实战 | 外部攻击面管理：从被动防御到主动出击

广发银行高度重视网络安全，持续思考、探索网络安全对抗能力建设，积极探索主动防御的方式，以攻击促防护、以对抗促能力提升。结合外部攻击面管理（EASM）理念，针对银行互联网暴露资产多、变化快的情况，从掌握自身需要防护的网络空间暴露面出发，建设了基于攻击面管理的网络空间防御体系平台。

1.平台工作原理

平台依托网络空间测绘技术和漏洞检测技术，以资产安全为核心，以互联网暴露面信息数据为驱动，集“暴露面采集”“资产识别”“脆弱性分析”“风险评估”“应急处置”五大模块，对互联网攻击面进行闭环管理（如图所示）。

图 平台攻击面闭环管理流程

“暴露面采集”模块：应用网络空间测绘技术，根据关键字、图片、备案信息、证书等数字特征，从网络攻击角度全面探测采集包含URL、IP、端口等网络空间数字资产的暴露面信息。

“资产识别”模块：对探测采集的暴露面资产信息进行关联分析、变化统计、组件梳理等，构建已纳入管理资产、未纳入管理资产、互联网威胁资产（钓鱼仿冒等）等多类别资产画像。

“脆弱性分析”模块：选择资产开展针对性端口、服务及漏洞扫描，根据漏洞状态、利用信息、风险态势等建立漏洞信息库，结合资产画像信息，输出攻击面风险分析情报。

“风险评估”模块：对前序脆弱性分析及银行自身网络防控情况、业务开展情况进行动态计算，综合分析攻击面在网络空间中的风险和危害，快速配置有效的处置建议。

“应急处置”模块：基于风险评估结论进行漏洞修复闭环处置，并根据处置结果动态调整资产画像和漏洞信息库，实现资产变化感知，持续有效地对攻击面进行快速管控。

2.平台技术架构

平台的建设以网络空间测绘和漏洞检测作为两项基础支撑技术，网络空间测绘技术为平台提供大量基础资产数据，搭建起互联网资产数据“底座”；漏洞检测技术则成为互联网资产发现漏洞、定位风险、划分风险等级的强有力工具。此外，为了处理庞大的资产数据，平台采用了多层次的数据处理结构模型，实现海量数据在各个阶段的高速流转、读取和存储。

（1）多集群网络空间测绘服务。网络空间测绘技术是指以网络空间资源为对象，采用网络探测、网络分析、实体定位等技术，通过探测、采集、处理、分析和展示等手段，获得网络空间实体和虚拟资源在网络空间的位置、属性和拓扑结构，并将其映射至地理空间，以地图等形式展现相关态势，据此进行空间分析与应用的理论与技术。平台利用网络空间测绘服务集群，从庞大的网络空间获取符合特征的互联网资产作为基础资产库，通过分析、提取、标记和绘制资产画像进一步构成互联网暴露面信息库。

（2）多源异构的漏洞扫描模块。平台通过PoC漏洞检测引擎和Web漏洞检测引擎相结合的模式，调用接口对确定的目标进行针对性PoC漏洞专扫，快速、精准发现高价值隐患威胁，包含了针对26种类型漏洞的超过4000漏洞PoC和600以上的漏洞Exp库。不仅如此，后续还可根据需要增加开源的漏洞扫描框架接口，保证漏洞库的高覆盖性和扫描模块的强大。

（3）多层次数据处理结构模型。平台采用多层级的数据处理结构模型，数据在不同的流程阶段由相应的数据模块进行处理，对原始数据采集、资产筛选采用分布式，在资产识别、处置等后续环节采用集中处理方式，提高系统整体运行效率。主要分为数据采集层、数据分析层和数据存储层。数据采集层通过端口扫描、协议识别和网络爬虫等模块对网络系统的资产信息进行数据采集。数据分析层主要对数据采集层采集到的原始数据进行关联性分析、资产动态变化统计、资产组件管理、资产风险分析等。数据存储层由全文搜索存储、高速缓存存储和关系型数据库存储等几部分组成，为系统提供大容量的资产信息存储。

3.平台效能要点

平台的建设运营，实现了对互联资产数据全面、高效、精准的采集和分析；配合漏洞扫描等安全检测，有效定位脆弱资产和风险漏洞，增强银行面向网络空间的安全监控和应急响应能力，帮助有效预测风险，前移网络攻防战线，拉长攻击路径，提升攻击难度，帮助防守方在拉锯战中争取主动，提升网络安全防护效能。

（1）全局性攻击视角设计。黑客在对目标系统进行攻击之前，会先做大量全面的信息收集，重点寻找一些边缘资产，发现防御薄弱环节，然后挖掘可利用的漏洞进行攻击。并且他们在短暂攻击失败之后会持续关注目标系统变动情况，一旦发现新的可利用环节就会再次实施攻击，直到成功入侵。平台设计就是从攻击角度出发，针对攻击的全周期流程制定对应有效的管控措施，持续监测资产变动情况和定位漏洞，及时修复和响应，消除威胁，不给攻击者可利用的时间窗口，避免出现“亡羊”再“补牢”。

（2）体系化网络资产梳理。暴露在互联网的任何信息资产都有可能被利用进行攻击，包括IP、URL、端口、公众号、小程序，以及泄露的文档或者代码等。这些已确定资产、未确定资产、威胁资产，都是需要纳入管理的资产范围。平台通过手工录入、测绘引擎推荐、资产画像的绘制和人工筛选四个步骤，对暴露在互联网的资产进行全面收集和整理，解决以往资产不清、不全、信息不详细的问题，实现网络资产“看得全、理得清、查得到”的目标。

（3）闭环式攻击面管理。面对资产信息管理不到位、漏洞风险定位不清晰、漏洞责任人不明确、整改结果得不到反馈等各项风险管理问题，平台通过自动、持续的迭代优化，不断对自身资产和外部威胁进行动态感知，快速管控攻击面，减少黑客利用的时间窗口，配套持续改进的采集策略，形成良性循环。通过网络资产收集和整理，以及对选定资产进行漏洞扫描和检测这两大核心功能，做到资产新增和变动能够及时纳入管理，漏洞风险能够及时发现处置，结合漏洞通报、责任人处置、处置反馈和漏洞复测等辅助流程，全程跟踪确保整改动作落实到位，实现了对攻击面的闭环式管理。

网络安全形势复杂，网络空间威胁不断演进变异、加速迭代，网络安全、业务安全、技术安全交织，网络安全问题往往已超出单纯的技术、系统保护范畴。广发银行基于攻击面管理的网络空间防御体系平台，实现了对外部攻击面的体系化管控，从技术上、管理思路上提供了面向网络空间资产暴露的解决方案，但于整体的网络安全防范而言，还需要更体系化的思考和设计，需要从技术、管理策略、产品、人员能力、安全意识等多道防线共同努力，需要多方携手合作，才能提升整体的网络安全防护能力和水平。

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情