近年来,随着网络安全形势的愈加严峻,行业对实战型攻防技术的认知也有了快速的提升。在此背景下,偏向于主动防御且更注重实战对抗的攻击面管理(Attack Surface Management,简称“ASM”)理念以及相关技术,正在成为当下整个行业关注的重点。
在Gartner年初发布的《2022年安全和风险管理趋势报告》中,就预测了七大网络安全趋势,其中最先被提及的就是攻击面管理,背后的原因在于随着混合办公的普及,物联网的广泛使用、开源代码、SaaS应用程序、云应用、数字供应链、社交媒体等引发的风险,使得企业受攻击的暴露面正在日益不断扩大。
与此同时,Gartner近期发布的《2022中国网络安全技术成熟度曲线》报告中,攻击面管理也再次被提及,其成熟度曲线已经快速上升到了“半山腰”,并指出攻击面管理的应用,能够帮助企业从内部管理和外部攻击者的角度,解决资产和漏洞可视化的难题,并基于优先级计算指导防御人员进行主动防御,同时攻击面管理还能帮助企业安全和风险管理(SRM)团队识别潜在的攻击路径,并指导开展安全控制措施的改进和调整,最终提高企业整体的安全防御水平。
那么,攻击面管理为何对企业的网络安全防护如此重要?企业要如何选择合适的方法论,以及采用何种的解决方案才能构建出企业攻击面管理的“全栈能力”呢?
从合规建设走向能力导向
事实上,攻击面管理的概念最早由Gartner于2019年提出;2021年7月,Gartner发布《2021安全营运技术成熟度曲线》,将攻击面管理相关技术定义为新兴技术;进入2022年,Gartner在多份报告中再次提及“攻击面管理”,不仅让攻击面管理成为网络安全行业年度最火爆的话题,更推动它成为了当下国内外安全行业最火热的赛道之一。
魔方安全总经理黄国忠
在魔方安全总经理黄国忠看来:“攻击面管理并不是‘横空出世’的全新技术,它是攻防对抗升级演变的结果,更是理念和方法的提升。可以看到,从早期的漏洞扫描到漏洞管理,再到资产主动发现、资产测绘与暴露面收敛、资产安全管理,在攻防环境变化及实战化安全运营驱动下,攻击面管理迅速被整个行业所接受并不是突然的。”
确实,从宏观层面来看,今天网络安全问题已经影响到国家安全的方方面面,由网络安全事件造成的影响更是逐渐深入延展到了国家经济、民生等不同层面,涉及到国家关键信息基础设施、工业企业系统等各个领域;而从微观层面来说,网络安全,特别是隐私泄露同样也对个人造成了巨大的安全风险,轻则造成个人财产损失,重则影响人身安全。
也正因此,在政策层面,去年11月1日,《个人信息保护法》正式生效,与此前出台的《网络安全法》和《数据安全法》,共同构建了中国信息安全的法律框架,形成了数据安全治理领域的“三驾马车”,这也意味着中国的网络安全保护正式进入了“强监管”的时代。
更为关键的是,随着企业数字化转型加速,越来越多企业的基础架构进行了重构,导致目前企业网络资产的数量和复杂性前所未有的增加,攻击面极具扩大的同时,攻防不对称也在加剧。
一方面,是攻击手段现在“层出不穷”,导致安全漏洞“永无休止”,包括软硬件层面的漏洞、弱口令,各种敏感信息的泄露、供应链漏洞等等;另一方面,是目前攻防之间的关系极度的不对称,最为典型的就是攻击者往往处在“暗处”,而防守者却处在“明处”,同时攻击者只需要“单点突破”即可,而防守者却需要做到“全面防护”。
黄国忠认为,正所谓“有攻才有防”,整个网络安全行业的防守技术发展通常是受制于攻击手段的,因此目前防守的技术往往是“滞后”于攻击者的水平的,这是行业的特点之一,因此这就让企业或者说防守方陷入一个非常“被动”的局面。
不仅如此,传统的网络安全解决方案面对这种挑战时也“力有不逮”,主要在于过去的安全方案“碎片化”现象严重,单点式的“产品”创新也不再奏效,不但导致企业维护的成本“居高不下”,同时也很难在第一时间快速的做出响应和处置。
从这个角度来看,在网络安全“体系化、实战化、常态化”,以及“攻防不对称加剧”的趋势下,企业的网络安全建设也需要从过去的强调安全合规走向能力导向和实战对抗,这就需要集成化、可视化、自动化、数智化的新一代安全解决方案,而攻击面管理正是其中重要代表,因为其目标就是提供攻击者视角,比攻击者更快更全更准地发现薄弱环节,在攻击者利用之前提前响应,改变攻防极度不对称的局面,由此也就不难理解,为何攻击面管理这几年“应运而生”并突然火爆的背景所在。
三个维度看懂攻击面管理
可以看到,攻击面管理最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性,这些资产包含已知资产、未知资产、数字品牌、泄露数据等等一系列可存在被利用的风险的资产内容。那么,它与传统漏洞扫描渗透测试服务,乃至与资产测绘及资产安全管理的到底有何本质区别呢?
对此,黄国忠告诉我:“攻击面管理,简单理解相当于主动防御,也可以把它理解为在疫情的影响之下,人们需要接种疫苗一样,它起到的作用就是以攻击者的视角,不停地帮助企业查找其在网络空间中的各种风险,而且这个过程是持续的、不间断的,一旦发现有漏洞或者容易出现问题的环节,就能够采用技术或者工具帮助企业实现快速的应对和响应,这就叫做‘战场前移’,且这种预防是始终站在攻击者的视角来做得预防,因此它也是一种安全更往前设定的防御理念和方法论。”可以从三个维度来做更深度的解读:
首先,根据应用场景的不同,目前攻击面管理划分为外部攻击面管理(EASM)和网络资产攻击面管理(CAASM)。其中,外部攻击面管理(EASM)更侧重外部攻击者视角下,暴露在互联网的风险与未知资产;而网络资产攻击面管理(CAASM)更强调攻防视角下内外部的全局视角,并通过API集成等其他技术手段,持续解决资产可见性和漏洞风险。
其次,攻击面管理和其他安全技术的区别,主要体现在:相比传统的渗透测试等安全服务手段,外部攻击面管理(EASM)系统在广度、频度和数据驱动响应与运营方面的效果比较明显,同时能够避免高度依赖于人而导致的高投入但产出难以保障的问题;同时,它和网络空间测绘乃至资产安全管理之间的重要区别在于,网络空间测绘或者说资产测绘是实现资产管理的一种手段,而资产管理则是一个需要企业长期建设的过程,它可借助网络空间资产测绘在内的技术,解决资产风险全生命周期的闭环管理。
而攻击面管理则是以保护组织数字资产安全为出发点,聚焦在攻击者视角去审视网络空间内不同形态种类的资产所组成的攻击暴露面,同时特别强调“可见性”、“可运营”,这意味着资产的全面性可度量、风险可度量、响应处置可度量。
最后,资产与风险的“持续可见性、优先级和效率”是攻击面管理中的三个核心价值。“资产安全管理是企业网络安全建设或者高水平运营的必经之路,但它并不是‘一蹴而就’的过程,而攻击面管理既可以看做是资产管理中的‘子集’,也可以理解为是以工具的视角来做资产的管理,它更加的聚焦,也更加的容易落地,同时也能够快速看到效果,因此在目前攻防极度不对称,且企业精力和资源有限的背景下,攻击面管理的优先级更高,也更加的紧迫,可以极速的弥补企业在网络安全防护当中的一些短板。”黄国忠说。
通过三个维度的解读,可以看到攻击面管理是攻防实战和对抗下的一种主动防御的思想与理念,是站在潜在攻击者的角度来不断审视与管理资产和薄弱环节的持续过程,同时它也是一种集成的技术与能力、流程的组合,聚焦攻击者视角,致力于在攻击发生前发现和修复暴露面,封堵可能被利用的攻击路径,因此可以这么说,攻击面管理是解决当下企业在攻防实战中处在“被动”局面的破局之道。
攻击面管理的实践与创新
接着要追问的是,攻击面管理究竟能帮助企业在日常的攻防实战中解决哪些痛点和难题呢?黄国忠表示,过去几年魔方安全在和客户的具体合作实践中,针对外部攻击面管理(EASM)和网络资产攻击面管理CAASM不同的挑战,也沉淀和梳理出了攻击面管理的几大应用场景,针对外部攻击面管理(EASM)方面,主要包括以下的应用场景:
一是,影子资产、云资产、数字化资产“难掌控”,在该场景下企业往往会面临影子资产被监管通报,常常处于非常被动的局面;此外,不同云业务之间的异构环境下,也面临着信息数据更新难等难题,而借助外部攻击面管理(EASM),则可以实现影子资产监测的常态化、自动化,大幅降低未知资产或未知风险被通报的风险。
二是,数据泄露风险“不知情”,目前很多企业的网盘、文库渠道多;敏感信息泄露也常被通报;再加上数据噪声多,专人分析成本大,而通过外部攻击面管理(EASM),则可以实现数字泄露的主动检测、实时预警,让企业不再“被动”。
三是,监管常态化、漏洞事件频发的场景下,借助外部攻击面管理(EASM),不仅能够帮助企业“防微杜渐”,主动、及时响应上级监管单位要求;同时在面对高危漏洞爆发的环境下,也能够基于留存资产记录,可第一时间定位、精准预警,准确响应。
四是,分支机构、下属单位“管理难”的场景下,目前很多企业的分支机构安全资源匮乏,同时针对暴露面的工作仍需要手工整理,由此造成工作量极大的增加,而外部攻击面管理(EASM)的带来的价值,主要则是体现在企业可通过一个平台完成组织风险的有效管理,避免重复建设,实现“降本增效”。
而在网络资产攻击面管理CAASM领域,魔方安全也提出了“阶梯化建设”的思路,即首当其冲的是要解决网络资产的“可见性”,这就需要企业持续梳理资产基础数据的完整性;资产管理属性的完整性,由此才能实现有效观测和有效管控;而在日常的工作中,则需要采取“平战一体化”的思路,其中在攻击面可视化管理方面,主要是聚焦于解决最有价值的漏洞问题;而资产安全运营治理方面,则需要“常态化、体系化、指标化”的实现运营和治理。
基于此,网络资产攻击面管理CAASM方面,其能够帮助企业化解以下的难题,包括资产信息“碎片化”、缺乏业务视角的难题;实现企业资产梳理、日常漏洞的快速响应;安全管理覆盖面的增加;最大化的赋能安全运营,在企业现有安全产品和治理体系中,作为“底座”提供有力支撑,富化数据,并在攻防演练活动中辅助决策。
“安全运营平台是现在很多企业亟待搭建的平台,但是往往在实践中会遭遇以下的难题,包括资产摸不透;事件太多无处入手,最关键的是很难高效处置发生的问题。而魔方安全攻击面管理解决方案,最为核心的能力,就是可以帮助企业解决资产数据完整、全面、实时和动态的问题,这也是我们把它称之为能够帮助企业构建安全防护能力‘底座’的重要原因。”黄国忠强调说。
攻防实战中化被动为主动
回头来看,魔方安全之所以有如此的底气和信心,关键就在于其在这个领域沉淀了多年的能力,不仅实践出了一套面向企业攻击面治理的方法论,同时还以SaaS化的创新模式,打造出了魔方外部攻击面管理系统EASM-SaaS平台,从这个角度来看,魔方安全可以说是国内攻击面管理ASM领域的先行者和远见者。
据了解,魔方安全成立于2015年10月,核心成员来自于Cubesec安全攻防团队;从2016年起,魔方安全就在国内率先推出攻击者视角的“互联网安全监控系统”,并以SaaS化形态先后服务于金融、运营商、交通、教育等行业客户及大型企业。
该系统自上线以来,就持续为企业用户提供互联网资产监测、安全风险检测、1Day漏洞预警和响应,以及常态化安全运营管理,全面覆盖企业互联网IT资产和数字化资产,同时也支撑了众多企业和机构参与了历年重大活动安全保障、国家级网络安全攻防演练活动,以及近年来高危漏洞爆发时的应急响应。以平台化、自动化的优势,和全面的监测覆盖能力、丰富的安全运营与攻击面治理经验,为企业构建出了面向互联网攻击面治理的“全景视图”。
除此之外,魔方安全在2020年还推出了网络空间资产测绘系统3.0版本,该系统能够基于以资产为核心的安全运营模型,以资产测绘为起点,结合评估监测、预警响应和智能决策,实现对资产的持续安全运营,解决网络空间有什么、是什么、有什么风险、哪些业务和责任人有关,风险解决的优先级等问题,并可实现整体资产和脆弱性态势感知。(内容参考:《揭开资产深海的隐秘角落,魔方安全的重构创新》)
2021年,魔方安全业内首发攻击面可视化管理解决方案(VASM),在网络攻防对抗场景中帮助作战指挥中心快速预判与提前布防,保护关键资产和核心业务。
对此,黄国忠坦言:“我们最早的系统叫以攻为守的情报分析系统,起步也是从互联网资产(特别是边缘和未知资产)发现、敏感信息泄露检测与POC漏洞验证开始的,需求源于一些头部客户无论怎么做漏扫、渗透测试还是众测依然常被未知资产的漏洞困扰的痛点,为了客户容易理解,产品后来改叫互联网资产风险监控系统,可以说在这个领域魔方安全已经摸索和实践了长达5-6年的时间,走的方向和技术路线的选择,都是具有前瞻性的,现在随着外部攻击面管理EASM被更多的企业所接受,我们打造的魔方外部攻击面管理系统EASM-SaaS平台,既是正当其时,更是顺势而为。”
具体来看,魔方外部攻击面管理系统EASM-SaaS平台的定位,是以攻击者视角自动化对企业互联网资产进行发现与测绘,持续风险监控,结合多维安全情报,专家顾问团队1对1支持,能够帮助企业输出高价值情报与服务,让企业在攻防实战中能够真正的化被动为主动,其平台关键能力可以归结为三个方面:
第一,在暴露面梳理方面,可通过暴露面测绘,实现智能分析。魔方外部攻击面管理系统EASM-SaaS平台能够以攻击者视角自动化对企业的互联网资产进行全面梳理与监测,同时可基于主域名进行模糊发现,同时支持指定目标范围的定向监测,实现“常态化”、“实战化”的7*24小时监控。
第二,在资产数字化方面,可实现“新型资产,统一纳管”。随着越来越多企业业务的数字化,必然导致资产形态的多样化,如:代码片段、文库文档、网盘、暗网,以及公众号小程序等,而魔方外部攻击面管理系统EASM-SaaS平台能够基于用户提供的关键字,进行全网采集,统一纳管。
第三,在挂图作战方面,能够帮助企业融入网络上下文,实现“攻击面的可视化管理”。魔方攻击面管理系统能够通过采集网络设备的路由信息和NAT映射规则,进行网络仿真及智能计算,并融合网络上下文信息、资产和脆弱性三要素,应用知识图谱及图数据库技术,完成资产的可视化、访问关系的可视化、从而实现攻击面的可视化。
值得一提的是,除了打造出了SaaS化的平台能力,组建了一支专业的SaaS运营团队之外,魔方安全也结合具体的行业实践经验,先后发布了《基金行业攻击面管理白皮书》以及《2023中国金融行业攻击面管理白皮书》等,可以说为金融乃至更多的行业提供了借鉴和参考的新价值。
总的来说,作为国内攻击面管理ASM领域的先行者和远见者,魔方安全过去七年来始终专注于这一领域的创新,由此表现出来的战略定力和持续的投入是难能可贵的。更为关键的是,魔方安全在国内攻击面管理ASM领域的一系列探索与实践,以及由此沉淀出的SaaS化平台解决方案,方法论乃至专业的运营团队等“全栈化”能力,无疑可以帮助更多的企业在攻防对抗中能够更好地实现“清晰地看见、更好地管理”,同时也能够为持续守护百行千业的数字化资产奠定至关重要的基础。
申耀的科技观察,由资深科技媒体人申斯基创办,19年企业级科技内容传播工作经验,长期专注产业互联网、企业数字化、ICT基础设施、汽车科技等内容的观察和思考。
