为了更好的解决网络安全问题,互联网头部企业、第三方咨询调研机构、专业网络安全企业会经常更新安全方法论,以期望解决信息化发展不断变化过程中暴露出的新威胁。攻击面管理(ASM,Attack Surface Management)就是咨询调研机构Gartner从网络安全运营角度总结梳理出的全新安全方法论,该理念于2018年被首次提出,在2021年7月,Gartner更是将攻击面管理相关技术定义为网络安全运营技术中的新兴技术。
在Gartner助力推动下,最近几年的国际网络安全市场上,攻击面管理作为站在攻击视角的新一代网络安全解决方案,已发展成为全新的热门赛道。越来越多的安全企业正积极拥抱该理念,在国际市场上,我们时常也会看到头部企业正通过投资、收购早期专注攻击面管理创新企业,以迅速实现相关能力组建。与此同时,国内也开始涌现出不少积极投身攻击面管理领域的初创企业,北京零零信安科技有限公司就是其中之一。
此前Gartner曾对攻击面管理作过细分定义,分别由网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)以及数字风险保护(DRPS)三部分组成。据了解,零零信安作为目前国内外部攻击面管理(EASM)赛道的唯一参与者,已率先推出了SaaS版外部攻击面管理产品,产品服务化能力已经打通。那么外部攻击面管理能为客户带来哪些价值,在技术上他们又是如何落地的?带着这些问题,安全419与零零信安联合创始人/CTO蒋佳良展开了深入的交流。
站在攻击者视角开展日常主动防御 是EASM核心价值的体现
蒋佳良告诉安全419,零零信安创始团队均来自于国内一线网络安全企业,他们选择外部攻击面管理作为公司发展方向,源于自身与方法论高度匹配的技术能力,以及客户在多场景下的网络安全真实需求。
从创业至今,依据自身在攻击面管理领域的系统梳理和实践经验,零零信安对攻击面管理系统(产品及解决方案)做出如下定义:
“将组织机构与其不断发展的数字足迹进行映射、与漏洞情报数据进行关联,并持续发现业务数据和代码泄露、组织机构和人员信息的泄露、以及对供应链的攻击面进行检测,通过对全球开放网络和非公开网络的数千个情报源、数百亿量级数据、本组织自身业务上下文等进行大量数据采集和弱点优先级分析,为组织机构输出攻击面情报,以提供给本组织更高级别的主动防御。”
随着当前IT环境愈加复杂,以及全球各行业网络安全事件频繁发生,企业的安全团队正面临前所未有的日常运营压力,以事件响应的网络安全机制不再适应现代企业的信息化发展,他们正开始转向寻求主动防御。蒋佳良直言,要想做好主动防御,外部攻击面管理是必不可少的,甚至可以将其视作为网络安全主动防御的重要组成部分。
“企业对未知威胁获知的越早,安全防御的成功率就越高,零零信安EASM产品会将企业暴露在外部的风险(数字足迹)与企业之间的映射,来构筑整体的攻击面查询,提升未知威胁的可见性,从而帮助企业和组织建设主动防御能力。”据悉,零零信安已推出名为0.Zone的国内首款外部攻击面管理(EASM)产品,已经可以做到对包括信息系统、移动端应用、敏感目录、电子邮箱、文档、产品代码、供应链、暗网情报、人员以及组织等可导致形成攻击点的潜在风险进行查询。
零零信安的外部攻击面管理(EASM)技术落地实践与优势
据了解,零零信安现有的EASM产品结合了数字风险保护(DRPS)解决方案与全面的ASM相结合,从而构筑完整的攻击者视角,同时配合弱点与漏洞优先级技术(VPT)形成全局风险管理能力。实现EASM技术落地最大难点是产品的能力打通,它被包含在产品各个组件当中,其中最大的难点是“数据”,具体表现为覆盖更多风险所需的庞大数据体量。
蒋佳良表示,EASM技术的组成部分需要大量数据支撑,这要求具备海量数据的采集能力,采集之后还要对数据进行关联、分析和研判,从而挖掘出针对企业的不同风险点,并将其汇聚呈现为风险面。如果这一底层能力没有得到夯实,产品或解决方案实用的价值就会大打折扣。
蒋佳良告诉安全419,ASM理论框架的提出,正高度适配他们能力。所以以下即是零零信安EASM具体的技术落地,同时也是零零信安EASM产品的主要核心优势:
第一,零零信安团队出自攻防一线,具有丰富的网络对抗经验,其创始团队成员曾组建过国内顶级攻防团队,对有组织的政治型或者商业型黑客各种攻击手段了如指掌,可以更好的站在攻击者视角提供基于实战对抗的主动防御;
第二,零零信安具有全互联网大规模(包括开放网络、非公开网络)数据采集能力,并已将该能力产品化为零零信安核心引擎系统,该系统智能数据集群以每秒十余万数据和每天数千万文件的情报采集和风险分析能力添加到项目数据池中,得以不断夯实EASM产品的底层能力,并已形成了自身的核心优势;
第三,零零信安具备企业IT资产、移动应用(APP、小程序、公众号)等相关暴露面排查能力,基于数万条指纹和数据探针,全面识别企业IT资产、开放服务和各类业务系统,从而辅助企业精准获悉哪些IT资产或暴露的影子资产存在潜在安全威胁;
第四,长期的技术实践能力与丰富的市场化经验,也使得他们具备对大量结构化和非结构化数据的处理能力,结合机器学习能力和经验,以及安全可视化能力,在具体应用时,这些能力将会更好的梳理风险面和呈现风险面。
蒋佳良指出,未来攻击面管理技术的落地应用还会从需求应用角度进一步融合发展,还会延伸涉足扩展威胁情报(XTI)、持续红队攻击测试(CART),以及数据安全保护技术等等,从而带来更加丰富的技术落地产品和解决方案的实现与应用。而有了以上底层能力,在技术的兼容性与扩展性方面零零信安将占据优势地位。
外部攻击面管理(EASM)具体的应用场景
蒋佳良指出,从场景应用来看,零零信安的EASM产品适用面会非常广泛,如果简单总结,则主要体现在以下三个方面:
第一,随时可输出安全报告,帮助企业及时有效的收敛自身外部攻击面。
企业安全团队在开展日常安全运维工作中,可以随时调用零零信安的EASM产品,从而生成外部攻击面安全报告,安全运营团队可以根据报告呈现出的风险进行相应的整改,对暴露的攻击面进行提前收敛,从而提前规避潜在的安全事件发生。
第二,对接企业自身已有的安全自动化平台,实现整体安全运营闭环。
零零信安的EASM产品将会提供安全对接能力,比如SOAR(安全自动化平台)及类似产品的自动化对接,能力对接之后会形成整体安全运营闭环,在安全运营过程中实现自动化编排,自动化响应。该项能力是提升运维生产力的重要部分,据了解,零零信安目前正在积极推进这一对接能力。
第三,将海量扩展威胁情报输出给企业安全产品,为企业进行综合风险分析做支撑。
零零信安的EASM本身可以输出威胁情报数据。同样也可以被安全产品所集成,作为海量威胁数据源的一部分。这也是作为扩展威胁情报的重要组成部分,除了可以集成在安全产品一侧,还可以提供给情报厂商。(扩展阅读:零零信安王宇:EASM技术将弥补传统威胁情报在风险预测数据方面的空白)
从以上应用可以看出,EASM产品本身提供的是威胁发现与汇总,所以这一解释也将产品应用点会向两大方向延伸,一个是企业基于主动防御的安全自动化能力的建设,一个是EASM在安全生态上的价值作用。事实上,当这一技术在国际上迅速发展之时,一些该领域的初创企业也快速进入了头部网络安全企业的视野。
据蒋佳良介绍,零零信安首款外部攻击面管理(EASM)产品0.Zone已经以公测形式向用户开放,该产品采用了SaaS模式,用户可以直接访问 https://0.zone 进行体验,同时未来零零信安还将对其进行持续打磨和优化体验,也会带来更加丰富的技术实践。