EASM的落地实践 从数据泄露视角看网络安全建设

首页 / 业界 / 资讯 /  正文
作者:闫小川
来源:安全419
发布于:2022-09-16
世界经济论坛《2022年全球风险报告》曾指出,随着整个社会不断向数字世界迁移,网络安全威胁也在不断加剧,掌握主动权的攻击者经常给组织带来数千万甚至数亿美元的直接损失,同时次生灾害所造成的损失更难以用金钱来衡量。
 

 
以完整的网络攻击事件为例,直接损失往往更容易观察,比如因攻击事件造成的系统瘫痪所带来的业务连续性损失,比如某调研机构认为银行业关键业务中断1分钟,就会带来27万美元损失。与之相反的是因攻击所带来的次生灾害通常不容易被观察,比如企业信誉受损,潜在的数据泄露所带来的持续影响等,评估这部分的损失,我们只能采用更加主动的方式。
 
日前,外部攻击面管理厂商零零信安发布了一款名为00SEC-D&D数据泄露报警系统,顾名思义,该系统可以监测组织是否存在数据泄露情况,今天我们就聊聊这款产品的安全价值。
 
为什么要做数据泄露监测工作?
 
有这样两个案例:
 
案例一,发生在今年年初,基于已知的数据泄露,英国陆军在线募兵网站不得不紧急关闭。事件中,有100多名新兵的个人数据被情报人员发现出现在“在线论坛”上公开出售,随后英国国防部责令相关安全部门对网站安全性进行调查。
 
这一事件中,募兵网站被紧急关闭,是基于在线系统可能出现安全漏洞的担忧,由于关闭举措,在此期间英国陆军只能依靠其他办法来征募新兵。
 
案例二,就在不久前,在基于葡萄牙武装力量总参谋部的一次网络攻击后,数百份北约机密文件已被确认出现在“在线论坛”上公开出售。针对此次事件,葡萄牙议会成员对泄露的机密军事文件以及该国情报部门未能及时发现高度严重的违规行为表示惊讶。
 
据报道,该事件将很快举行听证会,披露显示,受影响的葡萄牙高级军事机构使用的是气隙系统,但可能在某些时候他们违反了自己的行动规则。
 
以上两个案例有着相同的既定事实,即对网络安全具有极高要求的组织也难免成为安全事件的主角。从技术上来解释的话,组织通过一定的安全基线建设,可以解决绝大多数的网络攻击,但绝不意味着他们能够解决所有的网络攻击。
 
从整体的网络安全投资管理维度来讲,数据泄露监测工作实际上则可视为解决整体风险当中的“残余风险”的组成部分,从另外一个视角来辅助主动建设安全。
 
当然,对于做好数据泄露监测工作实际上也有着法律方面的合规要求,比如我国的《数据安全法》要求组织对数据泄露进行监测、预警、研判;《个人信息保护法》要求对可能发生个人信息泄露立即采取补救措施,并进行相关通告。
 
对于出海企业而言同样受到各国家地区的相关法律制约,如欧盟《通用数据保护条例》则要求组织在数据泄露事件发生后的72小时内通告监管部门,并提供详细事件报告,违反该法规将企业将最高被处以2000万欧元(约 1.5 亿人民币)或全球4%营业额罚款(以高者为准)。
 
在法律合规方面的典型案例当属Facebook在过去几年时间内经历的一系列数据泄露风波,比如近日他们刚与美国执法机构达成了50亿美元罚金的和解协议,最终“剑桥分析事件”宣告终结。在此之前,Facebook还因多起泄露用户数据事件曾在全球多地遭到处罚,如爱尔兰、巴西、英国等地。
 
也就是说,从法律合规层面来讲,组织不去做数据泄露监测,仅仅依靠对已知的安全事件进行应急响应,将处于被动局面,就很有可能触发高额罚款。
 

 
对于组织能够尽早地发现自身的数据泄露发生,IBM发布的《2022年数据泄露成本报告》则有一定的发言权。该报告指出,组织一侧通常要用277天才能识别和控制数据泄露事件,其中数据泄露生命周期如果超过200天,其数据泄露成本为486万美元,低于200天的话,则会降至374万美元。
 
这就意味着,组织能够提前获悉自身数据泄露的发生,就可以大幅缩减组织因此产生的各项违规支出。
 
综上所述,我们从安全本质、法律合规、成本支出三个维度分析了数据泄露监测工作的价值,但综合解释只有一条,它的价值是正向的。且从公开披露信息来看,全球每天至少发生10起数据泄露事件,考虑真实数据泄露事件要远大于此数字,组织在这方面的投入存在一定高度的必要性。
 
外部攻击面管理技术的落地实践  堪比情报机构的数据泄露监测能力
 
那么组织如何做好数据泄露监测工作,零零信安则从外部攻击面管理(EASM)的视角给出了答案。零零信安00SEC-D&D数据泄露报警系统的正式发布,就可以胜任这一工作。
 
Gartner曾在此前发布《新兴技术:外部攻击面管理关键洞察》中对外部攻击面管理进行了一系列详细的描述,具体包含以下几点:资产的识别及清点、漏洞修复及暴露面管控、云安全与治理、数据泄漏检测、子公司风险评估、供应链/第三方风险评估、并购(M&A)风险评估。
 

可见,零零信安00SEC-D&D数据泄露报警系统实际上正是外部攻击面管理技术的细分能力的落地实践。
 

 
在零零信安召开的新品发布会上,其创始人兼CEO王宇指出,零零信安00SEC-D&D数据泄露报警系统核心能力是可提供全网可视性,无论泄露数据隐藏在全球任何匿名的交易市场、论坛、BLOG、社交网络中,00SEC-D&D数据泄露报警系统均可以第一时间获悉相关信息。
 
“2022.9.12共发现匿名网络资讯信息32,961条;最近7天共发现匿名网络资讯信息858,435条,增长9%;最近30天共发现匿名网络资讯信息2,232,609条。”9月13日,零零信安在“00SEC-D&D数据泄露报警日报【第1期】”中提供了上述数据。
 
以前文的两个数据泄露案例为例,如在零零信安00SEC-D&D数据泄露报警系统加持下,组织将第一时间,且无需外部力量的参与,即可从“在线论坛”获取相关泄露信息。
 
实际上,在上述具体的数据泄露案例中,对于已知的数据泄露发现则归功于情报人员,甚至是他国的情报机构,这一信息也显示了数据泄露全网监测工作对于自身的重要性。
 
从产品化的应用角度来讲,零零信安将这套系统定位两大应用面,其一是企业用户,产品应用仅为自身负责;其二是监管单位,比如各垂直领域内的数据泄露事件的监管。
 

00SEC-D&D数据泄露报警系统

对应企业用户,其价值相对简单,用户可以通过系统7*24小时全网监测,通过全面的智能分析,第一时间为发现组织是否存在数据泄露情况。无论是反向的进一步夯实安全建设,还是对安全事件本身的研判、应急,这一工作都具有主动式的深远影响。
 
对于监管应用而言,在具体部署应用时这套系统本身的能力将被进一步释放。但同时据我们所了解,实际上作为一款安全产品,其实际应用时零零信安方面会采取一定的限制措施,比如限定一定的查询权限,从而杜绝产品能力的滥用问题。
 
据安全419进一步获悉,现阶段该系统应用为查询获取方式,不久之后,系统还将在保留智能化搜索功能,从而满足多场景应用的前提下,升级为主动监测方式。即无需人员间隔实操,系统将以自动的方式运行,一旦监测到监测实体的数据泄露情况,便立即告警通知。
 
此外,在零零信安新品发布会上,另外一款预发布的00SEC-O&S数据泄露预警系统还能够与00SEC-D&D数据泄露报警系统进行联动应用,从而构筑组织整体的数据安全主动防御策略。
 
平台发展 持续升级 扩展应用  大数据智能安全是EASM的核心能力
 
零零信安创始人兼CEO王宇向安全419介绍称,外部攻击面管理的核心能力是将“全量数据”与企业之间形成映射,从而形成大数据智能安全能力。
 

 00SEC-D&D数据泄露报警系统

据悉,零零信安此前推出的国内首款外部攻击面管理平台0.zone,就源于这一核心能力基础之上,而该能力具有一定的壁垒,其分布在数据采集、分析、处理整个链条上。其一也是最直接的体现就是数据量,其二是如何把威胁可视化展现,即映射环节如何打通各场景化应用。
 
到目前为止,0.zone平台在大数据获取与分析方面已将全网数据关联到国内数十万企业量级,涵盖了主要行业应用领域。据王宇分享,这一数据还在持续优化和提升。
 
王宇也向安全419阐述了这方面工作的难点,比如各行业监管体系的不同,会对全量数据关联映射造成一定的阻碍,所以零零信安在技术上做了大量的课题攻关,从而将外部攻击面管理技术顺利落地国内。
 
也就是说,建立在零零信安外部攻击面管理技术核心能力之上的00SEC-D&D数据泄露报警系统以及00SEC-D&D数据泄露报警系统,在未来还将通过核心能力的持续升级,从而不断完善它的全局应用面。


 
在描绘零零信安未来外部攻击面管理产品路线图时王宇表示,从国际上外部攻击面管理发展趋势来看,正呈现扩展化应用趋势,零零信安方面未来将以0.zone外部攻击面管理SaaS平台为核心,持续孵化满足于客户真实场景的细分能力,持续推出更加丰富的多元化外部攻击面数据服务。
 
与此同时,其产品或数据服务除了服务具体的客户之外,还提供开放式的合作能力,比如向生态合作伙伴提供API、数据应用支持,用以填补合作伙伴的能力空白,提升产品安全力。这方面实际上也是近年来安全产业界的普遍共识,封闭将会停滞不前,开放可以令整体产业不断提升。
 
从整个安全产业来观察,面对科技的不断进步及攻击趋势对产业的重塑,创新实际是网络安全的唯一出路,与此同时,技术的创新应用更不能缺乏贴合实际的落地实践。零零信安所处的外部攻击面管理技术赛道是从攻击者视角重新审视网络安全的一项创新,其细分实践能力的落地应用未来几何我们将拭目以待。