没有暴露,就没有伤害--暴露面管理(EM)面面观(3)
NO EXPOSURE, NO HARM.
暴露面管理提出了一种主动式安全防御新思路,通过动态周期性的识别、发现、优先评估、验证、处置来应对新安全威胁形式的挑战。暴露面管理并不只关注安全事件本身,而是关注攻击路径,站在攻击者的角度去思考攻击可能发生在哪里,以及可能采用的攻击战术和实施手段。暴露面管理的主动防御思想主要体现在:基于攻击者视角及视野的发现能力、基于扩展威胁情报的预警能力、基于风险优先级的自动化处置能力、基于动态管理的持续性优化能力。
01
基于攻击者视角、视野的发现能力
防御者视角下,往往只能关注到已知风险并设计防御策略,而忽略很多未知风险。组织需要能够和攻击者具有相同视角和视野,达到相同的可见性。
基于攻击者的视角:自动化发现域名、IP、网站、公众号、小程序、源代码、弱口令、数据以及VPN、公有云服务等数字资产暴露面,全面识别漏洞、敏感信息泄露、误配置、影子资产、失陷资产、供应链威胁、影子API等威胁暴露面。
具备攻击者的视野:为了保证组织对应数据的全面和准确,将子公司、分支机构、有关联(M&A)组织以及供应商进行纳入到视野范围内,对数据资产进行映射。尤其是对组织使用的产品、第三方组件,供应商进行尽可能的探测、识别和风险暴露面的发现.
02
基于扩展威胁情报的预警能力
新一代的扩展威胁情报(XTI)将防御者思维调整为攻击者视角,侧重在事前和预防,从攻击者视角提供了对情报的持续可见性。情报类型包括供应链情报、漏洞情报、数据泄露情报、暗网情报、失陷情报等。
-
供应链情报(SCTI):通过构建供应链关系,建立供应链产品清单和资产台账,与供应链厂商建立威胁情报共享机制,结合企业、机构已有的开源成分清单和图谱,在发生安全风险时能够对供应链条上的节点进行情报推送,在第一时间内将有效的开源威胁情报同步给相关责任人,协同进行风险的处置。
-
漏洞情报:基于开源成分清单、系统指纹图谱、组件依赖链条、供应商列表及依赖链条、业务台账,第一时间情报的推送。
-
失陷情报:基于威胁情报及爬虫等分析技术,实现暴露资产的失陷监控,包括木马后门、隐蔽控制通道等失陷线索。基于供应商及业务台账,第一时间情报的推送。
-
数据泄露情报:通过监测互联网及暗网中的泄漏数据、恶意软件、勒索软件以及 社工信息交易等,发现企业泄漏在暗网中的风险。
通过情报预警,打破攻守双方信息不平衡的局面,先于攻击者处置威胁,预防入侵事件的发生。
03
基于风险优先级的自动化处置能力
及时发现威胁暴露面可以为安全团队提供真实的风险图景,但仅仅发现问题是不够的,自动化的主动收敛暴露面,在潜在的威胁渗透到组织网络之前,在风险被攻击者利用之前提前响应,在威胁进入网络之前自动关闭暴露,可以改变攻防极度不对称的局面。
针对风险给予精准的处置建议和行动的优先级,是暴露面管理的一个关键点。通过实时监控和发现组织日常操作和对外服务及资产的错误配置、开放端口和未修复漏洞根据紧急程度、严重性来进行风险等级分析以确定优先级。资源和时间永远都是有限的,通过优先级实时了解首要风险或关键风险,可以通过快速关闭风险最高的风险来领先于攻击者。
04
基于动态管理的持续性优化能力
安全是一个持续的过程和状态,暴露面管理(EM)站在安全运营的角度,提供更加务实且有效的系统化管理方法论和系统,EM是动态化的,外部因素的变化如企业有并购行为发生、企业有组织架构变化、新的项目启动、新的攻防技术出现、新的漏洞风险出现都可能会触发EM过程:确定范围、发现识别、优先级、验证和采取行动,但不一定从周期的第一步开始。
暴露面管理模型通过将风险评估与持续的威胁暴露面监控相结合,企业能够不间断的进行威胁监控与管理,实现不断完善的安全态势改进。
守望者实验室:专注AI模型在“暴露面管理”领域的创新实践,坚持“能力化、自动化、智能化”的理念,聚焦情报驱动的“暴露面管理”平台的建设运营,为关键信息基础设施安全保驾护航 。
END
watcherlab
做数字经济时代的安全守望者
长按扫码可关注
原文始发于微信公众号(守望者实验室):没有暴露,就没有伤害--暴露面管理(EM)面面观(3)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论