当今世界,网络空间已成为继陆、海、空、天之外的第五主权空间,网络安全已上升至国家战略的高度,和国家安全深度绑定。维护网络安全成为事关经济发展、社会稳定、国家安全和人民群众合法权益的重大课题。随着科技与金融的深度融合发展,各行业服务不再受制于时空局限的同时网络安全风险敞口也在进一步加大,面临着日趋严峻的网络安全攻击形势。银行作为网络犯罪分子眼里的一块“肥肉”,更是成为黑客网络攻击的首选对象。近年来银行业遭受网络攻击事件频发,比如最近某银行在美国的分支机构遭遇勒索病毒攻击,造成大量经济损失;SWIFT网络银行间通信系统被黑客发起了多起针对性的攻击,致使数百万美元被盗等等。面对如此严峻的网络安全形势,各国政府纷纷加强网络安全顶层设计,巩固网络安全防线。近年来,国家和政府对网络安全重视程度越来越高,习近平总书记在网络安全和信息化工作座谈会上发表的重要讲话中就指出,要“摸清家底,认清风险,找出漏洞”。监管机构近年也在不断加大互联网资产与风险监管力度,要求加强对互联网暴露资产与风险的摸排与自查。
随着新技术的不断发展,机构内外部关联服务的不断增加,互联网资产的数量规模、种类已经越来越庞大,互联网资产暴露面难以控制,企业内部互联网资产底数往往难以统计;而业务和网络环境愈加复杂、变化愈加迅速,漏洞风险普遍存在,漏洞利用更呈武器化趋势轻易就能突破企业安全防线。
互联网暴露面资产直接面向外部攻击者的威胁,如若企业缺乏快速高效的安全监测手段,不能及时处理新发漏洞,将难以抵御漏洞利用入侵;缺乏能够有效整合互联网资产监测、漏洞扫描、漏洞处置机制,也难以利用自动化技术提升应急效率。
传统的被动的安全防御体系已经难以应对当前的网络安全威胁,主动、快速、准确的掌握互联网资产变化情况,高效的感知资产安全状态成为互联网资产安全管理工作的重要内容。
对此,基于外部攻击面管理的理论或许可以给我们带来收敛互联网资产暴露面、降低网络系统遭受攻击风险的启发。“外部攻击面管理”是Gartner在《Hype Cycle for Security Operations,2021》中提出的,它是指组织或企业对其在网络环境中面临的潜在攻击面进行识别、评估和管理的过程。攻击面是指那些可能被黑客或恶意攻击者利用的漏洞、弱点或资源,包括网络设备、应用程序、云服务、员工和第三方供应商等。外部攻击面管理旨在帮助组织了解其受攻击威胁的范围,并采取措施来降低潜在的风险。外部攻击面管理通常包括以下几个主要步骤:
识别和发现:通过网络扫描、漏洞评估和安全漏洞报告等手段,识别和发现组织在外部网络环境中的所有潜在攻击面。
评估和分析:对发现的攻击面进行评估和分析,确定其对组织安全的潜在威胁程度,并确定哪些应该是优先解决的问题。
降低风险:制定和实施相应的安全措施和策略,以减少潜在攻击面的风险,例如修补漏洞、加固网络安全防护、教育员工等。
持续监控和管理:定期对外部攻击面进行监控和管理,确保安全措施的有效性,并及时应对新的安全威胁和攻击面。
针对当前企业网络安全防护的痛点难点,结合“外部攻击面管理”理念,我们提出了针对企业网络空间资产的攻击面闭环管理的思路。它主要包括“暴露面采集”、“资产识别”、“脆弱性分析”、“风险评估”、“应急处置”五大环节,对互联网攻击面进行闭环管理。通过自动、持续的迭代优化,实现资产变化感知和攻击面快速管控,减少黑客利用的时间窗口,同时改进采集策略,形成良性的循环。
“暴露面采集”环节:利用网络空间测绘技术,搭建服务器集群,利用底层扫描引擎进行发包探测,扫描全网,并对探测到的组件资源数据和服务资源数据依据端口、协议、产品和服务进行攻击暴露面识别。根据企业互联网资产关键字、图片、备案信息、证书等数字特征,从网络攻击角度全面探测采集包含URL、IP、端口等网络空间数字资产的暴露面信息。
“资产识别”环节:对探测采集的暴露面资产信息进行关联分析、变化统计、组件梳理等,构建已纳入管理资产、未纳入管理资产、互联网威胁资产(钓鱼仿冒等)等多类别资产画像。
“脆弱性分析”环节:选择资产开展针对性端口、服务及漏洞扫描,根据漏洞状态、利用信息、风险态势等建立漏洞信息库,结合资产画像信息,输出攻击面风险分析情报。
“风险评估”环节:对前序脆弱性分析以及企业自身网络防控情况、业务开展情况进行动态计算,综合分析攻击面在网络空间中的风险和危害,快速配置有效的处置建议。
“应急处置”环节:基于风险评估结论进行漏洞修复闭环处置,并根据处置结果动态调整资产画像和漏洞信息库,实现资产变化感知,持续有效地对攻击面进行快速管控。
外部攻击面的闭环管理思路,为企业在面对互联网资产暴露面的管理上提供了一种可靠方案。通过对互联资产数据全面、高效、精准的采集和分析,配合漏洞扫描等安全检测,有效定位脆弱资产和风险漏洞,有助于增强企业面向网络空间的安全监控和应急响应能力,帮助有效预测风险,前移网络攻防战线,拉长攻击路径,提升攻击难度,帮助防守方在拉锯战中争取主动,提升网络安全防护效能。
网络安全形势复杂,网络空间威胁不断演进变异、加速迭代,网络安全、业务安全、技术安全交织,网络安全问题往往已超出单纯的技术、系统保护范畴。基于“外部攻击面管理”的攻击面闭环管理思路,理论上可实现对外部攻击面的体系化管控,从技术上、管理思路上提供了面向网络空间资产暴露的解决方案,但是于整体的网络安全防范而言,我们还需要更体系化的思考和设计,需要从技术、管理策略、产品、人员能力、安全意识等多道防线共同努力,需要多方携手合作,才能提升整体的网络安全防护能力和水平。
高领云,广发银行科技制度体系建设维护人员,曾荣获2021年度中国人民银行金融科技发展奖二等奖。
李晓真,广发银行网络安全攻防技术研究和信息科技问题检查人员,曾荣获2021年度中国人民银行金融科技发展奖二等奖。
大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
原文始发于微信公众号(安全村SecUN):外部攻击面管理的思考与启示|大湾区金融安全专刊·安全村
评论