在数字化转型过程中,数字技术对企业的业务模式、组织架构和企业文化产生了积极影响,但同时也给企业带来更多的安全威胁和风险:企业暴露在互联网上的攻击面数据呈指数级增长,攻击载体也随之大量增加。攻击面正在成为攻防博弈中攻守易势的关键。
在此背景下,在“2022网络安全运营技术峰会”上,国内权威咨询机构赛迪顾问重磅首发《中国攻击面管理市场白皮书》(以下简称白皮书)。白皮书选取了华云安等国内外攻击面管理领域代表企业,立足于攻击面管理的本土化洞察与实践,探讨攻击面管理在新一代网络安全防御体系中的能动作用。
基于攻击者视角的主动防御技术
企业需求转变催生了新概念、新产品的应运而生。攻击面管理概念的提出也是如此。近年来,新兴技术纷涌出现带动了网络资产边界快速拓展,远程办公的兴起与发展进一步增加了企业资产暴露面,而基于供应链的新型攻击大大降低了攻击成本....在多重因素驱动下,网络安全防御策略需要与时俱进化被动防御为主动防御,需要以攻击者视角梳理资产与风险脆弱点,更好地解决企业在数字化转型中面临的复杂现实。
攻击面管理,由国际知名咨询机构Gartner于2018年首次提出。在2021年7月,Gartner发布了《2021安全运营技术成熟度曲线》,将攻击面管理相关技术定义为新兴技术。在Gartner 发布 的2022 年主要安全和风险管理趋势中,“企业攻击面正在扩大”被首先提出,与网络物理系统和物联网、开源代码、云应用程序、复杂的数字供应链、社交媒体等相关的风险,已使企业的暴露表面置于可控资产之外。企业必须采用超越传统的安全监控、检测和响应方法,管理更广泛的安全风险。Gartner认为,攻击面管理主要包含,外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)。
要讲攻击面管理,首先要知道何为攻击面。白皮书指出,攻击面是指未经授权即能访问和利用企业数字资产的所有潜在入口的总和,包括未经授权的可访问的硬件、软件、云资产和数据资产等,同样也包括人员管理、技术管理、业务流程存在的安全弱点和缺陷等,即存在可能会被攻击者利用并造成损失的潜在风险。白皮书认为不是所有资产暴露面都可以成为攻击面,只有可利用暴露面叠加攻击向量才形成了攻击面。因此,如何进行暴露面的收敛以及攻击向量的控制是攻击面管理的重要手段。
值得一提的是,在白皮书中对攻击面管理 (ASM)进行了定义:攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法,其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性,而这里的所有资产包含已知资产、未知资产、数字资产、企业品牌、泄露信息等等一系列可存在被利用的风险的资产内容。
首发攻击面管理框架体系和成熟度模型
在本次报告中,华云安作为国内领先的攻击面管理创新公司入选。在2021年,华云安在行业率先提出以攻击者视角构建的攻击面管理产品解决方案之时,便认为攻击面管理可以有效整合漏洞扫描、攻击和突破模拟BAS、扩展检测和响应XDR、扩展威胁情报XTI、漏洞优先级VPT等各种安全能力,并结合用户需求,提供网络资产攻击面管理CAASM、外部攻击面管理EASM等场景化应用,实现攻击面的有效检测、分析、监控和响应。因此,攻击面管理不仅仅是一种理念,更是一种新兴的方法论,亦是一个天然的技术融合架构。这一点,与白皮书中的阐述不谋而合。
在白皮书中,赛迪顾问首发攻击面管理框架体系。攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景。基础技术为支撑攻击面管理的技术能力集合,多种技术组合形成攻击面管理的能力体系,根据不同的业务场景需求采用不同的能力组合,形成不同的应用场景下的攻击面管理解决方案,为用户提供有针对性的攻击面闭环管理能力。在白皮书中,将攻击面管理按照不同的应用场景分为外部视角的攻击面管理和内部视角攻击面管理两类,将数字风险保护依据其外延与内核归属融入到了外部视角当中。
白皮书对于外部视角的攻击面管理(EASM)和内部视角的攻击面管理构成(CAASM)进行了定义与规范。EASM主要关注外部资产,使用一系列来源和方法来扫描全球的互联网,寻找其面向外部的资产暴露面,并且对这种资产暴露面进行可视化。而CAASM关注内部资产,发现功能主要通过与现有工具的API集成(被动)来工作,依赖于其他已部署的技术作为上下文,并富化从这些技术中提取的数据,以提供组织资产库存的整体视图 。
此外,在白皮书中建立了攻击面管理的成熟度模型,主要是工具阶段的被动防御、平台阶段的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级;提出了暴露面获取、脆弱点发现、攻击面挖掘、情报获取能力等攻击面管理要具备的12个能力域,从检测发现、分析研判、情报预警、响应运营的闭环管控过程分解了响应的能力子项,从子能力的具备和完善情况来评价攻击面管理的有效性。