资产测绘与攻击面管理助力构建数字化安全运营体系

首页 / 业界 / 资讯 /  正文
作者:钟国辉
来源:万物安全
发布于:2022-12-15
本文系投稿。作者:深圳万物安全科技有限公司创始人、首席执行官 钟国辉。
 
一、数字化转型:时代的“脉搏”
 
《新IT重塑企业数字化转型(2022年)》显示,2021年我国数字化转型中涉及的相关IT服务和解决方案市场总体规模达21,669亿元,未来几年预计将保持20%以上的平均增速,有望在2025年逼近5万亿大关。在此背景下,伴随数字化转型的深入推进,安全运营也从以资产为中心、以业务为中心的传统模式,快速迈向以数据链为中心、多系统协同驱动的全新阶段。在金融领域,人民银行和银保监会于2022年初相继发布了《金融科技发展规划(2022-2025年)》与《关于银行业保险业数字化转型的指导意见》,银行业网络安全体系建设逐步由“局部整改、定期检查”转变为“全面建设、持续监测”,并更为强调安全运营向体系化、常态化、实战化发展,以更快、更好地识别各类资产风险,切实提升安全防护能力。
 
二、数据割裂:安全运营的“原罪”
 
安全运营于数字化转型而言是能力,更是基因。以数据链为中心、多系统协同驱动是安全运营的基础,也是数字化转型的重点和难点。然而,由于历史原因,数据割裂问题普遍存在于银行机构,并严重阻碍了银行数字化转型和安全运营建设进程,主要表现如下:
 
一是资产数据割裂。从时间维度,由于多期项目建设以及资产的动态变化,资产数据的准确性、完整性、实时性无法保障,遗漏或者“脱缰”的资产易成为运营盲点;从空间维度,资产在类别、品牌、系统、平台等方面呈多元化发展态势,数据难以聚合。
 
二是资产数据和安全数据缺少连接,资产与风险动态关联分析能力不足,安全风险无法有效可视,风险感知慢、威胁处置滞后。
 
三是安全数据割裂,脆弱性管理、风险检测、安全防护、响应处置等通常由多个平台操作,安全运营效率较低。
 
从银行角度来看,安全运营通常意义上需要具备三点能力,即事前的网络管理、资产管理、事件采集、漏洞管理能力,事中的事件应急响应、事件分析处理能力,事后的事件追溯能力以及日常的数据联动、工单处理能力,但上述能力在数据割裂的场景下均无以为继。
 
三、资产测绘与攻击面管理:运维转型迫在眉睫
 
1.核心理念

面向新时代,基于数据链的安全运营首先要做到“知己知彼”。“知己”,即全面、实时、完整地掌握所有数字资产;“知彼”,即持续监测资产脆弱性和风险事件。在此基础上,“协同”威胁情报、业务系统平台实现安全事件的分析、响应和处置,将上述一系列能力集成到统一的安全平台上,即是网络空间资产测绘(以下简称“资产测绘”)和网络资产攻击面管理(以下简称“攻击面管理”):
 
“以铜为鉴”,即结合数字资产,从资产属性符合度甄别端点身份信息。资产测绘基于主动扫描探测技术、被动流量分析技术、深度资产发现技术及数据存储与检索技术,支持实时动态采集资产数据进行关联分析和展现。
 
“以人为鉴”:从业务符合度判断风险行为。结合资产测绘捕捉到的资产行为,联动并对比业务系统、协同威胁情报平台,在资产层面实现对事件的安全性评估以及联动快速响应。
 
“以史为鉴”,即基于历史数据,深入分析攻击面信息与攻击行为特征信息。安全的本质是攻防对抗,对抗的关键是信息对称。2021年,Gartner正式提出攻击面管理的概念,即是从攻击者视角,审视所有网络资产被攻击利用的可能性。笔者认为,攻击面管理更关注资产脆弱性,当攻击者面对海量资产信息时,一定会寻找其中的脆弱点进行载荷投放,再以此为跳板,寻找新的脆弱点发起下一轮攻击。对此,攻击面管理通过与不同的第三方系统对接,实现多源数据融合与安全能力聚合,并根据资产脆弱性进行风险评估,确定优先级。在此基础上,安全人员根据攻击面分析,还可通过基于攻击面管理的统一操作和协作平台进行快速响应处置,收敛所有可能被攻击的入口。
 
2.典型场景

相比于攻击者只需找到一处弱点即可完成突破,防守方通常需要全面兼顾,而引入资产测绘与攻击面管理技术,有助于构建更为完整的安全运营体系,实现全面的一体化防御。举例来说,将基于上述技术的系统与主机防护系统联动,将可梳理出所有未安装防护客户端的主机,解决防护工具覆盖不全的问题;通过扫描哑终端的操作系统,可快速发现未知的运行于Windows/Linux/Android系统上的哑终端,此类哑终端虽然未按照PC/服务器/手机的安全管控方式管理,却有着相同的安全风险;通过采集PC、服务器、物联网设备的多维度属性,建立统一的安全合规基线,可实现对各种资产的合规性检查;通过采集实时的资产数据,并将其与威胁情报漏洞特征关联,可快速发现资产漏洞,解决传统漏扫系统在面对扫描网段范围大、网段经常变动时存在的漏洞扫描不全问题。
 
3.预期成效

结合工作实际来看,基于资产测绘构建全量资产数据中台,将可实现便捷的自定义搜索与可视化的自定义统计功能,而基于攻击面管理可支持在不同场景下快速获取不同来源的资产关键信息,帮助安全人员高效进行信息过滤、关联分析、联动操作、跨部门协作,进而快速感知安全风险、提高应急响应效率:
 
一是打造汇集全量资产数据与安全数据的分析平台。通过与多个漏洞扫描系统对接并获取扫描结果,结合全量资产数据,可辅助安全人员快速开展对比分析、排除误报,明确处理优先级;同时,通过与EDR终端检测响应系统对接,将可在蠕虫病毒暴发时第一时间获取病毒特征,快速发现所有可能受此病毒影响的设备,并明确具体数量和位置,帮助安全人员快速掌握入侵攻击的威胁半径,及时采取措施进行响应处置;此外,通过查找对比不同维度的资产信息,如设备信息、网络信息、操作系统/固件信息、硬/软件信息、用户信息、资产位置、资产关系图谱、资产调拨记录、资产变更记录、资产安全评分等,可辅助科技运维和安全运营。
 
二是打造聚合安全能力的操作平台。通过基于攻击面管理的系统与第三方系统联动,有助于获取不同的安全能力和联动处置能力,进而为安全人员和运维人员提供统一的操作平台,实现对风险的快速响应与处置,进一步提高工作效率。
 
三是打造自动化的跨部门协作平台。通过基于攻击面管理的系统和不同的工单系统对接,可实现自定义的任务编排,并与对应的工单系统联动完成自动化处理,进而实现跨部门的协同操作,大幅提高安全团队的业务效率。