近期,咨询机构赛迪顾问发布《中国攻击面管理市场研究报告》,安全419关注到,报告选取华云安等国内外攻击面管理领域代表企业,分析了中国攻击面管理市场的现状和特点。我们邀请到华云安技术总监吴璇,立足于攻击面管理的本土化洞察与实践,探讨攻击面管理在新一代网络安全防御体系中的能动作用。
国内企业的攻击面管理体系建设尚处于初级阶段
根据报告,攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行监测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法。而攻击面并不简单等同于漏洞,是未经授权即能访问和利用企业数字资产的所有潜在入口的总和,即存在可能会被攻击者利用并造成损失的潜在风险。
吴璇表示,任何安全理念或框架的提出和应用,都是顺应安全形势和需求的变化而发展的。在网安法实施以前,企业安全建设及管理普遍采用被动响应的方式,以1994年发布并于2011年修订的《中华人民共和国计算机系统安全保护条例》为开端,等保1.0及2.0广泛应用于各行业指导企业开展信息系统安全等级保护的建设整改、等级测评等工作。
随着数字化基础设施加速发展,企业面临的攻击面也随之扩大,尤其是国家自2016年以来举行大型攻防演练活动,推动企业安全建设从合规驱动阶段逐步过渡到实战驱动阶段。攻击面管理强调“获得攻击者的视角”,在真实的网络空间攻防较量中,成为一种更主动、更立体、更贴合现实需求的有利战法。
攻击面管理总体框架
图/《中国攻击面管理市场研究报告》
遗憾的是,虽然攻击面管理已逐步获得认可,但大部分企业仍处于接触概念的初级阶段。根据华云安的市场观察和实践,依赖基础安全设备开展安全防御工作是目前国内企业的普遍现状,并未主动进行暴露面获取、脆弱点发现工作,同时也不具备内部和外部攻击态势以及攻击影响评价能力。少部分企业具备初步的攻击面挖掘与定位能力,但可能无法区分出弱点的优先级、无法测绘完整的攻击面。图/《中国攻击面管理市场研究报告》
吴璇同时强调,攻击面管理体系是一种开辟式革新的安全框架,它更像一种新兴的方法论,一个技术融合的架构。底层基础支撑包含检测发现、分析研判、情报预警以及响应处置等方面的技术,可以有效整合为网络资产管理、脆弱性评估、自动化渗透测试、漏洞优先级评估、扩展威胁情报、扩展监测响应、业务风险管理等安全能力,并组合形成丰富的攻击面管理产品。
因此,许多践行主动防御、以攻促防思想的企业已经在一定程度上积累了相关安全能力,建设攻击面管理体系并非将现有安全体系推翻重来,而是在天然地融合、盘活已有能力的基础上,按照攻击面管理成熟度阶梯逐步推进,通常是工具先行,再补上平台进行集中管理,进而扩展到基于业务风险进行动态的安全运营。
华云安攻击面管理:以原子化安全能力平台提升安全防御价值
作为报告选取的代表性厂商,华云安是国内最早提出以攻击者视角构建攻击面管理产品体系的厂商,吴璇表示,华云安企业建设攻击面管理体系的策略是构建了一个基于云原生架构的、弹性、冗余的高性能平台,灵活提供能够适配企业不同阶段、不同需求并不断迭代的安全能力。
吴璇介绍,平台具有两大核心技术——安全风险库和人工智能引擎。安全风险库即为一个基于知识图谱的扩展威胁情报(XTI),通过结合人工智能和行为模式匹配技术,不断地发现恶意活动,为平台输送诸如漏洞信息、暗网信息、威胁情报、攻击样本、武器载荷、恶意组织等等兼具深度和广度的数据与情报信息。据了解,该安全风险库目前已拥有30+个漏洞情报数据源,1000+数据采集节点,50亿+图谱化实体关系模型,月处理情报信息10万条,帮助客户实现威胁和攻击面可视化管理。并且随时客户覆盖越来越广泛、数据越来越丰富,将实时更新成为平台更加丰富、更加强大的底层支撑。
人工智能引擎通过安全风险库提供的丰富的数据和情报信息,结合华云安长期积累的漏洞挖掘、攻防对抗能力,将人工智能与攻防对抗相结合,实现集目标分析、战法推演、路径决策、智能调度于一体的场景化AI模型。目前已积累100+人工智能模型、4000+公开和自研漏洞PoC/Exp、100+面向实战的单兵工具,可以完成智能目标识别、智能路径决策、智能战法推演等功能。相应地,通过安全能力的逐步叠加、AI模型的逐步丰富,平台的整体能力也将逐步提升。
如此一来,平台可以通过整合以及拆分,来提供攻击面管理体系中通用普适的、满足最小需求的功能模块,如网络资产管理、脆弱性评估、自动化测试、漏洞优先级评估、扩展威胁情报、扩展为谐响应等等。通过云原生的微服务技术,再结合不同客户具体的业务需求,灵活组合这些安全能力单元搭建成相适应的解决方案。
对于客户而言,用一个平台就覆盖了所有安全能力,这里的能力既包括整合既有的、满足现有的,也涵盖未来通过安全风险库不断增强的共享能力,和通过人工智能引擎不断迭代的对抗能力。吴璇表示,平台集成了自适应安全防御框架(IACD),因此也可以理解其为一个跨应用场景的统一安全框架,通过不断迭代的安全能力和自动化的威胁响应,来提升改变网络安全防御的及时性和有效性,敏捷且易用。
前面我们谈到,华云安通过该平台进行整合或拆分,可以提供攻击面管理体系中多种通用且普适的安全能力,对应着不同的应用场景。报告亦提及,企业建设攻击面管理体系,通常是先推进相关技术工具。因此,企业用户更习惯站在业务场景的角度来思考攻击面管理的价值,吴璇表示,从产品视角来看攻击面管理,华云安准确把握市场需求,重新定义了资产管理、漏洞管理、安全情报及响应处置,打造了面向网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)、入侵和攻击模拟(BAS)等典型场景的产品解决方案。
定位CAASM的灵洞·网络资产攻击面管理系统将企业网络空间攻击面管理过程中的攻击者视角信息和防御者视角信息,通过安全分析引擎、数据分析引擎进行统一整合,以主动扫描、被动监测、情报预警和自动化评估等多种手段及时发现内外部数字资产攻击面,并进行分析评估和响应处置。可面向集团型或多分支的机构收敛网络攻击面,以及面向各行业物联网泛终端管理资产攻击面,满足安全监管和漏洞管理的需求。
定位EASM的灵知·互联网情报监测预警中心基于华云安安全风险库、企业暴露面数据源、托管服务及安全服务三类数据源,以攻击者思维定向梳理、发现企业未知资产暴露面及脆弱性,通过“主动+被动+服务”形成具有即时性、可定位性、可追溯性的暴露面测绘图,持续监测网络安全态势。可面向企业和组织机构先于攻击者发现和收敛外部攻击面。
定位BAS的灵刃·智能渗透与攻击模拟系统通过自动化和人工智能的技术,以攻击者视角,模拟攻击者可能进行的攻击链路,测试系统的安全性和防御策略的有效性。可满足企业和组织常态化攻防演练的需求,依赖少数安全专家即可完成对靶站环境的模拟攻击测试,仿照攻击者意图进行智能对抗,基于实际实现风险进行漏洞影响性评价。
以上产品的详细功能和客户价值可以参见安全419报道《华云安:用攻击面管理实现持续数字风险管理的最佳实践》。
未来的攻击面管理需要更加智能化、自动化
在数字化的进程中,网络安全技术体系和应用场景都在不停更迭,最明显的变化是网络安全逐步由重视建设进入到重视运营的阶段。攻击面管理作为安全运营的创新技术,承载了安全行业的部分发展趋势和用户市场的高度期待。
吴璇分析,在攻击面管理体系建设中,企业及机构最迫切的需求是提高对风险的可见性,并能做出及时有效的处置。对应的能力要求覆盖检测发现、分析研判、情报预警和响应处置各环节,但这绝非一日之功,自动化、智能化技术是攻击面管理发展的一大趋势。
以最基础的发现、分类和管理所有资产来举例,资产的定义和边界正随着数字技术的普及、虚拟化云场景的应用无限扩大,API、数字暴露面等数字资产,影子资产、供应链资产等未知资产成为关注重点。在资产的发现和呈现方式上,引入机器学习、自然语言处理NLP等方法将有效缩短探测时间并提高识别准确性。
同理基于知识图谱结合人工智能模型进行海量数据分析,可以有效提高威胁检测和安全风险分析效率,并可根据结果通过SOAR自动化技术进行攻击面的快速收敛和安全响应,在显著提升效率的同时降低人员成本的投入。
也正是因为广大的腰部及中小企业客户群体缺少做安全运营的能力,网络安全商业模式逐渐朝向“安全即服务”的形式发展,攻击面管理体系需要以低门槛、更易用、灵活可配置的方式提供持续进阶的安全能力和一致的体验,智能化技术、自动化编排、自适应架构无疑是未来的重要趋势。同时,向跨领域、跨技术平台的新兴场景的积极扩展,与第三方供应链安全、业务风险管理的持续融合,将使得攻击面管理的覆盖范围和环节更加全面、完整、精确,真正基于真实的风险和业务发展需求建立起常态化的安全运营体系。
京公网安备 11010802033237号
