过去一年,攻击面管理(ASM)市场迅速打开,相关的技术探讨和行业热度持续攀升。放眼国际,Gartner、Forrester等咨询机构轮番推荐,微软等行业巨头积极投资并购以补齐对应能力;看向国内,一批新兴厂商调整姿势切入赛道,多家头部综合厂商着手布局相关业务,重点行业实践应用开展得如火如荼。
但企业在考虑及落地ASM时面临诸多障碍,热烈的关注和更多参与者的涌入,多番定义并延展了ASM的概念,越来越多的基础能力、技术体系被纳入其中,更有一些新兴名词抢占眼球,市场上组合包装出各自不同逻辑体系下的产品及方案,给企业理解和选型蒙上迷雾。在此,我们邀请到国内ASM赛道的头部玩家华云安创始人沈传宝先生,帮助厘清ASM的内涵外延,观察分析市场未来的发展趋势。
内外视角的ASM 都是从攻击者角度洞悉一切
站在企业用户的角度,ASM的应用场景可以分为内部视角和外部视角两类,即网络资产攻击面管理(CAASM)和外部攻击面管理(EASM)。沈传宝指出,CAASM与EASM两者各有侧重,同时技术与用例存在一定重叠,这可能导致用户混淆和难以决策。
· CAASM
长期以来,企业在资产安全性管理、漏洞管理方面的需求一直存在,企业安全管理员正是从内部视角梳理、管控潜在风险。近年来Log4j等一系列漏洞事件产生的深远影响让大家遗憾地认识到,自身对组织数字资产的暴露情况了解甚少,容器、SaaS 应用、IoT设备以及混合办公环境的大面积铺开,进一步扩大了企业的资产暴露面和风险弱点,推高CAASM成为更多企业的基础性安全需求。
自然地,这种朝着主动安全的转变往往发生在早有安全建设积累的企业身上,多年的投入和运营仍然让其在攻防演练或安全事件之中暴露出问题。因此,相较于传统的内部资产管理方案,CAASM着重强调站在攻击者视角从内部全面盘点组织的资产、数据和基础设施,分析攻击面带来的风险以及现有安全控制体系的不足,逐渐形成了从检测发现、分析研判、情报预警、响应处置的完整链路,达到扫除盲区、补齐短板、持续运营的作用。
这正是CAASM的核心价值,其承接了最为普遍的企业内部安全管理需求,并顺应数字化发展和严苛的安全形势提升安全运营能力,成为一个潜力巨大的市场。
· EASM
EASM转换为从外部视角发现组织的数字资产,建立资产和风险清单后,对风险进行优先级排序,采取响应手段收敛风险,形成常态化攻击面管理和运营,提供采集发现、弱点检测、风险评估、风险收敛以及持续监控等安全能力。
EASM市场在近两年迎来爆发式增长,外部视角的优越性在于,基于互联网对企业的资产暴露、数据泄露、弱点风险等进行监测,对组织IT架构等各方面几乎没有依赖性,易于提供标准化的、轻量级的、非侵入式的SaaS产品,用户接受度较高且使用效果明显。
把安全建设及运营与体检就医相类比,望闻问切、抽血化验、脏器检查等针对个人身体内部病变的检查类似于CAASM,是一种基础、必需但是复杂的步骤,且针对依赖于医生的专家经验和分析判断。而EASM类似于扫描、拍片,机器从外部观测并输出标准报告,若身体有问题一目了然、立竿见影。
ASM技术发展趋势——聚焦资产 拥抱云端 完整闭环
落到用户关心的实施流程上,结合上述阐述,不难发现CAASM与EASM采取的方法论和步骤是贯通的,首先识别发现资产和风险,接着分析风险优先级,然后进行收敛、处置,以实现持续的监控和运营,因此其囊括的技术能力也有很大程度的相似。
沈传宝认为,无论CAASM还是EASM,都是从攻击者角度发现问题并补足安全能力,区别只在于部署位置的不同,或采购方式的不同,随着企业资产的高度数字化、全面上云,内部与外部的边界会越来越模糊,未来,用户只会关注这是一个本地化部署的系统还是部署在互联网云端的ASM解决方案。
因此,「资产」始终是用户采用ASM时考虑的重点,存在组织内部的以及暴露在互联网上的缺一不可,ASM究竟能不能发挥理想中的效能,则聚焦到方案架构中涉及的诸多安全能力点,这是所有供应商必须回答用户的问题。鉴于ASM已成为一个技术融合架构,沈传宝表示,单一供应商要建成所有的安全能力,并且保证每个单点能力都格外突出并不现实,同时随着数字基础设施的加速扩张,ASM的技术发展趋势也逐渐明晰:
资产识别能力将更依赖于第三方集成。横向来看,IT资产正扩大为数字资产,类型和数量愈加庞杂,包括但不限于应用、IP、端口、域名、数据库、源代码、云服务、IoT设备、数字证书,很多以未知资产、影子资产的形式存在,供应商需要提供与更多的第三方产品的API集成接口,获取完整的资产发现能力。
主动探测叠加被动监测并朝向云端进发。纵向而言,单一的资产识别能力过去对应的是「扫描」,通过主动探测去发现各种资产及漏洞弱点。同时,还需要叠加被动监测能力,从流量中发现攻击主客体,IP、端口以及影子资产等信息。伴随云化设施的普及,针对及适配容器、云原生应用的资产识别需要跟上。最终,需要提供与安全工具的API集成接口,实现后续的分析、预警及响应步骤。
BAS技术将补齐攻击面管理能力闭环。并非所有资产暴露面都可以成为攻击面,还需要叠加攻击向量,即资产、人员、业务流程中存在的安全弱点和缺陷,可能成为攻击者利用并造成损失的潜在风险。如何判断可利用的风险?入侵与攻击模拟(BAS)通过自动化模拟外部和内部、横向移动和数据泄露等威胁向量,找到网络及系统中存在的疏漏和失效点,对攻击影响进行评价,并测试防御策略的有效性。
从理念到流程到工具 ASM是持续风险管理的最佳实践
拆解了ASM的内涵目的和技术能力点,这让我们顺势想到,能够推动行业和社会进步的永远是创新,无论理论还是技术。
早于ASM等概念诞生及流行多年,Gartner在2014年就提出了自适应安全架构(ASA),以及2017年之后业界更为熟悉和更多采用的持续自适应风险与信任评估(CARTA),强调以持续监控、分析和评估为核心,构建一个信任的、弹性的IT环境。2022年中,Gartner发布了《实施持续威胁暴露面管理(CTEM)计划》,提出一种集成的迭代方法,优先考虑潜在的处理方法,并不断完善安全态势改进。
ASM与其一脉相承,为上层框架和方法论给出了可执行的最佳实践。沈传宝对此表示赞同,ASA与CARTA作为一种理论思想,在早期提出时并未获得广泛响应,云大物移智时代不可避免地到来,安全供应商和企业用户纷纷参照CARTA模型不断优化过时的安全架构。
CTEM计划列出了一套流程和功能,正可以对应前述思想的实施,其周期包括五个必须的步骤:确定范围、发现识别、优先级、验证和采取行动,构建CTEM计划的企业使用工具对资产和漏洞进行清点和分类,模拟或测试攻击场景和其他形式的态势评估过程和技术,达到成熟阶段,使企业能够持续和一致地评估自身数字和物理资产的可访问性、暴露面及可利用性。
显然,CTEM并非工具,而是一种「程序」。不言而喻,ASM正中其核心,下沉到产品和工具层面直面用户提供了最优解。
继续下沉,我们也可以看到,ASM体系下的诸多功能,与检测与响应技术体系如EDR、XDR,以及SOAR等安全运营体系存在一定的交叠,这些技术产品在过去一年的市场表现同样大放异彩。
沈传宝表示,技术之争是供应商视角的关切,对于用户来说,能解决问题就是好的,其关切点在于安全业务需求——即我存在什么风险,我应该如何应对?相关技术与架构体系的应用越来越被关注,恰恰说明在市场上得到了有效验证,切中了当下的核心需求。安全问题始终绕不开威胁的检测发现,分析研判,和响应处置,这便是理念上的相通之处,涉及到的底层技术,自然会存在交叉,回归到各自的逻辑体系中,会有更明确、清晰的实践路径。“安全是目的,我们的角色,是提供卓越的方法和工具。”
以华云安的长期规划 观ASM赛道的未来发展格局
说回最实在的工具,华云安作为国内最早一批聚焦于ASM并开辟培育其成为一条主流安全赛道的安全厂商,在三年时间里相继推出了定位于CAASM、ASM和BAS方向的三款产品,完成基于云原生架构的攻击面管理整体产品体系的构建。
公开消息显示,华云安已于近日宣布完成B轮融资,强调将进一步打造ASM + BAS产品创新力,引领市场发展。结合前述的ASM趋势前瞻,沈传宝为我们阐述了华云安的具体规划,这份独家布局或许也恰巧呈现了ASM赛道的未来视野:
体系架构:持续打造原子化安全能力平台。用户侧无法形成统一的安全需求和标准模式,技术架构需为商业模式服务,充分考虑弹性、冗余和高性能,达到敏捷且易用的效果。华云安打造基于云原生的原子化安全能力平台,以微服务的方式提供不断迭代的安全能力,平台化架构让多个产品既可以独立提供各自的安全能力,也可以将原子化的安全能力编排成攻击面管理的整体解决方案。这是华云安可持续发展的长期技术目标,也是未来重点发力方向。
应用场景:面向用户业务场景提供最佳实践。技术能力的庞大和深邃终归只是自说自话,深入用户具体的业务现场和使用场景,不同行业存在明显的差异性,而相似的客户需求又能聚合出典型的应用场景。华云安产品已覆盖政府、央企、能源、金融、教育、医疗等关键信息基础设施行业,过去一年在电力行业、金融行业、央企领域实现重大突破,后续将继续面向不同的客户需求和应用场景提供闭环解决方案,打磨最佳实践。
体系方法:在安全运营角度进行持续风险管理。安全是一个持续的过程和状态,站在用户安全运营的角度,提供更加务实且有效的系统化威胁管理方法论和产品工具。ASM作为安全运营的创新技术,华云安将持续实施CTEM计划,并结合创新的资产漏洞管理、自动化安全测试、BAS、XTI等,以确保不间断的威胁监控与管理,帮助用户实现不断完善的安全态势改进。
产品布局:拓展云上数字资产攻击面管理能力。在当下复杂的多平台及混合多云环境下,IT资产的物理边界被打破,安全体系必须适应云上环境并有效保护云上数字资产。华云安基于云原生技术构建的安全平台,支撑BAS+ASM三大产品,后续将进一步扩展云的支撑能力,实现云和数字化资产,包括针对容器、云原生应用、API等云环境的ASM能力及产品支撑力,逐步覆盖CSPM/SSPM市场,实现全面而持续的风险管理。