如何防范网络中“未知的未知”风险? 获取攻击者视角或是唯一答案

首页 / 业界 / 资讯 /  正文
作者:laos
来源:安全419
发布于:2022-11-07
作为防御者,你必须要保证你在所有的时间都不会犯错误,至于攻击者,只需要把事情做对一次,那么这场攻防对抗的较量其实已经宣告结束。因此,对于企业尤其是IT、安全相关的团队或人员而言,较为有效的方式就是能够尽早地发现自身弱点并弥补,降低它们被攻击者发现并成功利用的概率。
 
在这一状况下,偏向于主动防御且更注重实战对抗的攻击面管理(Attack Surface Management,简称“ASM”)理念无疑是当前值得关注的方向。如果综合遭受攻击的潜在成本以及可能因攻击事件爆发导致的严重后果,就会发现攻击面管理无论是在效果还是收益方面都具有不小的优势。
 

关于攻击面管理,在Gartner此前发布的《2022中国网络安全技术成熟度曲线》中指出,识别网络资产,了解资产的脆弱性和潜在的攻击方式尤为重要。ASM使企业从内部管理和外部攻击者的角度,解决资产和漏洞可视化的难题,并基于优先级计算指导防御人员进行主动防御。ASM帮助安全和风险管理(SRM)团队识别潜在的攻击路径,并指导开展安全控制措施的改进和调整,提高整体安全防御水平。


可以看到,网络资产的识别被着重强调,对于任何企业而言,要想做好安全建设,这一点都是不可或缺的。一般情况下,企业对于对资产的掌握只限于那些经常使用的,但从安全角度考量,理想情况应是对自身所拥有的所有资产都要有清晰了解并拥有完整而准确的清单,这也意味着任何新设备或是被添加到网络中的内容都要从初始阶段就得到充分的管理。此外,漏洞仍然是个老生常谈的问题,但不可否认的是,当前所存在的漏洞肯定比我们所认知的要多得多。
 
如果上述这些都做不好,那么当未知因素叠加在一起,如“未知的资产中存在有未知的漏洞”,那么所面临的潜在风险有多大也就不难想象。前文所说的攻击者要做对的那件事,就是要发现这些处在企业未知范围的弱点并加以利用,并最终实现一次成功的攻击,最终令企业为之付出代价。
 
因此,所谓掌握攻击者视角,就是要力争消灭这些在防御者视角下的“未知”,甚至是“未知的未知”。对于企业而言,以攻击者视角审视自身将会是对传统安全建设的极大补充,具体操作层面,较为容易的方式主要集中在以下几种:
 
1、 渗透测试。渗透测试这种方法已经存在多年了,对于以攻击者视角来提高安全水平的诸多方式中,堪称老而弥坚,他们利用自身的经验和真实的技术、工具、流程来试图和攻击者一样去寻找企业的漏洞和弱点,相比于许多企业内部的安全或IT团队而言,他们面对安全问题会有一些不同的思考方式,并且也有着不同的心态,这也是通过外部专业团队来做测试的好处之一。
 
但这种方式的弱点也非常明显,因为它仅能反映企业当前安全水平的状况,相当于一个时间点的快照,而不是持续的监测,毕竟企业在发展过程中总是会部署新的设备、系统或应用,甚至包括像整体迁移到云上这种大操作等等,那么这种方法是难以满足需求。
 
但不可否认的是,渗透测试仍然是一个很好的方法,只是单独依靠它是不够的。
 
2、 开源情报(OSINT)。近年来,越来越多的IT资产通过企业网络被连接到互联网中,如果没有妥善保护,这些资产可能会被暴露,也意味着这些数据可以被收集和搜索,这里大家比较熟的如SHODAN搜索引擎、知道创宇的Zoomeye等。
 
这些数据源可以作为开源情报(OSINT)向所有人开放,通过利用OSINT资源,企业可以在IT、OT和IoT设备中查找潜在的问题资产或其他问题。当然,这其中也有一个巨大的挑战,那就是如何将这些公共数据与企业的内部资产列表关联映射,以使其对企业有价值。
 
举个例子,假设企业拥有一个域名,而邮件服务器和该域名相关联,但是否代表就能看出其与在另一个不同的子域名上启动的另一台Web服务器有何关系吗?如果缺少这种对所有子域名及内、外部资产之间连接的可见性,那么想要获取全面且准确的情况将会非常难。
 
3、 外部攻击面管理(EASM)。关于外部攻击面管理(EASM)我们其实也说过很多,它是一种非常好的方法,而且易用的工具也已有(如零零信安推出的0.Zone),它可以观察整个组织的IT组合,包括企业在内部和云端使用的各种系统、平台,同时检测任何潜在的问题或威胁,寻找任何由于糟糕的配置或不安全资产而导致的潜在漏洞。
 
这种方法可以发现并标记以前未知的任何资产,寻找潜在的问题,如未经授权的设备、未经批准或支持终止的应用、开放的端口,或是未经批准的应用程序和域等等。与渗透测试一样,它提供了一个由外向内的网络视图,但相比之下,它完全不会受到时间推移的影响。
 
尽早了解错误配置或漏洞对于在攻击者利用它们之前修复它们至关重要。理想情况下,企业可以结合各种方法来提高可见性,确保持续的安全性,同时,通过自动化的流程更是可以帮助企业的安全或IT团队更有效和高效地做好响应工作。
 
尽管攻击面管理的好处多多,但对于多数企业而言,即便对如何管理攻击面的方法、方式有所了解,但想要从头建立并实现具备攻击面管理能力,仍是一个极大的挑战,因此,引入专业力量来实现有效的攻击面管理,在我们看来,无论是安全能力、水平还是成本收益方面,都能体现出一定的优势。据安全419此前在行业内的沟通调研情况,在攻击面管理领域,包括华云安、云科安信以及零零信安这三家以攻击面管理为主要方向的企业值得关注。
 
华云安:Gartner《2022中国网络安全技术成熟度曲线》报告代表厂商,华云安攻击面管理体系的策略是构建一个基于云原生架构的、弹性、冗余的高性能平台,可以通过整合以及拆分,来提供攻击面管理体系中通用普适的、满足最小需求的功能模块,如网络资产管理、脆弱性评估、自动化测试、漏洞优先级评估、扩展威胁情报、扩展威胁响应等等。通过云原生的微服务技术,再结合不同客户具体的业务需求,灵活组合这些安全能力单元搭建成相适应的解决方案,以进一步适配企业不同阶段、不同需求并不断迭代的安全能力。
 

扩展阅读:《攻击面管理如何为企业提供面向未来的安全价值?》
 
零零信安:Gartner《2022中国网络安全技术成熟度曲线》报告代表厂商,作为专注于外部攻击面管理(EASM)领域的安全企业,零零信安以大数据立体攻防、以攻促防、主动防御、力求取得立竿见影效果的理念,为客户提供基于攻击者视角的外部攻击面管理技术产品和服务,目前已将EASM实现了产品服务化落地,推出国内首个可为甲乙方企业提供外部攻击面能力数据服务产品的在线EASM平台——0.zone。在安全管理、攻击检测、漏洞管理三个场景下,为SOAR、SOC、SIEM、MDR、安全运维(服务);IDS、IPS、NDR、XDR、蜜罐、 CTI、应急响应团队(服务);漏洞管理系统、扫描器、 CAASM、BAS、风险评估(服务)、渗透测试团队(服务)等产品和服务提供基础数据能力,让国内所有安全产品具备外部攻击面/暴露面检测能力。
 



扩展阅读:《零零信安的外部攻击面落地应用 三大应用场景辅助主动防御
 
云科安信:白泽攻击面管理平台将云科安信团队过往所有的攻防技战术和资源浓缩其中,以一种极简的使用方式交付给用户,能够完全自动化地帮助用户持续性地发现和梳理资产暴露面的情况,将包括域名、IP地址、端口情况,web应用、中间件、数据库、组件、指纹等等这些跟目标系统相关的信息详细地展现给用户。同时,该平台还会从应用的视角、关联关系的视角、端口数据的视角将不同资产之间的关联关系进行展示,帮助用户了解到未知的资产暴露情况。在协助用户将暴露面梳理清晰后,白泽攻击面管理平台会在暴露在外的资产中寻找漏洞,对漏洞做可利用性的验证。最终让客户看到在他已知范围和他未知范围内,攻击者能够突破进来的全部路径。


扩展阅读:《云科安信:打造自动化攻击面管理平台 让实战化攻防能力信手拈来