解锁安全运营:提升感知识别能力 知己知彼筑牢根基

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2024-04-23
安全运营作为链接安全工具、安全人员以及安全流程和安全场景的纽带,通过识别威胁、快速分析、精准响应、协同防御,让安全建设中的能力得以施展并提升,已成为现代安全体系中必不可少的环节。
 
在安全419安全运营系列选题的开篇,我们分析到,建立安全运营核心能力,首先在于提升感知识别能力。本期,我们将聚焦这一维度展开探讨,观察业界的实践方式、运用的技术工具和落地成果。
 
 
全面感知能力的建设是安全运营的基础
 
安全运营是全局、长周期地保证价值资产处于安全状态的过程。“你无法保护你看不见的东西”,这句网络安全领域的经典之谈一语道出了安全运营目标的起点。安全团队首先必须了解需要保护的对象,如果资产不清晰,横亘在网络安全建设与运营之间的鸿沟就难以弥合,安全工作的瓶颈就无法突破。
 
一个组织在网络空间所拥有的一切设备、应用、数据等等都可能被潜在攻击者利用,资产识别及梳理不仅是帮助安全团队“知己”,同时也将通过资产管理来有效发现组织的脆弱性,包括漏洞、弱密码、配置错误等等,加固修复以降低安全事件发生的概率。
 
立足安全运营的全局视野,其实不仅是孤立的弱点导致独立的安全事件,从攻击者的视角发现组织面临的安全风险并评估其影响和优先级,这一系列“知彼”的活动,将有效支撑互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全响应与处置等等日常安全运营与攻防对抗中的关键活动。
 
综上所述,全面的感知基础能力的建设对应的是安全运营的“事前”工作,将对“敌我态势”形成清晰认知和勾勒,为后续的防御体系打下根基。
 
资产管理、风险评估正面临严峻挑战
 
随着企业数字化进程的加速,物理资产、虚拟资产和云上资产等快速增加,攻击资源越来越丰富,作案手法越来越隐蔽,导致安全团队对资产的识别和管理,以及对脆弱性和风险的评估变得十分困难。
 
资产边界与量级正无限扩大
对于网络空间资产来说,涵盖了硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、小程序、App、API、源代码等等类型,同时还包括极易被忽略的供应链、影子IT等未知资产。概括来说,只要是可操作的对象,不管是资产还是其属性,都需要做好全生命周期的管理。
 
缺乏动态且细粒度的攻击者视角
传统的资产管理偏向于运维、防御的视角,管理力度较为粗放,攻击者视角所关注的目标对象是互联网域名、IP、URL、互联网暴露端口、对外接口地址、后台管理入口等关键信息,而这部分资产安全属性在过去鲜少涉及。同时没有建立自动化的资产更新机制,变化中的资产很容易被攻击的对象和被利用的短板。
 
技术及管理手段需要与时俱进
对资产识别分析能力仍以主动干扰式的扫描探测为主,存在一定的局限性,比如可能漏掉处于静默状态的资产、主动扫描容易被安全措施阻断、对实时控制系统造成干扰导致生产过程异常甚至停止等问题。不仅如此,由于隐蔽传输、未知开放端口、错误配置等原因,庞大的暴露面无法有效收敛。而网络的复杂性又导致攻击发生后难以还原入侵路径,监测存在滞后性。所有这些因素都会影响对风险的评估结果和资产管理。
 
安全目标的实现不拘泥于单一技术
 
针对这种对象多、分布广、变化快的资产管理现状,近年来涌现出诸多安全体系和技术工具,帮助企业提供呈现具备全景化、动态化、关联性的资产画像和风险态势。
 
比如攻击面管理,一方面关注企业数字化资产,通过内部攻击面管理(CAASM)手段,通过与现有工具的API集成来工作,依赖于其他已部署的技术作为上下文,并富化从这些技术中提取的数据,以提供组织资产库存的整体视图。另一方面关注外部资产,通过外部攻击面管理(EASM)手段,使用一系列来源和方法扫描全球的互联网,寻找其面向外部的资产暴露面,包括服务器、登录凭证、公共云服务、错误配置可被攻击者利用的第三方合作伙伴软件代码漏洞等,并且对这种资产暴露面进行可视化管理。
 
对攻击面管理提供支撑的技术或工具集还包括漏洞评估(VA)、弱点优先级技术(VPT)、威胁情报(TI)等等。值得关注的是,根据Gartner在2023年底发布的《漏洞评估市场指南》报告,VA解决方案可对漏洞进行识别、分类和优先排序,并对漏洞的修复或缓解工作进行组织协调,通常支持安全运营、网络资产和系统可视化能力。如今,VPT工具极大地改变了VA市场,主要解决了VA工作中的痛点问题,即如何针对VA的检测结果采取恰当的响应动作。大多数VPT工具一开始都专注于优先级,但现在正在发展为漏洞情报工具,通过VPT落地基于风险的漏洞管理。
 
聚焦到更具体的资产识别方式,主流技术包括主动探测、被动探测、指纹特征匹配识别等等。比如主动探测是主动向目标资产发送构造数据包,并从返回数据包的相关信息(如各层协议内容、 包重传时间等)中提取目标指纹,与指纹进库进行比对,实现对开放端口、操作系统、服务及应用类型的探测。被动探测通过监控网络流量、分析日志等方式,能够实时了解资产的动态变化,为业务决策提供实时数据支持。此外对日志、流量等数据进行分析,通过大数据处理、机器学习等手段,挖掘数据中蕴含的有价值信息,将为业务提供更为精准的资产识别结果。
 
总而言之,在安全运营的视角下,为了识别并定义清晰资产,了解自身的薄弱点,掌握风险的态势,可采取的手段方式是灵活多变的,并非技术的单一领域,同时,多种技术存在着融合演变趋势,一同被纳入更与时俱进的安全体系或方案中,为安全运营目标提供更高效的支撑。
 
安全厂商相关产品实践观察
 
安全419了解到,核心业务覆盖攻击面管理、流量分析、漏洞管理等方向的安全厂商,均有相关技术工具及解决方案推向市场,在资产管理、脆弱性管理、情报等能力方面或各有侧重。我们在此敲砖引玉,介绍两款成熟产品的功能。
 
构建资产数字化全息地图,科来采用被动流量识别的方式,通过主动资产与业务分析识别,实现主动监测预警与防御。对业务和资产识别,科来从流量中实时解析并还原流量元数据,自动化实时发现和识别企业的全量资产,使资产识别依据可视化,让用户清晰掌握资产属性,并对业务和资产形成全景可视化画像,即在网络底层刻画网络实体的通信特性,在网络顶层刻画网络实体的业务行为,对登记的所有资产的网络通讯行为、威胁信息、组件信息、硬件信息等进行综合展示,亦可对任意资产通讯全景进行可视化展示和分析,对资产通讯行为进行标签化描述。
 
科来资产被动流量识别技术对资产的全面梳理,即使流量极小的业务资产也不会遗漏并实现数据留存,并通过资产画像发现资产异常行为。资产被动流量识别技术能够发现任何有网络活动的资产,不存在由于反探测技术或安全防护导致识别被阻断的问题,解决了主动扫描探测时静默资产不在线导致无法发现的难点。另外,旁路部署被动采集无需对目标网络进行扫描,可以避免对业务造成影响。
 
 
打造资产安全管理闭环,华云安提供灵洞.网络资产攻击面管理平台。在资产盘点上,突破传统的资产发现模式,采用API接口集成 CMDB、ITSM、EDR、主动扫描、被动探测和EASM平台未知资产数据,全方面获取企业内外部的主机资产、云资产和其他数字资产。下一步进行暴露面检测,通过集成资产盘点、弱点扫描、威胁情报等数据,通过多维度风险分析,打通资产与弱点、情报、响应间的关系,分析弱点可能产生的风险情况,帮助企业识别完整的资产暴露面。紧接着完成攻击面验证,集成EASM平台数据,基于红队视角,通过多维度的自动化安全测试,沉浸式模拟攻击与利用,发现更深层的安全风险,并以攻击者视角绘制完整的资产攻击面。响应处置阶段,利用自动化技术对安全风险进行全生命周期的监控和运营。结合自动化编排,整合不断扩展的安全能力,实现攻击面的有效检测、分析研判、响应处置和持续监控。
 
 
尾 声
 
资产是串联安全运营的基础,风险是驱动安全运营的核心。在事前阶段,通过资产识别、画像及监测的完整串联,实现资产画像的完整绘制,从而明确保护的对象和关键性、敏感性区分。进一步对内外资产进行多维检测和解析分析,发现隐藏风险,监测异常行为,实现对资产和风险的可视、可查、可管,提升企业的安全监控以及威胁防护能力。
 
接下来,我们还将围绕安全的事中、事后阶段,探讨安全运营中关于检测分析和决策响应等核心能力的构建,欢迎有相关思考及实践的厂商与我们联系,共同分享见解展示成果。