此外,攻击者利用漏洞的速度越来越快,网络攻击的复杂性和隐蔽性不断增加,而传统的安全防御措施往往滞后于攻击者的步伐。攻击者常常在组织还未意识到之前,就已经成功入侵并造成损害。在此背景下,攻击面管理(ASM)技术基于攻击者视角,以一种更为全面的网络安全防护策略受到行业青睐。
应对资产风险 从传统防御到攻击面管理
企业在进行网络安全管理时,需要进行资产重要性评估和风险级别判定。企业所处行业特点、资产所承载的业务系统类型以及所处网络位置等,都会影响资产自身的重要性和关联漏洞的危险级别。而互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置,这些日常安全运营与攻防对抗中的关键活动,都需要完善的资产信息的支撑。
目前企业在安全运维方面也面临不少安全痛点:
·资产状态不清晰——随着由于网络环境的复杂性、资产类型的多样性以及业务的频繁更新,对全量资产信息进行统一收集和管理变得极为困难;
·攻击面分布不明确——传统设备缺乏整合,难以形成全局视角的资产安全管理视图;
·风险消除不及时——安全管理、业务归口、IT运维等多方协同不当都可能导致风险消除的延误。
资产管理水平决定了网络安全运营能力的上限,如果资产搞不清楚,安全工作就会有无法突破的瓶颈。而目前,许多企业缺乏有效的、可落地执行的日常数字资产管理流程,导致资产梳理过程进展艰难,形成的资产清单覆盖面也不够完整。
传统的安全防护措施往往从企业内部视角出发,存在诸多局限,如过度依赖经验、缺乏系统性和标准化、难以全面识别资产、以及在漏洞优先级排序和修复职责追踪方面均有不足,滞后于快速变化的安全威胁,无法提供实时的监测和响应。
随着网络安全需求的演变,企业面临的挑战从单一的漏洞防御转向了对整个网络攻击面的全面掌控。攻击面管理的概念最早由Gartner定义,但其并非是突然涌现的新技术,而是攻防对抗不断演进的产物。攻击面管理以保护组织数字资产安全为出发点,进行检测发现、分析研判、情报预警、响应处置和持续监控,提供了一种集成技术与能力、流程的组合,更快更全更准地发现薄弱环节,在攻击发生前发现和修复暴露面,封堵可能被利用的攻击路径,有效保护资产。
《IDC Technology Assessment:中国攻击面管理厂商技术评估,2024》中表示,传统漏洞管理技术执行的是内部扫描,攻击面管理平台则是扫描互联网,从企业外部视角和攻击者视角发现可能被网络攻击者利用的系统脆弱性。
实现可控管理 资产可见为前提
IDC认为,资产发现是所有攻击面管理解决方案的共同点,以提供对所有面向互联网的资产的可见性,包括本地部署的以及云上已知和未知资产。“你无法保护你看不见的东西”,安全419认为,攻击面管理要基于对组织网络资产的全面认识。只有当资产“可见”,才能实现“可控”管理。这种可见性是实现有效攻击面管理的基础,进而主动防御,而不是仅仅对已发生的攻击做出反应。
企业在选择攻击面管理策略时,首先要清楚自身覆盖的资产范围,以及想要达到的覆盖程度和管理投入成本,基于企业的安全需求、资源可用性以及业务目标来综合考量。
网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)、网络安全资产管理(CAM)、入侵和攻击模拟(BAS)、以及数字风险保护服务(DRPS)是目前网络安全市场中常见的提升网络资产可见性的技术工具。
·CAASM:提供组织内外部资产的统一风险视图,并支持识别安全控制中的漏洞和差距,以及修复问题。它通过持续监测和自动化措施,帮助组织全面了解其资产状态,识别未知项、确定风险优先级、消除威胁。
·EASM:通过持续的外部扫描和监控,发现和评估企业外部的资产和相关风险,包括暴露的服务器、公有云服务配置错误等。
·CAM:是建立网络安全资产管理体系的基础,通过自动化采集、资产关联分析和实时风险感知,涉及对网络空间的在网资产进行探测识别、实体定位、深度关联。
·BAS:模拟实际攻击手段或场景,测试组织的防御能力,发现并修复潜在的安全漏洞。
·DRPS:提供对开放网络、社交媒体、暗网和深网的可视性,以识别关键资产的潜在威胁。
这些技术在资产发现、覆盖范围和风险优先级排序等技术能力上有所共通,但各自的侧重点和应用领域各有千秋。顾名思义,CAASM是必要的安全能力,随着互联网边界之外的资产数量日益增加,EASM也变得不可或缺。在EASM、CAASM、CAM等资产暴露面的基础建设比较全面之后,BAS可以更好地基于前期的安全建设做有效性验证。而当企业影响力逐渐扩大,DRPS可以结合其他几种技术,追求更高级的安全防护。
企业在选择攻击面管理策略时,首先要清楚自身覆盖的资产范围,以及想要达到的覆盖程度和管理投入成本,基于企业的安全需求、资源可用性以及业务目标来综合考量。
各项技术各有侧重,若集成为一体化的解决方案,不仅增强了对内外部资产的全面发现和可视化能力,而且显著提升了对潜在威胁的识别、评估和响应能力。因此,攻击面管理领域的安全厂商在将相关技术产品化时,往往推出集成多种技术的解决方案,实现技术相互补充,共同构成了一个全面的攻击面管理体系。
云科安信认为,比攻击者看得更深更透彻,才能真正“以攻促防”。作为云科安信的攻击面管理产品,白泽数字风险资产图鉴系统通过自动化可持续叠加的能力,以攻击者视角聚焦用户网络空间IT资产,帮助用户时刻洞察网络空间资产风险,快速构建的实战化、自动化、智能化的安全风险监测能力。
实际应用中,白泽通过扫描收集客户暴露在互联网上的资产,汇总和整理资产详情,发现可被攻击的漏洞,并通过技术手段验证漏洞的可利用性,主动掌控资产动态缓解安全压力,从而帮助客户解决资产模糊、数据泄露、高危端口发现等问题,让安全风险更可控。
华云安基于先于攻击者洞察暴露或潜在安全隐患的思想,通过可视化呈现与层层深入的分析,从攻击者与防御者的双重视角,为用户绘制出一条清晰的攻击路径图,并提供优先级的处置建议,实现了资产的全链条攻击面管理体系。
其中,灵洞·网络资产攻击面管理平台Ai.Vul,基于大数据和知识图谱架构,为企业管理者提供资产和漏洞的闭环管理。通过一键式的响应机制,能够快速下发需要修复的漏洞补丁,提高响应速度与效率。并支持对海量数据的实时分析,能够贯穿漏洞的整个生命周期管理,提供事前预警、事中发现、事后处置等功能。此外,华云安的产品支持自动化评估数字资产的安全状况,并通过大数据处理,该平台能够精准识别潜在威胁,并根据评估结果帮助用户自动生成处置建议。
面向不同问题场景,绿盟科技灵活组合多种安全产品能力,打通产品数据,进行多源安全数据综合分析,从海量离散的修复任务中抽丝剥茧理清脉络的工作方法,从根本上减轻风险管理工作量。绿盟攻击面管理解决方案通过内外部泛资产测绘、持续评估验证和运营闭环,为客户带来漏洞、供应链、敏感数据的全资产、全流程、内外结合的风险治理新方案,实现对影子资产、公开信息、资产暴露、暗网交易、供应链威胁、数据泄露的综合监控,提高资产可见性使组织能够避免安全管理的盲点和不受管理的资产。
网络资产的安全问题日益凸显,攻击面管理为企业提供了一个全新的视角,帮助企业全面掌控其网络资产的安全状况。而相关技术的集成,不仅提升了对资产的可见性,还增强了对潜在威胁的识别、评估和响应能力。助力企业在不断变化的网络威胁环境中保持主动和警惕,有效地管理和减少网络安全风险,确保企业数字资产的安全与完整。