攻守雙方信息不平衡的局面,建立自身情報武器庫,了解全球視角下最具潛在威脅的應用及版本,以及與自身情況相關的最新攻擊事件與1day漏洞,做到先于攻擊進行自我風險審查
攻擊面響應處置
針對攻擊面進行全生命周期的監控和運營,利用管理手段縮小攻擊面的安全風險影響。同時結合SOAR技術,對安全管理和應急流程進行貼合業務的自動化調度編排,將處置經驗深度留存,解耦處置對人的強依賴。
另外由于漏洞修復涉及內容比較復雜,無法采用升級的方式進行風險消除,需滿足風險緩解的需求,所以在終端提供補丁信息的同時,還需要應用熱補丁等技術結合管理手段,滿足攻擊面應急響應與處置閉環。
