前言
近年来,云计算、大数据等新一代信息技术与实体经济加速融合,产业数字化转型迎来新的发展浪潮。数字化在为企业提质降本增效的同时,也进一步放大了企业面临的安全风险,使企业网络安全建设变得“内忧外患”。
“内忧”方面,数字化快速发展为企业带来了大量的互联网资产与云上业务,企业的对外暴露面成倍增加,需要防护的资产范围不再局限于传统的IT资产、数据资产,还包括公众号、品牌、网络公开信息等新兴数字资产。
“外患”方面,在网络攻击和威胁不断演变下,网络安全对抗中的非对称性进一步被放大,攻击者对暴露面的全方位攻击对传统安全建设形成了全面打击,企业时常面临明明已经投入大量资源进行网络安全建设但是仍然无法保证自己的数字资产安全的窘境。
在传统安全防护机制出现瓶颈的情况下,探索适应数字化转型需求的新一代威胁治理机制具有重要意义。
攻击面管理(Attack Surface Management,简称ASM)作为一种从攻击者视角对全类型资产暴露面持续进行发现与管理的过程,通过对攻击面进行深入分析和有效管理,显著提高企业网络安全防护能力和对网络攻击的响应速度。
本洞察旨在从定义、基本架构、核心能力、关键技术等多方面阐明攻击面管理内涵,分析攻击面管理如何解决企业数字化时代面临的安全痛点;通过与网络空间测绘、渗透测试、漏洞管理进行比较,明确攻击面管理的定位与优势;结合攻击面管理供应侧生态特征与应用侧实践效果分析未来发展趋势;最后给出攻击面管理的发展建议与展望。
一方面,国家积极布局产业数字化,数字化技术成为企业核心驱动力量。“十四五”规划中提出,实施“上云用数赋智”行动,推动数据赋能全产业链协同转型。通过云计算、大数据、物联网、工业互联网、区块链、人工智能、虚拟现实和增强现实等技术,加快传统产业开展数字化改造的进程,应用数字技术开拓创新业务,强化产业核心竞争力。
另一方面,企业积极开展数字化转型,数据价值化实现降本增效。生活上,无接触经济新业态涌现,大量经济活动向线上迁移,通过对海量数据的收集和分析,提高数据价值比以实现盈利;生产上,供应链上下游协作、企业生产模式数字化成为常态,催生数据跨域流动与高效流转。数字化进程的推进导致企业应用系统、数据等资源激增,关键业务数字化占比提升,面临诸多内外部威胁,若不建立有效的安全保障体系,将影响企业日常运营。
安全合规成为企业发展生命线,对威胁治理提出更多要求。近年来,我国在加快产业数字化的同时,高度重视网络信息安全,相关法律法规日臻完善,对企业威胁治理能力提出要求。
网络安全环境日益复杂。一方面,网络攻击的数量与目的性明显增加。英国《信息自由法》最新披露的数据显示,截止2023年上半年,英国运营关键信息技术基础设施服务的组织共计上报了13起严重影响关键技术服务运营的攻击事件,相较2021年与2022年分别报告的4起有明显的增长。同时,攻击者一改往日广撒网式的攻击模式,而是针对特定目标进行全方位的针对性攻击。根据安全供应商Titaniam的数据显示,大型企业、金融机构、政府组织占据了网络攻击目标行业的前三名,超过了80%。另一方面,网络攻击对企业的危害趋向多元化。攻击者不断开发新的攻击方式和目标,比如公众号仿冒、网站仿冒、挂马网站、钓鱼网站等。这些攻击方式相较传统网络攻击具有更高的隐蔽性,同时对企业品牌的信誉和形象具有严重的危害。
企业在法律合规与外部威胁的双重驱动下积极完善安全体系建设,但是仍面临以下痛点问题。
在进行新型威胁治理手段探索的过程中,模拟攻击者手段对当前安全建设进行验证的形式逐渐成为网络安全建设的重要组成部分,各演练单位网络实战攻防中积累的经验在日常应急中的作用也变得越来越重要。Gartner最新发布的2023安全运营技术成熟度曲线中,外部攻击面管理、网络资产攻击面管理、渗透测试服务、自动渗透测试与红队技术、暴露管理、突破与攻击模拟等均成为了热点技术,预示着网络安全建设从内部视角向外部视角的转变,从被动防御向主动威胁发现迈进。
![攻击面管理技术洞察:换一个视角看安全建设]( "攻击面管理技术洞察:换一个视角看安全建设")
Gartner将攻击面管理定义为:一种从攻击者视角对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法。攻击面管理与传统安全工具的主要区别之一是以外部攻击者视角来审视企业包括已知和未知的IT与网络资产、数字品牌、泄露数据等一切存在可被利用的风险的资产被攻击的可能性。
Forester将攻击面管理定义为:持续挖掘、识别、清点和评估组织全部资产面临风险的流程。攻击面管理为组织提供外部的可见性,并与内部安全控制、配置管理数据库(Configuration Management Database,简称CMDB)、基础设施运营、人员社交媒体等元素形成融合矩阵,全面映射出组织对外的暴露情况。
目前国内外各组织机构对供给面管理的定义略有差异,结合我国产业特色与实践,我们认为攻击面管理指整合了基于SaaS的工具性平台、策略、人员,对全类型资产暴露面持续进行攻击面风险探测与管理的过程。
-
一是监测数据源,攻击面管理相比传统安全建设更加注重从外部视角对组织进行审视时的数据来源,这些数据源可以提供更全面、更丰富的安全信息和风险数据,帮助组织更准确地识别攻击者、分析攻击手段和意图。
-
二是监测对象,一方面攻击面管理通过汇总监测数据源提供的信息,将视野外的影子资产纳入管理范畴,另一方面除了传统IT与网络资产外,将小程序、公众号、网站内容等纳入管理范畴。
-
三是监测维度,传统安全建设仅关注技术方面暴露的问题,而攻击面管理则是将社工入侵面、内容合规面、资产威胁面相结合,将可利用的暴露面进行叠加,形成攻击向量,解析攻击面产生的根本原因并明确根除方法。
攻击面管理(ASM)由外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)以及数字风险保护(DRPS)三个核心技术组成,除此之外,还包括如漏洞评估、脆弱性与漏洞优先级技术、供应链与第三方风险评估、并购风险评估、数据泄露检测、大模型辅助分析、自动化安全响应能力等支撑技术组成。
-
外部攻击面管理(External Attack Surface Management,简称EASM)从攻击者的角度出发,以“黑盒”的方式发现和进行攻击面管理,侧重于对攻击者可能利用的资产漏洞进行监测,包括监控暴露在互联网上的未知和已知资产、未经授权就能访问和利用的风险等。
-
网络资产攻击面管理(Cyber Asset Attack Surface Management,简称CAASM)从防御者的角度出发,结合EASM产生的攻击者视角信息,以“白盒”的方式进行攻击面管理,侧重于从内部视角对网络资产进行风险管理。
-
数字风险保护(Digital Risks Protection Services,简称DRPS)专注于对组织外部网络环境的监测,例如数据泄露、企业数字资产盗用、企业人员个人信息泄露或盗用、品牌仿冒等事件,通过来自外部的威胁情报,构建针对已发生威胁事件的及时处置能力,以保护组织的数字资产,有效地降低企业数字化转型带来的风险,防止公司数据资产、品牌等攻击面的不必要暴露。
-
脆弱性与漏洞优先级技术主要用于对当前组织存在的脆弱性与漏洞进行评估,在识别到脆弱性与漏洞后根据威胁严重性、利用的难易程度、受影响资产的价值等维度对修复的优先级进行划分。
-
大模型辅助分析将安全数据交由系统进行机器学习与分析,一方面将分析视角上升至全局视角,提高了安全数据的利用率,降低了人工分析可能带来的干扰;另一方面降低了数据分析环节对人工的依赖。同时机器学习可以使自身算法模型通过安全数据进行调整与升级,不断提升应对新型威胁的能力。
-
自动化安全响应能力具备对检测到的脆弱性进行紧急封堵,减少资产暴露在攻击中的时间,如远程漏洞补丁防控能力,通过云补丁的形式在不需要资产关机下线与重启的情况下对存在漏洞的资产进行紧急修复,既保证了资产的可用性与业务连续性,也帮助资产缓解了脆弱性,为安全团队形成完整修复方案、业务团队完成业务迁移赢得了时间。
网络空间测绘通过网络探测、采集或挖掘等技术,获取网络设备等实体资源、用户、服务等虚拟资源的网络属性,对IP进行梳理,将实体资源映射到地理空间,将虚拟资源映射到社会空间,并将探测结果和映射结果进行绘制,提供对网络空间的全面了解和分析,帮助企业管理者获得网络拓扑结构、流量分布、资源分配等信息,在安全事件发生后为事件响应提供快速定位、数据分析等支持。
攻击面管理在以下两方面相较网络空间测绘做出了进一步延伸。
一是资产风险纳管覆盖面更广。一方面攻击面管理纳管的资产不仅包含网络空间测绘中纳管的资产如IP、DNS、网站、虚拟机等,同时兼顾了APP、公众号、小程序、微博、公开投标文件等非技术向的网络空间资产管控;另一方面除了进行技术扫描外,攻击面管理会综合互联网公开信息、暗网信息、威胁情报等多元数据源,通过大模型进行辅助分析,进一步挖掘可被利用的暴露面。
二是对探查到的资产风险进行分析与处理。网络空间测绘主要用于形成企业网络空间资产与要素间的映射关系,而攻击面管理则会在形成映射图谱后集合用户业务进行观察和风险发现,定位出所有潜在威胁的风险资产,根据资产的业务优先级、所属部门,下发不同的响应策略。
渗透测试是指在客户授权的情况下模拟使用黑客的技术和方式,采用可控制、非破坏性质的手段挖掘目标对象的安全漏洞,取得系统控制权,访问系统机密数据,发现可被攻破的薄弱点,帮助管理者知道潜藏在网络环境中的问题,并对测试结果进行分析形成报告,提供安全加固建议帮助提升系统安全性。
攻击面管理与渗透测试的区别主要体现在测试深度、覆盖面、任务灵活性、成本投入四个方面。
-
测试深度方面,渗透测试完全模拟攻击者的行为方式,发现暴露面之后对其进行攻击,直至达成数据窃取、收集信息、横向移动、资产危害等目的;攻击面管理则是在发现可利用的暴露面之后便着手分析形成攻击面的原因并提供修复方案,不会进一步进行深度挖掘。
-
覆盖面方面,渗透测试在开始前需要与被测试对象进行沟通,确定渗透目标、范围、限制条件,提交渗透方法、时间、人员、工具等信息给客户,在取得委托与授权后便不可进行更改;攻击面管理则是对企业全部互联网暴露面进行扫描,建立数字资产档案库,全方位关注资产变化动态与暴露情况。
-
任务灵活性方面,渗透测试整体流程较长,无法形成固定频率的周期性测试评估,并且在渗透测试开始前需要进行大量的准备工作;攻击面管理则更加灵活,支持在特殊时期实现高频扫描,同时支持任务的即时下发,时刻掌握当前企业对外攻击面的修复与新增情况,充分落实网安建设中“动态对抗”这一核心理念。
-
成本投入方面,渗透测试不仅需要根据测试需求购置相关技术工具,进行基础建设,同时还将对被测试对象测试过程中对业务产生的影响纳入考虑范围;攻击面管理则是在不影响业务正常运行的情况下,利用SaaS化的安全能力进行防护,无需进行基础建设,最大程度上节约安全建设所需要的成本。
传统的漏洞管理通过扫描工具下发漏扫任务,将发现的漏洞交由安全人员进行处置,实现对漏洞的生命周期跟踪与管理。在漏洞管理过程中,存在以下痛点问题:安全管理人员在漏洞收集、验证过滤、去重标记等方面消耗大量时间和精力;在跨部门协作时,将大量时间和精力消耗在同步信息上导致漏洞无法及时修复;当出现与漏洞相关的安全事件时,难以快速定位定责。因此漏洞管理面临精准检测难、验证确认难、漏洞修复难、跨部门沟通协作难、定位定责难、未知漏洞抵抗难等痛点。
攻击面管理对传统漏洞管理的提升主要体现在以下两个方面。
一是降低人工分析成本。攻击面管理结合威胁情报、暗网、公开信息、漏洞利用趋势等进行综合分析,确认漏洞真实性,降低了人工进行漏洞研判时所消耗的时间与人工带入的误差,保证可被利用的漏洞不会淹没在海量漏洞告警中。
二是提升漏洞响应效率。攻击面管理联动资产对漏洞的可利用性与威胁情况进行综合分析,结合漏洞对业务连续性的影响和网络环境的危害,对漏洞修复优先级进行排序,并结合实际生产情况下发修复建议,如对不影响生产的组件进行关闭下线,对关键组件打虚拟补丁保证业务连续性等,使漏洞造成的损失降到最低。
攻击面管理的核心价值在于转换安全建设出发点,从安全建设技术先行,转化为以保护业务为核心目标的业务先行。从安全建设的核心目的出发,所有的技术最终都指向维护企业资产安全,保障业务连续性,将风险带来的损失降到最低,而这正是攻击面管理所能带来的价值所在。同时,防护策略已经从传统以漏洞管理为核心的被动防御,转化为以情报为中心的主动防御,攻击面管理将发现与防治相结合,充分挖掘威胁情报价值,助力主动防御体系工作。
从安全风险发现的角度来看,攻击面管理具备从暗网、搜索引擎、云盘等渠道发现已被攻破的风险点与泄露数据的能力,查看哪些资产被渗透,哪些数据已丢失,通过倒叙的方式对已暴露并被利用的攻击面进行封堵。
从安全风险解决的角度来看,攻击面管理通过安全大模型对暴露面的利用路径进行分析,综合资产与业务现状给出最优解决路径参考,将有限的安全资源投入最有效的地方,明确当下最重要的是什么,以最小的代价将风险扼杀,然后分析后期建设方向,以保障业务稳定与发展为前提,把安全建设与业务发展进行强关联,拥有更广的适用性与受众群体。
从业务安全的角度来看,攻击面管理成功的将网络安全与业务安全相结合,打破网络安全与业务安全的边界,通过对仿冒资产、侵权资产、异常交易的监管,及时上报给监管机构,对黑灰产进行关停,实现了降低业务风险,减少业务成本的效果。
国外安全厂商根据自身技术实践与经验积累积极探索研发拥有自身技术特色的攻击面管理工具。
-
安全厂商CrowdStrike的攻击面管理工具Falcon Surface提供外部视图,展示了暴露资产和潜在攻击向量的实时动向。
-
SearchLight通过暗网监控和威胁情报利用由外向内地开展攻击面扫描,检测数据泄漏、被冒充的域、暴露的敏感代码、漏洞、错误配置的设备、敞开的端口、证书问题及其他易被利用的应用系统。
-
Coalfire支持发现本地和云基础架构环境中的各种薄弱环节,并根据可见性和归属性对检测到的漏洞进行分类,确定优先级,并监管修复工作,结合人工服务共同验证客户的安全状况。
-
UpGuard攻击面管理工具配备数据泄露发现引擎,可以深度搜索开放的互联网空间,获取客户的供应链系统中秘密泄露的数据,通过专有算法准确评估用户网络安全态势。
当前我国攻击面管理供应侧生态尚处在发展初期。攻击面管理产品需要厂商具备全面的综合实力覆盖资产可能面临的全部风险、庞大的数据源保证第一时间捕获威胁信息、强大的安全团队支撑对海量数据的分析研判、资深的红方专家模拟攻击者的行为逻辑。
因此一些专精型安全厂商选择与综合型安全厂商进行合作,共同搭建以综合性厂商攻击面管理为中枢,开放自身工具接口负责上传安全数据与执行安全操作的生态结构。
基于这样的生态结构,从攻击面管理的中枢来看,综合型厂商作为攻击面管理的分析端可以充分发挥自身多样化的技术积累与丰富的应用场景带来的多元化数据源的优势;从攻击面管理的执行终端来看,一方面在全行业积极上云、积极发展互联网业务的背景下,如金融、教育、农牧、林业等行业具有大量的独特概念,深耕于此行业的专精型安全厂商可以与行业客户进行高效沟通,降低沟通成本,另一方面供应商有区域特性,如地方性政府都有自己的稳定安全供应商,此类安全厂商通过开放对合作伙伴的攻击面管理分析系统的数据传输接口可以在不新增大量基础建设的情况下,显著提升整体安全防护能力。
腾讯安全攻击面管理TIX-ASM依托于腾讯安全的威胁情报能力,实现对资产暴露面的风险感知和基于优先级别的处置。
在功能方面,具备“漏洞抗体”修复技术,在对仿冒小程序,公众号的识别和处置方面具有优势。同时腾讯安全以构建安全共同体为目标,为客户提供攻击面管理产品矩阵同时,主动释放产品能力,为有较强客户服务能力与意愿的中小厂商或专精型安全厂商提供合作机会开放攻击面管理分析能力以及便利的生态接入渠道,发挥综合型安全厂商的技术积累与数据支持优势,结合中小厂商或专精型安全厂商对客户与实际适用场景的深入了解,共同为用户打造安全的网络安全环境。
互联网行业核心痛点是随着公司业务高速发展,面向互联网侧提供的业务服务范围也在高速扩张,导致整体资产暴露风险加剧,企业存在较多的安全盲点,容易成为攻击者的入侵口。攻击面管理则可以以情报为核心,构建主动的安全防御体系,以实现安全防护的关口前置。在进行互联网资产的挖掘过程中,攻击面管理的资产纳管广度、深度、准确度与针对资产的风险监测全面性与时效性均超过传统安全建设扫描结果。攻击面管理灵活运用情报挖掘引擎,协助用户从互联网侧梳理清楚违规资产、影子资产,并且提供丰富的资产信息与管理方案,协助用户实现风险暴露面的收敛。
在金融行业互联网安全建设中,由于金融科技的快速发展,金融客户急需“摸清家底”,持续开展互联网资产暴露面的探测,梳理“影子资产”和“恶意资产”。同时对金融行业发动的网络攻击数量居高不下,企业需要周期性进行资产风险梳理,以面对快速变化的网络安全态势。攻击面管理的资产梳理覆盖IP、域名、URL、端口等维度业务资产测绘,同时支持小程序、公众号、APP等维度的测绘,同时运用情报能力,准确、实时识别出资产环境中存在的安全风险,并且周期性提供资产风险报告,协助金融客户实现风险暴露面的收敛。
在教育行业网络安全建设中,较为典型的案例是整顿互联网上存在的“双非资产”。“双非资产”特指不属于教育机构或其合作伙伴的资产,借助教育机构的名称或品牌以“蹭热度”的形式进行宣传。目前关于“双非资产”缺乏统一的衡量标准,因此由教育机构对“双非资产”进行纳管与定性,在核实为“双非资产”后上报监管机构对这类网络资产进行关停。教育行业的安全服务商工作人员拥有的大量“双非资产”辨识经验,联动攻击面管理的海量数据源后,有效提高了“双非资产”的检出率。
全球网络信息化高速发展,新兴信息技术不断涌现,企业的业务模式和网络环境正面临快速变化。随着全球网络安全威胁不断加剧,企业安全攻防重视程度逐年加强,攻击面管理作为以攻击者视角对企业安全建设进行审视的手段,将逐渐凸显自身的重要作用。
攻击面管理需要与更多的安全产品进行联动。现代网络攻击从传统的单点式突破演化为了通过将多个暴露面进行叠加,对企业网络安全实施立体攻击,安全关注的终点也从单点防御向整体协调防护转变,攻击面管理将进一步联动更多的安全产品整合成为覆盖企业资产的立体防护,一方面增加可能存在的威胁视角,另一方面增加对传统威胁的新阻断能力。
攻击面管理应进一步发展风险修复能力。得益于攻击面管理具备的全面数字资产信息与安全大模型联动分析能力,攻击面管理不止具备发现风险的能力,同时具备提出最佳解决方案的能力。如漏洞管理场景,攻击面管理将帮助没有独立漏洞修复能力或短期内无法中断业务进行漏洞修复的客户进行暂时封堵,并给出参考修复方案,形成一站式漏洞闭环修复能力。
攻击面管理的发展需要组建行业安全生态。攻击面管理的核心技术之一便是海量的数据源于基于大模型的自动化分析能力,独立部署的攻击面管理工具由于缺乏数据支撑将难以发挥应有的效能。未来攻击面管理将进一步形成以SaaS化的攻击面管理平台为学习分析中枢,以行业应用客户为数据收集与防控终端的生态结构,做到在新型威胁出现后,使全部应用客户都可以第一时间知晓并形成应急方案。
攻击面管理发展需要进行标准化规范。当前我国攻击面管理尚处于萌芽阶段,大部分产品主要基于厂商的技术积累进行开发。从长远角度来看,形成统一的标准更有利于攻击面管理产品的发展,攻击面管理的标准化也将直接影响与其进行联动的产品标准化工作,最终形成以攻击面管理为核心的安全体系标准。
![攻击面管理技术洞察:换一个视角看安全建设]( "攻击面管理技术洞察:换一个视角看安全建设")
原文始发于微信公众号(腾讯安全):攻击面管理技术洞察:换一个视角看安全建设
评论