2021年7月,全球權(quán)威IT研究顧問(wèn)機(jī)構(gòu)Gartner發(fā)布了《2021安全運(yùn)營(yíng)技術(shù)成熟度曲線》(《Hype Cycle for Security Operations, 2021》),將攻擊面管理(Attack Surface Management, ASM)相關(guān)技術(shù)定義為新興技術(shù)。早在2018年Gartner就已經(jīng)提出攻擊面的概念,并將攻擊面納為整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃的一部分。
從最初提出概念到當(dāng)下的重要新興技術(shù),攻擊面管理已經(jīng)經(jīng)歷三年多的概念演進(jìn)。但是到目前為止,攻擊面并無(wú)統(tǒng)一定義,業(yè)內(nèi)一般認(rèn)為,攻擊面(Attack Surface)也稱(chēng)為攻擊表面、外部攻擊面(External Attack Surface)或數(shù)字攻擊面(Digital Attack Surface),是所有網(wǎng)絡(luò)資產(chǎn)中外部可利用性的總和。
從過(guò)去的實(shí)踐來(lái)看,企業(yè)網(wǎng)絡(luò)資產(chǎn)安全的攻擊面可以簡(jiǎn)單理解為可被利用的漏洞總和,更準(zhǔn)確的說(shuō)法是「未經(jīng)授權(quán)即能訪問(wèn)和利用企業(yè)資產(chǎn)的所有可能入口的總和」,包括未經(jīng)授權(quán)的可訪問(wèn)的硬件、軟件和云等IT系統(tǒng),同樣也包括人、業(yè)務(wù)流程等。隨著信息化、云化的發(fā)展,以及不斷深入的數(shù)字化進(jìn)程,企業(yè)網(wǎng)絡(luò)攻擊面管理已是新一代網(wǎng)絡(luò)安全防御體系的必然選擇。
攻擊面管理的核心是攻擊者視角
隨著國(guó)家級(jí)攻防演練活動(dòng)的深入,在攻防博弈中,攻擊面往往成為攻守易勢(shì)的關(guān)鍵。在Gartner報(bào)告中,網(wǎng)絡(luò)資產(chǎn)攻擊面管理 (Cyber Assets Attack Surface Management, CAASM)用于解決持續(xù)資產(chǎn)可見(jiàn)性和漏洞問(wèn)題。外部攻擊面管理 (External Attack Surface Management, EASM)是從外部攻擊者視角對(duì)組織的攻擊面進(jìn)行持續(xù)發(fā)現(xiàn)、清點(diǎn)、分類(lèi)、優(yōu)先級(jí)排序和監(jiān)控的整個(gè)過(guò)程。無(wú)論是CAASM還是EASM,當(dāng)下的攻擊面管理已經(jīng)不僅僅關(guān)注已知的資產(chǎn)漏洞,也包括未知資產(chǎn)(隱匿資產(chǎn)、老化資產(chǎn)、影子資產(chǎn))、泄漏數(shù)據(jù)、流氓資產(chǎn)(釣魚(yú)、仿冒網(wǎng)站)和供應(yīng)商(包括開(kāi)源組件等)資產(chǎn)等。
攻擊面管理(ASM)是一種從攻擊者的角度對(duì)企業(yè)網(wǎng)絡(luò)攻擊面進(jìn)行檢測(cè)發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的資產(chǎn)安全性管理方法,其最大特性就是以外部視角來(lái)審視企業(yè)網(wǎng)絡(luò)資產(chǎn)可能存在的攻擊面及脆弱性,重點(diǎn)關(guān)注邊界處存在可被利用的攻擊可能性,強(qiáng)調(diào)整個(gè)企業(yè)資產(chǎn)可能存在的脆弱性,而不僅僅是已知資產(chǎn)和已知漏洞。通過(guò)外部攻擊者視角來(lái)審視資產(chǎn)安全性的方式,安全團(tuán)隊(duì)更易于發(fā)現(xiàn)資產(chǎn)存在可能被攻擊的弱點(diǎn),從而根據(jù)資產(chǎn)的重要性和風(fēng)險(xiǎn)的優(yōu)先級(jí)對(duì)資產(chǎn)進(jìn)行修復(fù)。通過(guò)攻擊面管理的持續(xù)監(jiān)控能力,可以持續(xù)發(fā)現(xiàn)資產(chǎn)漏洞和潛在風(fēng)險(xiǎn)。
由于ASM的獨(dú)特視角而體現(xiàn)出的系統(tǒng)風(fēng)險(xiǎn)的管控能力,已經(jīng)越來(lái)越受到安全團(tuán)隊(duì)的重視。尤其是近年來(lái),隨著越來(lái)越多的勒索軟件 (Ransomware ) 和供應(yīng)鏈攻擊(Supply Chain Attack, SCA)的出現(xiàn),傳統(tǒng)的資產(chǎn)漏洞管理方式難以起到真正的作用,而更加全面的攻擊面管理已經(jīng)成為新一代的資產(chǎn)漏洞完整應(yīng)對(duì)方案,所以 Gartner 等分析機(jī)構(gòu)都建議將ASM作為安全團(tuán)隊(duì)的網(wǎng)絡(luò)安全防御體系的優(yōu)先事項(xiàng)。
攻擊面管理不僅僅關(guān)注已知資產(chǎn)
網(wǎng)絡(luò)資產(chǎn)漏洞管理是已經(jīng)成為企業(yè)安全管理的核心內(nèi)容。傳統(tǒng)的資產(chǎn)漏洞安全管理通過(guò)對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行清點(diǎn)、分析、監(jiān)視等相應(yīng)的安全行動(dòng),保證企業(yè)網(wǎng)絡(luò)資產(chǎn)的安全。然而,目前主流的資產(chǎn)漏洞管理方法普遍針對(duì)已知資產(chǎn)進(jìn)行管理,管理的范圍和內(nèi)容是相對(duì)明確的。
事實(shí)上,一般企業(yè)的網(wǎng)絡(luò)資產(chǎn)不僅有已知資產(chǎn),還包括未知資產(chǎn)、流氓資產(chǎn)和供應(yīng)商資產(chǎn),它們組成了完整的企業(yè)網(wǎng)絡(luò)資產(chǎn),相互聯(lián)系作用、共同影響和決定企業(yè)的資產(chǎn)安全性。
因此,傳統(tǒng)的資產(chǎn)漏洞管理方式局限性在于對(duì)于未知資產(chǎn)、流氓資產(chǎn)和供應(yīng)商資產(chǎn)缺少系統(tǒng)有效的監(jiān)控和管理,難以避免上述資產(chǎn)對(duì)企業(yè)整體網(wǎng)絡(luò)安全性造成的影響,也就無(wú)法形成對(duì)企業(yè)資產(chǎn)的全面保護(hù)。根據(jù)歷年的攻防演習(xí)的成果來(lái)看,真正造成影響的網(wǎng)絡(luò)攻擊,恰恰是由上述資產(chǎn)造成的。ASM的提出與發(fā)展正是對(duì)當(dāng)前情況的思考和探索,解決的核心痛點(diǎn)就是對(duì)未知風(fēng)險(xiǎn)管制,尤其是未知攻擊面的全面發(fā)現(xiàn)、實(shí)時(shí)監(jiān)視與及時(shí)預(yù)警。
舉例來(lái)說(shuō),在未知資產(chǎn)中,影子資產(chǎn)是備受關(guān)注的一項(xiàng)內(nèi)容。根據(jù)Gartner分析師Simon Mingay定義,影子資產(chǎn)包括“在正式IT組織的正式控制之外對(duì)IT解決方案進(jìn)行收購(gòu)、開(kāi)發(fā)或運(yùn)營(yíng)的資產(chǎn)”。影子資產(chǎn)危險(xiǎn)在于未知和不可預(yù)見(jiàn)的威脅。近年來(lái),影子資產(chǎn)已經(jīng)被視為主要的安全風(fēng)險(xiǎn),越來(lái)越多的安全團(tuán)隊(duì)對(duì)影子資產(chǎn)的重視程度不斷提高,消除這些未知資產(chǎn)對(duì)于降低威脅甚至更加重要。傳統(tǒng)的滲透測(cè)試和紅隊(duì)測(cè)試雖然可以洞察攻擊者的角度,但偵察和攻擊通常是在受控環(huán)境中或針對(duì)IT環(huán)境的特定方面發(fā)起,所以大多數(shù)環(huán)境的變化和擴(kuò)展性使漏洞不易被注意,而當(dāng)漏洞和漏洞利用被披露時(shí),安全團(tuán)隊(duì)必須比攻擊者行動(dòng)得更快,而這只有持續(xù)繪制攻擊面才有可能被實(shí)現(xiàn)。所以,企業(yè)借助ASM可以快速關(guān)閉影子IT資產(chǎn)、未知和孤立的應(yīng)用程序、暴露的數(shù)據(jù)庫(kù)和API,以及其他潛在的入口,以緩解出現(xiàn)的任何威脅。
攻擊面管理更關(guān)注持續(xù)監(jiān)控的能力
一般來(lái)說(shuō),常規(guī)的漏洞評(píng)估方法主要通過(guò)檢測(cè)、分析、預(yù)警、處置這樣的方法對(duì)資產(chǎn)漏洞進(jìn)行安全管理。ASM更強(qiáng)調(diào)在此之后的持續(xù)監(jiān)控,從而形成了完整資產(chǎn)漏洞安全管理閉環(huán)。華云安認(rèn)為,ASM持續(xù)監(jiān)控的本質(zhì),是對(duì)具有風(fēng)險(xiǎn)的攻擊面進(jìn)行特別關(guān)注,持續(xù)跟蹤,并對(duì)數(shù)據(jù)進(jìn)行分析對(duì)比,從而保證企業(yè)資產(chǎn)的長(zhǎng)期安全可靠。
由于現(xiàn)實(shí)中的網(wǎng)絡(luò)攻擊往往是連續(xù)的、持久的、體系化的,所以少量的漏洞封堵無(wú)法從根本上規(guī)避企業(yè)資產(chǎn)的網(wǎng)絡(luò)風(fēng)險(xiǎn),況且漏洞并不是全部的攻擊面:
1)漏洞直接作用的攻擊面,漏洞直接作用的攻擊面往往是傳統(tǒng)管理方法的重點(diǎn),通過(guò)補(bǔ)丁更新、版本升級(jí)等方式修改系統(tǒng)漏洞;
2)與漏洞相關(guān)的攻擊面,由于漏洞作用的攻擊面通常不止漏洞本身,往往與漏洞相關(guān)攻擊面也會(huì)受到牽連,因此對(duì)漏洞相關(guān)面的持續(xù)監(jiān)控是ASM的主要監(jiān)控內(nèi)容;
3)與攻擊面相關(guān)的資產(chǎn),受漏洞影響的攻擊面相關(guān)資產(chǎn),往往是黑客攻擊的主要目標(biāo),需要通過(guò)持續(xù)跟蹤實(shí)現(xiàn)對(duì)資產(chǎn)的安全保護(hù)。
ASM通過(guò)強(qiáng)調(diào)持續(xù)跟蹤,實(shí)現(xiàn)資產(chǎn)安全的閉環(huán)管理,為企業(yè)提供了更加有力的安全保障。
結(jié)語(yǔ)
綜上撰述,攻擊面管理將安全思維從被動(dòng)防御重新調(diào)整為主動(dòng)攻擊,這使安全團(tuán)隊(duì)能夠更好地確定攻擊面的優(yōu)先級(jí),從而進(jìn)一步有效地提高企業(yè)安全防御能力。
攻擊面管理作為網(wǎng)絡(luò)安全未來(lái)發(fā)展的重要方向之一,越來(lái)越受到安全團(tuán)隊(duì)的重視。攻擊面管理的核心內(nèi)容是以外部視角對(duì)企業(yè)的資產(chǎn)進(jìn)行風(fēng)險(xiǎn)管控,從而實(shí)現(xiàn)對(duì)攻擊面的全面管理,降低企業(yè)在各類(lèi)活動(dòng)中的受到攻擊的幾率。
因?yàn)?ldquo;難攻”,所以部署后必然“易守”。
