5月6日,2022网络安全运营技术峰会(SecOps2022)圆满举行,会议以“数字时代,安全从攻击面管理开始”为主题,汇聚国内知名咨询机构、权威专家、企业领袖,聚焦于数字时代攻击面管理技术创新与实践,探索网络安全运营技术突破的新方向,推动网络安全行业的变革与发展。国内首份《中国攻击面管理市场白皮书》于会上发布,全面梳理可解释的攻击面管理概念、市场现状、攻击面管理产品特征与体系、行业实践及发展趋势。
在我们此前的访谈节目《畅聊安全》第一期中,我们已经对攻击面管理有了一个比较全面的了解,其中就提到攻击面管理本身就包含有网络空间攻击面管理(CAASM)以及外部攻击面管理(EASM)两个大的方向。在本次会议中,来自零零信安的王宇则基于自己投身于外部攻击面管理领域的探索、实践经验,向观众分享了其对该技术领域在当前面临的挑战以及未来的发展路径。
在发言中,王宇指出获得攻击者视角仍然是外部攻击面管理的最大挑战,其具体表现在为覆盖更多风险所需的庞大数据体量。
在《畅聊安全》·第一期节目中,王宇曾表示相比网络空间攻击面管理更多强调产品力不同的是,外部攻击面管理更多是以一种数据服务的形式提供给组织、企业的。这意味着,数据量的大小将对其外部攻击面管理工具能力的影响可谓是巨大的,正因如此,这也成为其要面对的挑战之一。
“如果想要把外部攻击面管理做的更为全面,进而可以覆盖更多的风险,那么就要对包括公开网络和非公开网络在内的整个网络进行探测。”王宇分享道,在公开和非公开网络中,暴露、泄露、贩卖的组织机构和人员的业务数据、产品代码、敏感信息、电子凭证、个人隐私等数据,都有可能会被攻击者所利用。
因此,要做到发现这些风险,就必须要把所有可能会产生风险的威胁源全都涉及到。仅就公开网络而言,它包括了全球范围内的IP库、社交媒体、平台应用、代码仓库等等,之所以要对其进行全面的探测,是在于它们都有可能成为组织、企业的风险来源,比如文档的泄露可能是在网盘等应用上发生的,核心人员的邮件地址、手机甚至密码等个人信息泄露可能是在社交媒体上发生的等等,再加上还需要探测的非公开网络,毫无疑问,这将是一个巨大的工作量。
王宇总结道,将外部攻击面管理做到识别风险点更准,覆盖风险面更全,以最终能够获得攻击者视角并审视自身弱点,是当前该技术路线所面临的主要挑战。
王宇在分享中表示,外部攻击面管理的未来也会是按照两个方向去演进,分别是:
一、渗透测试即服务(PTaaS)
“渗透测试即服务并不是传统意义上的渗透测试或攻防演练。”王宇谈道,“它是一种在基于大数据的模式之下,以自动化为主,人工服务为辅的方式,我们将其称之为持续红队攻击测试(CART)。”
这一方式不仅可以将整个攻击测试变得更加标准化,更重要的是在于可以实现常态化。众所周知,传统的渗透测试或攻防演练,少则两三周,多则一两月,所耗费的人力物力也不小,因此对于企业而言,能够保证每年做两次都相当难得,但我们都知道,攻防对抗是动态的,仅靠一年屈指可数的测试、演练去发现问题无疑是不够的,相比之下,通过渗透测试即服务这一模式就可以很好地帮助企业消除这些痛点,通过常态化的CART可以保证及时的发现问题并告知企业,进而帮助企业能够及早处置相关风险。
二、扩展威胁情报数据服务
包括上面所说的持续红队攻击测试在内,外部攻击面管理都是将发现的问题以报告的形式提交给企业,而对于扩展威胁情报而言,则并不只是报告的形式。
“扩展威胁情报实际上是以一种数据服务的形式提交给企业,比如可以给到企业的SIEM、SOC等安全管理系统,也可以给到像XDR、EDR等安全产品,去帮助企业提升自身的情报能力,为其综合的风险分析去做数据支撑。”王宇介绍到。
【关于王宇所提到的扩展威胁情报(XTi),安全419已与其约定会围绕这一话题展开进一步的交流,相关内容会另外单独撰文探讨,敬请关注。】
王宇认为,上述两个方向在外部攻击面管理在发展的过程中,将会演进成为两条独立的赛道,并且可以通过与SOAR、SIEM、MDR等做联动,从而实现从发现风险到处置风险的全面覆盖,进而也实现了从外部攻击面管理产品到外部风险管理解决方案的进化。
在演讲的最后,王宇分享了零零信安在做外部攻击面管理过程中的一些实践总结。
“从外部攻击面管理技术实现的角度看,它需要设置大量的数据探针、大量的网络存储、大量的数据分析,对于我们当前所看到的整个互联网中的数千个威胁情报源,以每天上千万甚至上亿量级的数据进行提取和分析,随后与风险进行关联。”王宇总结道,“在整个外部攻击面管理技术领域中,最重要的是数据采集、数据分析、数据关联和对数据的风险评判。那么不难看出,它实际上不是产品本身的能力,而是数据能力。”
具体到自身实践层面,王宇表示,零零信安旗下的0.Zone是当前国内首款外部攻击面管理(EASM)产品,已经可以做到对包括信息系统、移动端应用、敏感目录、电子邮箱、文档、产品代码、供应链、暗网情报、人员以及组织等可导致形成攻击点的潜在风险进行查询。
0.Zone已正式公测 面向所有企业开放
安全419了解到,0.Zone在经过前期紧锣密鼓的开发和内部测试后已开始公测,用户只需注册0.Zone(网址为:https://0.zone/),就可以通过输入企业名称查询的方式,查看到相关企业的外部攻击面管理的数据,非常方便快捷。王宇最后强调道,0.Zone是面向所有企业开放的系统,因此也欢迎广大企业用户能够来亲身体会一下外部攻击面管理产品的实际效果,考虑到仍在公测阶段,希望使用者在多包容的同时,也能够多向零零信安提出自己的建议。