《畅聊安全》第一期 | 深度解析攻击面管理

首页 / 业界 / 企业 /  正文
作者:安全419
来源:安全419
发布于:2022-05-05
Gartner于近期发布的《2022年安全和风险管理趋势报告》中,预测了七大网络安全趋势,其中最先被提及的是企业受攻击的暴露面正在不断扩大,并指出企业应利用攻击面管理等技术自动检测自身安全短板,缓解安全风险。那么什么是攻击面管理?相比传统安全技术或产品的优势在哪里?它又能给企业的安全建设带来什么样的价值?
 
 
《畅聊安全》本期内容:攻击面管理
受访嘉宾:北京华云安信息技术有限公司
创始人/CEO沈传宝
受访嘉宾:北京零零信安科技有限公司
创始人/CEO王宇
主持人:安全419创始人/CEO张毅

01、什么是攻击面管理?
 
王宇指出,攻击面管理历经技术到应用的演变于2021年正式被提出,之后攻击面管理聚焦攻击者视角对企业、组织所有攻击点,并汇聚为攻击面,整个攻击面既包括漏洞,也包括IT资产,如数据泄露、代码泄露、供应链攻击都属于攻击面范畴。
 
“攻击面管理并不是一个新的词汇,”沈传宝表示,实际上在最近几年的攻防演练过程,大家都在做跟攻击面收敛有关的工作,也就是说,攻击面管理要源于实践。但他认为,攻击面管理如何系统的发现、分析、检测和收敛,形成一个完整的解决方案,才是接下来要关注的重点。
 
王宇也认同攻击面管理在我国尚处起步阶段,该技术理念在国外已经历约有三年左右的发展期。他也表达了通过零零信安与华云安一道致力于技术的落地发展愿景,希望能够用最短的时间,来赶上国际先进的技术能力。

02、如何让客户接受攻击面管理?
 
沈传宝认为,攻击面管理应用趋势已经形成。其一是网络安全经历多代发展已经从最早的合规安全上升到主动防御安全,其二是以攻击者视角来建设安全从大范围的攻防演练活动的开展,也变得越加深入人心。“在攻防演练场景中我们会发现各种各样的攻击的入口,站在防守方的角度来讲,就要收敛我们可能被攻击的入口。”这也就是攻击面管理技术理念的应用价值。
 
在攻击面管理技术理念下,以攻击者视角,不仅仅要解决包括最直接的漏洞风险,还要解决我们尚未发现的影子资产,或者是过期的域名,泄露的数字证书,敏感的个人信息等等。“攻击面管理要把原来从传统非常单一的漏洞攻击入口,进一步扩展到更多的攻击面,也可以理解为从传统认知攻击面,上升到新一代攻击面的变化过程。”沈传宝总结认为,面向新的IT技术发展,攻击面管理也是顺应场景变化带来的全新解决方案。
 
王宇指出,立体化的攻击的趋势下,包括政治型黑客、商业黑客,早已不仅仅针对信息资产本身的漏洞开展攻击,而是对于整个企业的全方位的攻击,这也是攻击面管理的价值体现。他以企业人员的数据泄露造成的潜在威胁视角为例,延伸到了企业内部以及外部供应链环节,而攻击者可以利用这些泄露的数据进行直接有效的攻击,或者是社工攻击,这比起利用漏洞进行攻击更加让人难以防范。
 
他分享的观点是,以漏洞为攻击入口的检测可能不会花费我们大量时间,但从其他未知的攻击面进行的攻击,通常需要大量时间才能检测得到。以美国ITRC统计出的行业检测影响时间为例,对于非漏洞的攻击利用(通常是数据泄露造成的)需要100-200天才能发现,也是希望通过对攻击面管理的发展和应用,企业和组织可以很快对这种风险做出响应,甚至是及时发现,以便提前制止威胁,而这对于企业的安全建设而言价值不言而喻。

03、华云安&零零信安在攻击面管理赛道的核心能力
 
华云安和零零信安均是最早投身攻击面管理的网络安全企业,在技术沉淀方面,以及技术应用方面他们又有何不同之处,各自特点又是什么?

 
沈传宝强调,有一个重要的概念叫做Security Gaps,其中Gaps指的是没有覆盖到缝隙或缺陷,而攻击面管理不仅要解决传统的IT资产风险,比如服务器、交换机等,而且往往这些设备通常也会有“重兵把守”,实际上攻击者也十分清楚这一点,肯定不会是直奔目标开展攻击,往往那个地方防守的是最好的,而是会从侧面来展开攻击。
 
他发现的一个趋势是在进入数字化时代,以及物联网大门的开启之后,企业的IT资产会曾爆炸式增长,比如说摄像头又或者是物联网设备当中的各式各样的传感器,它们同样具有攻击入口。换言之,企业和组织是否拥有对未知IT资产的发现能力,以及对应的管理能力,而这也是华云安长期积淀的能力之一,与之对应的还包括威胁情报的收集能力,从而应对量变到创新应用的过程。
 
王宇指表示,零零信安方面整个团队能力从各种场景化的攻防演练演化而来,主要能力聚焦在以下两个方向:其一是针对于完全的企业黑盒,来做它的整体数据采集,采集遍布全网,包括整个IPV4以及深网、暗网的数据采集;其次是会对大量数据进行处理,来形成企业的数字足迹与企业映射。

 
王宇针对以上两大能力应用解释称,通过海量泄露数据与企业之间的映射,可以构筑整体的攻击面查询,从而帮助企业和组织建设主动防御基线。他进一步表示,比如企业早就存在数据泄露,泄露的可能是一段代码,又可能是某个配置文件,甚者更有可能登录凭证被直接泄露,那么攻击者在实施攻击过程中即使他不用任何攻击手段,你的已有安全防护措施也会在攻击者面前形同虚设。
 
现状是企业和组织拥有大量的IT资产,也包括大量的员工在互联网上早已被泄露出去的敏感数据,而这些数据可以被攻击者从暗网中轻易获悉,从而开展直接有效的攻击,或者是利用泄露信息进行社工钓鱼,这些攻击点都是没有办法直接通过刚性防御去防守的。“所以说我们说要进行这种全互联网的风险检测,从而进行主动防御。”

04、攻击面管理仍处发展期未来会有更多的技术融合
 
在面对如何看待Gartner为攻击面管理划分CAASM(网络资产攻击面管理)和EASM(外部攻击面管理)两大不同“流派”这一问题是,沈传宝认为,攻击面管理从概念的提出到完整体系的建立时间并不长,技术还处于早期阶段,无论是CAASM还是EASM,仍然还在不断的演进。
 
两位各自企业的创始人一致认为,就目前Gartner的定义来看,CAASM更偏重内部(攻击)视角,这也是华云安偏重的领域,EASM则偏重于外部(攻击)视角,零零信安目前偏重的领域则在于此,它们即有区别,比如核心技术的落地实践不同,解决的风险点不同,但在未来攻击面管理解决方案的逐步演进过程中,肯定还会有更多的新技术出现。
 
“比如说VPT(漏洞优先级)技术、BAS(入侵和攻击模拟)技术、XTI(扩展威胁情报)技术,以及数据安全保护技术等等,其实这都是攻击面管理的一个更大的范畴,未来具体的演进方向也是会根据用户的需求、场景、技术设施的变化,从而带来更加丰富的技术实现与应用。”

05、什么样的客户才更需要攻击面管理?
 
王宇从攻击面管理究竟能为给客户带来哪些价值对该问题进行了梳理,CAASM为客户带来的价值是能够快速收敛企业或组织整个跟IT有关的,包括影子资产的暴露面,从而尽可能地掌握并处理暴露面所带来的安全风险。EASM则能为客户提供长期数据服务,比如长期的阶段性风险报告,又或者为SIEM(安全信息和事件管理)、SOC(安全运营中心)、态势感知等提供数据支撑。“CAASM是提供产品力,EASM则是提供数据能力。”但他们的核心宗旨相同,均为客户解决主动防御问题,从而减少或阻断被攻击的可能性。
 
沈传宝指出,从网络安全发展的不同的阶段来看,企业可能已经部署了最基本的安全防御基线,此时攻击面管理的应用价值则体现在发现攻击面和收敛攻击面。所以从攻击面管理应用角度来看,可能是那些具有一定安全建设的用户才会更加凸显价值。
 
但他延伸指出,从企业规模来看,中大型企业对攻击面管理的应用价值也更大,因为他们还重未对此有过系统化的构思与建设,但这不代表着小型企业不需要攻击面管理,因为小型企业也是由创新驱动,同样趋于现代的IT信息化发展,势必同样需要网络安全方面的严密保护。
 
张毅总结指出,无论是大型企业,还是小型公司,客户是否需要攻击面管理,最终还是要看客户的安全建设是不是到了一定的程度,同时更要看客户是否积极拥抱顶层安全架构思维。但相对而言,CAASM在中大型企业一则应用前景更为广阔,小型企业更适合采用EASM,利用数据、情报这种轻量化的服务来建设安全。总体而言,CAASM和EASM的高价值还具有补充作用,不能一概而论。

06、攻击面管理市场发展亦是行业突围契机
 
梳理观点可以发现,攻击面管理是要站在攻击者视角来提供一个新一代的网络安全解决方案,这也是跟传统网络安全解决方案最大的区别。但站在攻击者视角来提供解决方案过去一直以来也是业内不争的事实。所以说当Gartner把攻击面管理当义为全新赛道,从场景应用上讲,技术落地应用上也将是一次全新的融合的过程。
 
沈传宝就指出:“当前的创新安全企业,不管是做情报的也好,还是做单点检测和响应的也好,还是做各种DR的也好,实际上大部分视角都是围绕攻击者而展开的。”
 
但沈传宝表示,现在安全咨询机构基于需求、基于场景和技术发展把攻击面管理沉淀下来,攻击面管理也在经历快速发展。他指出,国外在这一领域成长起来的创新公司规模增长极快,甚至二三年发展就已达到数十亿美元规模,同时近一段时间关于该领域内的收购事件频发,这也代表着技术应用正在被广泛认可。
 
沈传宝观察到的是前不久Palo Alto Networks以总价约8亿美元收购Expanse,还有前不久微软收购Risk IQ、Google收购Mandiant等等。深层理解这也代表着国际上趋势转变,那些传统做漏洞管理或是资产管理的公司,绝大多数都在转型做攻击面管理,巨头们则通过收购布局能力的快速实现。
 
王宇表示,攻击面管理被Gatner完全独立成为一个赛道,而做好攻击面管理一定要比攻击者更快地发现风险。但这不仅考验数据和情报的收集,作为外部攻击面管理技术路线的实践难点是数据和情报的加工能力,要求能与企业信息系统之间形成映射关系,而在这方面国外的先行者们要更强。而国内需要加强这方面的能力,从而在落地实践方面赶超国际。
 
所以对于王宇而言,攻击面管理的发展更像是行业突围的一次契机,他直言,我们更多应该思考的问题并不是国内竞争,而是要怎样才能让我们的技术能力赶上国际,这个才是相关从业者真正需要考虑的问题,这也是行业生态建设的大问题。
 
沈传宝则认为,在这方面还有大量的工作将在未来进行,无论是CAASM还是EASM,将来都需要进行大量的技术整合,以及应用整合,“实际上我们认为它其实是一个生态,这个生态一定要跟多种的能力结合在一起,来去提供一套,面向未来的一个解决方案。”

07、攻击面管理增长迅猛市场空间广阔
 
华云安和零零信安作为攻击面管理在国内的先行者,企业也伴随着赛道的迅速兴起而得到资本市场的广泛关注。据悉,华云安也是前不久刚刚获得亿元规模的A+轮融资,零零信安刚刚成立不久便获得了数千万天使轮融资。
 
在这方面,王宇认为这与主动防御技术在未来的市场增量息息相关,而攻击面管理是主动防御重要的组成部分,同时攻击面管理可以作为扩展威胁情报重要来源,来为企业提供事前(攻击事件发生前)的情报数据,所以说攻击面管理未来的市场空间是非常有想象力的。
 
沈传宝则从市场规模方面分析了攻击面管理为何受资本热宠,他指出,攻击面管理还没有被细分定义,仅以IDC的Security and Vulnerability Management(安全和漏洞管理)报告为例,其在2021年就已达104亿美元。不难发现的是,当攻击面管理被认可之后,其应用实际上要更为广阔。而事实上国外多起收购事件也证明该技术正在被认可。

08、进入攻击面管理赛道需要长期技术沉淀
 
进入攻击面管理赛道是否存在技术门槛?对于正在进入该领域或想进入该领域的企业而言,先行者的华云安和零零信安又会给出何种建议,避免踩坑呢?
 
就这一话题,沈传宝首先强调,从环境上现在比之前要好很多,现在对创新的容忍度方面,随着环境的变化正越来越高。但他也指出,对于年轻的创业者来讲,则需要从技术上生根,然后在逐步拓展产品能力,应用场景等,总之就是专注度要高。以华云安自身为例,沈传宝指出技术能力也一定来源于长期的沉淀,比如华云安在攻击面管理领域就资产管理而言就有着大量的指纹沉淀,以及第三方接口的沉淀。
 
王宇则分享了EASM领域的技术难点,提醒想要进军该领域的创业者或现有企业,他指出以下几点需要去突破,分别是数据的采集的广度、准度、与速度。同时在做到以上能力的打通之后,还要求具备对海量数据的分析处理能力,以及非格式化数据的标准化问题。王宇也提醒大家,零零信安的EASM产品已经开放给所有用户使用,在互联网上是公开的,所以产品形态与数据展现标准等其实可以为大家提供参考借鉴。

09、如何面对大厂竞争威胁
 
沈传宝认为,从技术发展到技术落地创新才是根本,而创新可以得到实践来验证,所以真正考验企业的是攻击面管理产品的创新能力是否能够得到应用实践,换句话说也是产品能否被用户以价值取向所认可,而你有这样的实力,也就没有必要担心来自大厂的竞争。
 
王宇分享的观点其实前文已有表达,他认为的是现在谈竞争还为时尚早,大家的目标应该是如何建立良性生态圈,同时重点专注于技术能力的提升,共同努力才能把攻击面管理市场做大做强,也才能更好的为用户解决网络安全问题。

10、华云安&零零信安的现在与未来
 
沈传宝表示,华云安成立至今不满3年,过去公司主要面向的是关基客户群体,未来会在选定的方向上深度耕耘,不管是技术沉淀还是商业模式的打磨,或是应用场景的打磨。他强调:“在打磨和沉淀过程中,产品形态或交付方式可能会随着用户的需求,会有不断的变化,但总体上,在攻击面管理这个领域,我们要沉淀下来,持之以恒的去不断地去耕耘。”
 
https://0.zone/
 
据王宇介绍,零零信安刚成立一年多,其EASM产品由于采用了SaaS模式,所以他们花费了大量的时间来打磨,虽然当下版本已上线公测,与此同时他们还在对其进行着持续的打磨和体验优化。谈及未来,王宇说零零信安EASM产品将会以多种形式来完成交付,除了自身的攻击面管理报告形成的数据服务,数据源还可以作为扩展威胁情报的方式来交付给客户,以SaaS+数据情报来搭建更为广阔的应用场景。