攻击面管理近两年在网络安全领域被讨论颇多的一个热门话题,包括我们在内,在过去的一年中也多次强调过在网络安全形势日趋严峻的当下,组织应用攻击面管理的重要性乃至必要性均在提升。
在我们进行的调研过程中,有部分人对于攻击面管理的理解仍然有一些片面,主要体现在将攻击面管理等同于外部攻击面管理,有些混肴。如果单纯的从“攻击面”这个词本身给人的感觉去看,可能很多人会认为它是指暴露在外面的风险点,之所以有这种情况其实并不难理解,因为在绝大多数情况下,“敌人”一词就默认是来自于外部的,但实际上,攻击面是指在一次网络攻击中可以被利用的任何资产,它当然会包含外部资产,可同时也会包括组织内的所有其他资产。
另外,尽管从事攻击面管理领域的安全厂商都在将其产品化的方向上努力,但对于考虑应用攻击面管理组织方面,也不能简单的将其理解为一个产品,因为它是一种多技术融合的产物,我们先不管它具体定义里面应包含多少细分内容,从主要内容来看就三块,分别是外部攻击面管理(External Attack Surface Management,EASM)、网络资产攻击面管理(Cyber Asset Attack Surface Management,CAASM)以及数字风险保护服务(Digital Risks Protection Services,DRPS)。
外部攻击面管理(EASM)是以外部视角发现组织的数字资产,建立一份完整的数字资产和风险清单,进而提供采集发现、弱点检测、风险评估、风险收敛以及持续监控等安全能力。
网络资产攻击面管理(CAASM)则是以攻击者视角从内部全面盘点组织的资产、数据和基础设施,分析攻击面带来的风险以及现有安全控制体系的不足,并覆盖检测发现、分析研判、情报预警、响应处置的完整链路。
数字风险保护服务(DRPS)利用对组织外部网络环境的监测来保护组织数字资产,如监测数据泄露(业务、客户资料等)、企业数字资产盗用(内部信息、版权信息、商标、产品资料等)等,并通过配套的服务提供快速响应,实现对事件发生前的预防以及发生后的及时阻断。
其实通过上述内容不难发现,数字风险保护服务和外部攻击面管理之间在功能和目的上有一些重合,这其实也是攻击面管理的一种扩展,Gartner在2021年就预计,到2023年底,超过50%的DRPS供应商将增加EASM功能,以作为其数字足迹功能的自然扩展(源自Gartner:《Competitive Landscape: Digital Risk Protection Services》)。
侧重实战的主动防御能力建设 攻击面管理不可或缺
其实这个话题我们以前也讨论过多次了,但我们认为在这里依然值得强调一下。近些年来,每一个和网络安全相关的人都能够感受到一个明显的变化——安全开始从早先的合规建设转变为侧重于实战能力建设,换句话说,就是从传统的被动防御到当前的主动防御,想要做好主动防御,获取攻击者视角是关键,因此从这一角度来看,组织要想建立起一套更有效的安全体系,攻击面管理是不可或缺的。
道理很简单,作为防御者,你必须要保证你在所有时间里都不会犯错误,至于攻击者,只需要把事情做对一次,那么这场攻防对抗的较量其实已经宣告结束。
同时,一个可靠的攻击面管理方法将帮助组织快速、清晰的了解当前所面临的威胁情况,同时也会对相关威胁进行评估并给出优先级,安全团队可以根据实际情况去执行补救措施,如果将补救措施表述为战术层面的话,那么攻击面管理则可以提供一个战略图景,从而跳出单一化的思维,去以一种体系化的思维去对待安全问题。
另外,对于CSO这样的安全管理者而言,通过攻击面管理的能力也可以将组织所面临的风险情况展现给那些对技术并不熟悉的更高层领导者,毕竟他们不会去关注具体到某个挂着CVE XXXXXX编号的漏洞是什么东西?他们想知道的是会给组织带来什么样的负面影响(尤其是商业层面),以及修复它的重要性是什么。
笔者此前还曾看到过一份调查,显示有企业也意识到攻击面的问题,但管理手段竟然是用Excel,通过这种方式去跟踪整个组织的内部和外部风险管理,其效果可想而知,这种完全依靠人工的操作可谓是提高人工的时间、资金成本,效率还很低,更为致命的是,这种增本降效的方式会有极大的可能让安全团队忽略掉关键风险。
综合来看,对于最终用户而言,应用攻击面管理的价值在于——它可以帮助企业减少黑客可能会发起攻击的点,从源头降低自身遭受攻击的可能性,这种防患于未然的预防方式,其所投入的人力、物力、财力必然相对较低。比如企业的内部人员以及客户的信息是否已经泄露并可能被黑客利用、自身的业务系统是否存在有漏洞等都有可能成为攻击者眼中的弱点,通过应用攻击面管理技术相关的产品就可以去提前去排查、处置这些弱点,预先将风险阻断。
了解需求+打破孤岛 组织应用攻击面管理的主要挑战
首先是需要了解组织对攻击面管理的需求,以及如何与当前现存安全建设中类似但又不同的实践相融入,这一点非常重要,它将决定着组织是否会在这方面进行投入,因为多数组织的领导者都不会任由安全团队随意投资于功能类似的产品上,在安全领域也是一样。
其次是打破组织内部以业务划分的信息孤岛,这并非是攻击面管理独自所要面对的挑战,而是很多领域的挑战。如果说外部、内部的安全或IT团队都无法保证彼此之间的打通,那还谈什么其他会涉及到安全的部门(如DevOps等等)呢?事实上,如果从初期没有一个较为统一的规划而是各自为战,那么很有可能每个部门内都有着自己的操作方式,拥有各自的流程、工具和解决方案,比如从漏洞扫描器、代码配置等等。
要想构建起一套有效的攻击面管理,就必须要打破这些孤岛,在所有相关业务领域建立起一张规范化的视图,并将所有的风险数据最终都能体现在其之上,以保障安全管理者或安全人员能够清楚的看到一切并实现掌控。理论上,在数字化过程中,规模越大、历史越久的组织,就越需要攻击面管理,但此类组织往往也存在着长期发展所遗留下来的信息孤岛问题,从而成为一大挑战。
正如我们所一直强调的,攻击面管理对企业的安全建设,尤其是构建主动防御能力方面是至关重要的,而且也是收益更优的方式之一。通过攻击面管理,企业能够有效的收敛攻击面,以保证企业在较低成本投入的情况,大幅度的降低所暴露在外的安全风险,这一优势在中大型组织上会体现的尤为明显。
攻击面管理落地应用不断成熟 国内相关代表企业渐显优势
就目前市场发展来看,攻击面管理在实践落地方面已经取得了用户的认同,具有极高的应用价值,且因其处于技术栈的早期发展阶段,随着厂商对技术的理解加深,与用户、场景、上下游联动的增强,其能力、价值将会得到更好的体现。攻击面管理的未来可期。(扩展阅读:攻击面管理(ASM)被Gartner重点提及 或成2022年最热门细分赛道)。
具体到国内攻击面管理领域,目前也已拥有多家具备一定实力和创新力的企业,他们普遍依靠着自身在相关领域的沉淀和积累,在产品能力、落地能力、实践经验等诸多方面具有较强优势,可以借鉴、参考甚至选用的。结合安全419迄今为止在该领域的调研情况,包括华云安、云科安信以及零零信安这三家以攻击面管理为主要方向的企业值得关注,同时,他们也均为安全419《2022年度策划》活动中入选攻击面管理这一细分赛道的优秀企业。(扩展阅读:安全419编辑推荐|攻击面管理价值受到普遍认同 或有更多厂商涌入)
华云安:
Gartner《2022中国网络安全技术成熟度曲线》报告代表厂商,华云安攻击面管理体系的策略是构建一个基于云原生架构的、弹性、冗余的高性能平台,可以通过整合以及拆分,来提供攻击面管理体系中通用普适的、满足最小需求的功能模块,如网络资产管理、脆弱性评估、自动化测试、漏洞优先级评估、扩展威胁情报、扩展威胁响应等等。通过云原生的微服务技术,再结合不同客户具体的业务需求,灵活组合这些安全能力单元搭建成相适应的解决方案,以进一步适配企业不同阶段、不同需求并不断迭代的安全能力。
扩展阅读:《华云安沈传宝:始终坚持需求导向 以ASM达成持续风险管理》
云科安信:
白泽攻击面管理平台将云科安信团队过往所有的攻防技战术和资源浓缩其中,以一种极简的使用方式交付给用户,能够完全自动化地帮助用户持续性地发现和梳理资产暴露面的情况,将包括域名、IP地址、端口情况,web应用、中间件、数据库、组件、指纹等等这些跟目标系统相关的信息详细地展现给用户。同时,该平台还会从应用的视角、关联关系的视角、端口数据的视角将不同资产之间的关联关系进行展示,帮助用户了解到未知的资产暴露情况。在协助用户将暴露面梳理清晰后,白泽攻击面管理平台会在暴露在外的资产中寻找漏洞,对漏洞做可利用性的验证。最终让客户看到在他已知范围和他未知范围内,攻击者能够突破进来的全部路径。
扩展阅读:《云科安信陈思:专注攻击者视角 帮助用户建立以攻促防的安全闭环》
零零信安:
Gartner《2022中国网络安全技术成熟度曲线》报告代表厂商,作为专注于外部攻击面管理(EASM)领域的安全企业,零零信安以大数据立体攻防、以攻促防、主动防御、力求取得立竿见影效果的理念,为客户提供基于攻击者视角的外部攻击面管理技术产品和服务,目前已将EASM实现了产品服务化落地,推出国内首个可为甲乙方企业提供外部攻击面能力数据服务产品的在线EASM平台——0.zone。在安全管理、攻击检测、漏洞管理三个场景下,为SOAR、SOC、SIEM、MDR、安全运维(服务);IDS、IPS、NDR、XDR、蜜罐、 CTI、应急响应团队(服务);漏洞管理系统、扫描器、 CAASM、BAS、风险评估(服务)、渗透测试团队(服务)等产品和服务提供基础数据能力,让国内所有安全产品具备外部攻击面/暴露面检测能力。
扩展阅读:《零零信安:以外部攻击面管理开启数据安全新视角》