图/Gartner《外部攻击面管理(EASM)竞争格局》
安全419观察到,华云安作为国内唯一专注于攻击面管理赛道的专业性厂商入选Gartner EASM国际竞争格局报告,为深入了解外部攻击面管理的应用价值与发展形势,近日,我们邀请到华云安创始人兼CEO沈传宝先生,分享其探索思考与实践经验。
外部攻击面管理将融合贯通多方安全能力
随着企业暴露在互联网上的资产和脆弱点越来越多,外部攻击面管理能够从外部视角来发现组织的数字资产中的已知资产和未知资产,在建立资产和风险清单之后,对风险进行优先级排序,采取相应手段进行攻击面收敛,并形成常态化攻击面管理和运营。作为国际上近年涌现的热门网络安全运营赛道,Gartner 报告指出外部攻击面管理逐渐受到各界的更多关注。
在国内,数字化转型的进程使得网络安全防御化被动为主动。根据第三方调研数据,某行业2022年第一季度网络安全招投标数量290项,其中事前防御类项目仅38个,占比13.15%;到2023年第一季度,网络安全招投标数量扩增至405项的同时,事前防御类项目增长至43.3%,达到175个。市场数据反映出更多企业正在朝着主动安全的方向左移进阶,以攻击面管理为核心的持续性威胁暴露面管理正是此类需求的最佳实践。
与此同时,更细分的采购调研数据也显示了,在与攻击面管理相关的主要产品中,用户的预算更多地倾斜在漏洞扫描产品、漏洞与补丁管理系统、网络资产管理系统、威胁情报服务等较为成熟的品类。而随着网络攻防技术的不断创新与演进,大部分客户会将漏洞扫描、威胁情报、资产测绘等安全能力整合应用。
图/数说安全、安在《2023中国网络安全市场攻击面管理产品用户调查报告》
对此,沈传宝认为,单一功能的安全能力或已无法满足企业用户快速增长的安全需求,能够整合既有安全产品与能力,并在此基础之上构建原生的安全能力将成为未来网络安全行业的一大显著特点。这一观点与Gartner 不谋而合。Gartner 指出,未来三年,外部攻击面管理将成为各种安全市场的一项核心功能,这些市场主要与威胁暴露有关,包括漏洞评估、数字风险保护服务、威胁情报和自动化安全测试。随着外部攻击面管理越来越多地纳入其他安全产品及市场,其在企业中的应用将加速。
图/Gartner《外部攻击面管理(EASM)竞争格局》
从Gartner报告看华云安如何“领先一步”作为国内唯一入选Gartner EASM国际竞争格局报告的专注于攻击面管理赛道的专业性厂商,华云安针对外部攻击面管理打造了名为”灵知·互联网威胁监测预警中心(Ai.Radar)”的产品,沈传宝介绍,对未知暴露面的探测发现和攻击面情报的多源聚合和高效分析是外部攻击面管理产品的制胜核心。
制胜关键因素之资产发现能力,灵知打破传统IT资产管理的边界,囊括物联网、摄像头等非IT资产以及网站域名、数字证书、API、敏感数据等数字资产,并且基于知识图谱梳理资产间的关系,标记影子资产、未知资产、老化资产等数据标签,以主动+被动+专家服务的方式,绘制出完整的互联网资产暴露面情况。
对于未知资产的发现能力,对于数字资产范围的覆盖,是灵知与传统的安全管理平台、测绘及评估类产品相比的优势特色。同时,站在攻击者视角搜集信息并识别其关联关系(包括供应链信息、业务关系信息等),也与常规安全防护设备拉开差距。
制胜关键因素之情报预警能力,情报预警的价值是通过早期预警信号来缩短威胁的检测和响应时间。华云安将防御者思维转换为攻击者思维,从攻击者的角度来思考和处理安全问题,创新性将国家级监管通报、实时漏洞情报、攻防工具情报等与外部攻击面管理(EASM)进行结合,利用情报实现从“攻击者可见的外部暴露面->可被攻击的外部暴露面->可能产生安全事故的外部暴露面->真实存在的外部攻击面”的递进分析,消除攻防视角信息差,通过持续识别暴露在外部的数字资产来了解不断变化的外部攻击环境,及早发现弱点和漏洞,先于攻击者进行预警。
基于以上特性,灵知可以实现复杂多样的外部攻击面监测与管理需求:
合规风险检查,例如针对金融行业对数据安全要求,识别是否在公网存在暴露的敏感数据,包括敏感关键词等,从而实现合规性要求分析;
供应链风险检查,针对公网使用的nginx、Web服务器组件,以及需要采购的设备,是否具有漏洞的信息查询,从而影响自身的供应链选型;
云安全合规检查,针对混合云场景是否满足等保合规、配置基线标准,进行公网云安全配置合规性检测,避免因为云环境的配置产生造成业务风险的安全隐患;
攻击视角的安全有效性验证,针对外部网络和内部网络网域划分的合理性以及安全防护设备防御缺陷对自身可能造成的影响进行评估;
暴露面持续性监控,针对员工私搭乱建或未经过报备和审批的公网企业资产进行监控;
先于监管通报的1day排查,消除攻防信息差,帮助企业快速了解来自监管方、白帽论坛的1day漏洞情报,实现一手情报的自我排查,缩短受到1day真空期的时间,降低被监管部门通报批评的风险。
云上+云下 全面而持续的风险管理
如前所述,外部攻击面管理并非独立的产品技术体系,如果我们以发展和全局的眼光看待,其未来还将发生怎样的变迁呢?在刚刚过去的Gartner年度网络安全和风险管理峰会上,其对未来2-5年全球企业组织数字化风险发展和网络安全建设做出趋势预测,指出到2026年,60%以上的企业安全威胁检测、调查与响应能力将通过风险暴露面管理来实现,目前这个比例不到5%。
沈传宝解释道,如今的安全主题正从威胁扩展到风险管理,对应到Gartner提出的实施持续威胁暴露管理(CTEM)计划,其列出了一套流程和能力,使企业能够持续不断地评估企业的物理和数字资产的可访问性、暴露性和可利用性,其周期包括五个必需的步骤:确定范围、发现识别、优先级、验证和采取行动。
华云安的产品体系架构与CTEM理念高度一致,以攻防视角构建一体化攻击面管理安全能力平台,以CAASM、EASM、BAS、VPT、TDR几大产品为支撑,既可独立提供各自的安全能力,又能编排联动形成全面且完整的攻击面整体解决方案。
图/Gartner《实施持续威胁暴露面管理 (CTEM) 计划》
华云安的产品体系架构与CTEM理念高度一致,以攻防视角构建一体化攻击面管理安全能力平台,以CAASM、EASM、BAS、VPT、TDR几大产品为支撑,既可独立提供各自的安全能力,又能编排联动形成全面且完整的攻击面整体解决方案。
沈传宝进一步从网络安全的底层架构为大家梳理了华云安的理想版图:
以本地化部署为主的云下业务,以基于知识图谱的安全风险库为底座,以资产攻击面管理和外部攻击面管理两大平台作为具象的产品,通过主动、被动、侵入式、API形式的四类探针,为用户提供包含攻击面管理、安全验证、自动化防御等多类视角的综合安全能力。由于当前网络安全行业供应商和工具的泛滥态势,华云安提倡以单一平台交付所有安全能力,以满足企业客户寻求单一供应商的诉求和市场发展趋势。
以SaaS化部署为主的云上业务,首先基于外部攻击面管理产品,实现以情报的方式来交付安全能力,对于多源数据的采集、分析、关联和对数据的风险评判是核心要素;并进一步以服务的方式来交付攻防能力,如渗透测试即服务(PTaaS),在基于大数据的模式之下,以自动化为主、人工服务为辅实现常态化的攻击测试;另一方面,资产攻击面管理后续将进一步扩展云的支撑能力,包括针对容器、云原生应用、API等云环境的攻击面管理能力及产品支撑力,并逐步覆盖云安全态势管理市场。
“CTEM计划最终既要支持本地化场景,也需要覆盖云化、数字化的场景,未来,我们将以云上云下单平台交付所有安全能力,实现全面而持续的风险管理。”沈传宝说道。
不言而喻,云计算、SaaS应用以及远程办公的增长持续扩大攻击面,基于风险的安全管理思维的转变,正是从单点防御、依托合规转向持续地降低总体风险水平。以EASM为重要组成部分的CTEM计划为我们提供了最佳实践方法,在华云安的产品体系构建下,将站在整个企业的高度评估重要资产,系统性识别企业面临的威胁并划分优先级,不孤立考量各个安全控制措施,而是更清晰地展现弱点的位置和被攻破的可能性,依此不断优化改进安全机制,从更全面、更长远的角度看清威胁态势,匹配业务目标而持续保持更安全的状态。