日前,在业内一场以“数字时代,安全从攻击面管理开始”为话题的安全峰会上,零零信安创始人王宇在聊到EASM(外部攻击面管理)未来发展路径时谈到,面对日益复杂的高级威胁,传统威胁情报已经不足以为企业提供基于全局的风险可见性,而EASM未来将成为扩展威胁情报的核心技术,为企业提供更高视野的威胁感知能力。
他分享的这一前沿观点引起了我们的兴趣,在我们的认知中,威胁情报本身似乎就很难给出一个明晰的定义。小到一个IP、域名、URL,大到一次APT攻击事件,似乎都是威胁情报体系中的一部分。那么为什么Gartner会提出XTI(扩展威胁情报)的概念?威胁情报为什么要扩展?又将向哪里扩展?与传统威胁情报有哪些差异?围绕这些疑惑,我们也顺势邀请王宇展开了进一步的分享。
传统威胁情报CTI存在的哪些局限性?
王宇指出,传统威胁情报CTI关注的范畴以僵尸、木马、蠕虫为主,也包括恶意URL,恶意DNS、恶意邮箱等等这些信息。它的使用场景主要是拿情报和流量,以及抓取的一些访问数据做比对,去判断哪些属于入侵行为。因此,传统威胁情报主要面向的是事中和事后的安全分析。
在数据采集层面上,CTI更多的是被动地、反应式的收集信息,包括哪些网络属于僵尸网络,哪些主机属于僵尸主机,有什么样的木马程序,有什么样的蠕虫病毒等信息,哪些DNS服务器是有问题的等等。
此外,对非公开网络数据收集分析方面也是传统CTI的短板。王宇谈到,暗网和深网的相关情报实际上也是威胁情报中很重要的一部分。由于底层的数据采集方式不同,传统CTI厂商往往不具备主动采集非公开网络中企业泄露的数据的能力,因此会造成传统CTI在风险预测数据方面的空白。
“我们必须肯定CTI很有价值,但它的场景主要针对事中和事后,主要靠的是以它自身收集来的情报、企业的流量以及企业的访问数据做匹配得出来的结果——如谁在尝试攻击,以及攻击的情况如何的一个结论。相比之下,XTI关注的并不是谁在攻击,而是攻击者有可能针对哪些风险点进行攻击,整个攻击发生之前,我们可能存在的风险是什么。”
图:王宇在2022网络安全运营技术峰会分享XTI发展趋势
什么是XTI扩展威胁情报?要向哪里扩展?
据悉,Gartner在日前发布的一份威胁情报报告中提到了XTI的概念,并指出扩展威胁情报将安全思维从防御者思维重新调整到攻击者思维,以大大缩小安全团队与黑客之间的“不对称鸿沟”。
在具体指标上,Gartner认为XTI应该包括三项关键技术,分别是:外部攻击面管理(EASM)、数字风险保护(DRPS)和安全评级服务(SRS)。
“扩展威胁情报实际上是以一种数据服务的形式提交给企业,比如可以给到企业的SIEM、SOAR、MDR等安全管理系统,也可以给到像NDR、VM等安全产品,去帮助企业提升自身的情报能力,为其综合的风险分析去做数据支撑”,王宇谈到。
在他看来,结合了外部攻击面管理(EASM)和数字风险保护(DRPS)的XTI扩展威胁情报弥补了CTI传统威胁情报的不足,其加强关注企业泄露在公开网络和非公开网络中数据,倾向事前的场景,比如企业暴露的IT资产、IP地址,泄露在外的代码、企业重要人员的信息等。
“XTI要将所有黑客可能拿来做攻击的风险点纳入监测范围,作为情报来说,XTI关注事前,而CTI关注的是事中和事后,这是相较传统威胁情报的主要区别。”
Gartner预测到2023年,将有50%以上的该技术路线的安全厂商,将把外部攻击面管理和数字风险保护进行融合。因为无论是外部攻击面管理还是数字风险保护的内容,实质提供的都是基于攻击者视角来看企业有什么样的外部风险。
“攻击者是逐利的,也是现实的,必然会选择更高效的路径发起攻击行为,所以只有外部攻击面管理和数字风险保护二者的融合,才能构成完整的攻击者视角。我们不一定只看技术层面,还要去看真正在不同场景下攻击者的攻击路径。之所以Gartner也强调外部攻击面管理和数字风险保护是扩展威胁情报的核心,是因为扩展威胁情报(XTI)技术能够充分利用二者产出的海量风险数据,生成高价值威胁情报”,王宇进一步指出。
谁将会是未来XTI市场的主力厂商?
在此前的演讲分享中王宇曾经谈到,XTI将会是未来外部攻击面管理技术发展的一个重要方向,甚至将会演进成为一条独立的赛道。XTI能够通过与SOAR、SIEM、MDR等产品的联动,实现了从外部攻击面管理产品到外部风险管理解决方案的进化。
针对这一话题我们也请王宇进行了更进一步的分享,作为一个新鲜出炉的名词,目前XTI的市场发展情况如何?零零信安在这一方向上的相关研究成果是否能够落地?
王宇表示,XTI实际上是外部攻击面管理技术和数字风险保护技术的进一步延伸,这也就意味着,想要做好XTI扩展威胁情报,就必须夯实在前述两项技术方面的基础。虽然在国内安全市场中,外部攻击面管理都属于一个尚未成熟的新兴市场,但国外如BlueVoyant、Risk.IQ、Censys等优秀厂商已经有所建树,国内的外部攻击面管理赛道却仅有零零信安一家厂商在做相关的探索和投入。
“零零信安目前正在积极追赶国际技术,我们必须承认自身的差距。如何在较短时间内将数据能力赶上国际水平,才是我们最需要去考虑的”,王宇谈到。
在具体实践层面,零零信安已于2022年3月实现外部攻击面管理(EASM)技术产品化,推出国内首款外部攻击面管理(EASM)产品0.Zone平台(域名同为0.zone),已经可以做到对包括信息系统、敏感目录、电子邮箱、文档、产品代码、供应链、非公开网络情报、人员以及组织等可导致形成攻击点的潜在风险进行查询。
同时,其EASM产品产出的海量数据也已经逐步转化为XTI情报,以数据形式输送给用户。王宇透露,“接下来零零信安也会选择与业内其他的情报厂商进行合作,我们认为,不管是把这些情报直接灌输给需要的安全产品,还是将数据提供给情报厂商,这实际上都是将安全能力赋能给相应的场景的过程,只要是对安全有价值的这种方式,我们都会去考虑。”