攻擊面管理(Attack Surface Management)的概念已經(jīng)存在三年以上了,但是在過去的一年(2021年),整個(gè)安全行業(yè)突然迅速接納了它。一方面這表示行業(yè)對(duì)實(shí)戰(zhàn)型攻防技術(shù)的認(rèn)知有了快速提升,另一方面表示攻擊面管理(ASM)技術(shù)理念是符合場(chǎng)景化剛需的。
一.什么是攻擊面管理
首先從理論層面對(duì)攻擊面管理進(jìn)行說明。Gartner在《Hype Cycle for Security Operations, 2021》中共有5個(gè)相關(guān)技術(shù)點(diǎn):外部攻擊面管理(EASM)、網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)、數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS)、漏洞評(píng)估(VA)、弱點(diǎn)/漏洞優(yōu)先級(jí)技術(shù)(VPT)。
這是一個(gè)神奇的事情,為什么攻擊面管理會(huì)涉及到這么多技術(shù)領(lǐng)域?我們以Gartner推薦廠商Cyberint和RiskIQ為例,他們都強(qiáng)調(diào)了一件重要的事:獲得攻擊者的視角?,F(xiàn)代化網(wǎng)絡(luò)攻擊的最大特點(diǎn)之一就是基于大量數(shù)據(jù)的立體化攻擊。
對(duì)于功能堆疊的剛性防御體系來說,立體化攻擊就如同降維打擊的存在。所以需要獲得攻擊者的視角,進(jìn)行動(dòng)態(tài)的主動(dòng)防御。
這就是攻擊面管理誕生的初衷。
繼《2021安全運(yùn)營技術(shù)成熟度曲線》之后,Gartner又在《新興技術(shù):外部攻擊面管理關(guān)鍵洞察》中進(jìn)行了一系列詳細(xì)的描述:
1、資產(chǎn)的識(shí)別及清點(diǎn):識(shí)別未知的(影子)數(shù)字資產(chǎn)(如網(wǎng)站、IP、域名、SSL證書和云服務(wù)),并實(shí)時(shí)維護(hù)資產(chǎn)列表;
2、漏洞修復(fù)及暴露面管控:將錯(cuò)誤配置、開放端口和未修復(fù)漏洞根據(jù)緊急程度、嚴(yán)重性來進(jìn)行風(fēng)險(xiǎn)等級(jí)分析以確定優(yōu)先級(jí);
3、云安全與治理:識(shí)別組織的公共資產(chǎn),跨云供應(yīng)商,以改善云安全和治理,EASM可以提供全面的云資產(chǎn)清單,補(bǔ)充現(xiàn)有的云安全工具;
4、數(shù)據(jù)泄漏檢測(cè):監(jiān)測(cè)數(shù)據(jù)泄漏情況,如憑證泄漏或敏感數(shù)據(jù);
5、子公司風(fēng)險(xiǎn)評(píng)估:進(jìn)行公司數(shù)字資產(chǎn)可視化能力建設(shè),以便更全面地了解和評(píng)估風(fēng)險(xiǎn);
6、供應(yīng)鏈/第三方風(fēng)險(xiǎn)評(píng)估:評(píng)估組織的供應(yīng)鏈和第三方有關(guān)的脆弱性及可見性,以支持評(píng)估組織的暴露風(fēng)險(xiǎn);
7、并購(M&A)風(fēng)險(xiǎn)評(píng)估:了解待并購公司數(shù)字資產(chǎn)和相關(guān)風(fēng)險(xiǎn)。
網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)則傾向于以智能化的手段更高效的識(shí)別組織內(nèi)部的資產(chǎn)和漏洞:CAASM是一種新興的技術(shù),專注于使安全團(tuán)隊(duì)能夠解決持久的資產(chǎn)可見性和漏洞的挑戰(zhàn)。它使組織能夠通過API與現(xiàn)有工具的集成、對(duì)合并后的數(shù)據(jù)進(jìn)行查詢、識(shí)別安全控制中的漏洞和差距的范圍,以及修復(fù)問題,來查看所有資產(chǎn)(包括內(nèi)部和外部)的風(fēng)險(xiǎn)。(以上是Gartner的定義,從筆者的角度來看,這更像是一個(gè)更強(qiáng)大的、進(jìn)行智能化拓展后的漏洞管理系統(tǒng),也許未來漏洞管理系統(tǒng)的功能模型就將是CAASM。)
需要特別指出的地方是,Gartner認(rèn)為“攻擊面管理能力可跨越到其他現(xiàn)有的安全領(lǐng)域,主要是數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS)”。甚至在2021年10月25日其發(fā)布的《Competitive Landscape: Digital Risk Protection Services》中預(yù)言:
到2023年底,超過50%的DRPS供應(yīng)商將增加EASM功能,作為其數(shù)字足跡功能的自然擴(kuò)展。
由于國內(nèi)某些概念的誤導(dǎo),DRPS的技術(shù)綱要并沒有正確的被傳達(dá),為了更有效的說明ASM應(yīng)該包含的技術(shù)點(diǎn),我們有必要對(duì)它進(jìn)行技術(shù)點(diǎn)說明。
Gartner:通過提供技術(shù)與服務(wù),保護(hù)組織的關(guān)鍵數(shù)字資產(chǎn)和數(shù)據(jù)免受外部威脅。這些解決方案提供了對(duì)開放(表面)網(wǎng)絡(luò)、社交媒體、暗網(wǎng)和深網(wǎng)的可視性,以識(shí)別關(guān)鍵資產(chǎn)的潛在威脅,并提供有關(guān)威脅參與者、其進(jìn)行惡意活動(dòng)的策略和流程的背景信息。
識(shí)別暴露的有風(fēng)險(xiǎn)的數(shù)字資產(chǎn),具體包含:
1、組織的數(shù)字足跡(云存儲(chǔ)服務(wù)、打開的端口和未修補(bǔ)過的漏洞等);
2、品牌保護(hù)(域名搶注和冒充高管等);
3、組織的賬戶接管風(fēng)險(xiǎn)(電子憑證、組織的賬戶信息被盜等);
4、詐騙活動(dòng)(網(wǎng)絡(luò)釣魚檢測(cè)、信用卡泄露、客戶資料泄露等);
5、泄露數(shù)據(jù)(具有知識(shí)產(chǎn)權(quán)的數(shù)據(jù)、資料、代碼等)。
至此,我們看到,ASM(攻擊面管理)包含EASM(外部攻擊面管理)和CAASM(網(wǎng)絡(luò)資產(chǎn)攻擊面管理),EASM與DRPS(數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù))有拓展和重疊之處,它們都需要VA(漏洞評(píng)估)和VPT(弱點(diǎn)/漏洞優(yōu)先級(jí)技術(shù))的功能和技術(shù)支持。
二.攻擊面管理產(chǎn)品的實(shí)現(xiàn)
以上雖然對(duì)攻擊面管理進(jìn)行了理論構(gòu)架和其構(gòu)成要素分析,但作為產(chǎn)品實(shí)現(xiàn)仍然過于抽象。接下來我們以產(chǎn)品設(shè)計(jì)的角度來分析它應(yīng)該具備的功能模型。
首先需要明確的是,一個(gè)完整的攻擊面管理產(chǎn)品,其產(chǎn)品形態(tài)應(yīng)該是:
云端數(shù)據(jù)+私有化部署。
下面說明它的詳細(xì)功能。
攻擊面管理產(chǎn)品應(yīng)具備以下功能:
ASM功能組
1、網(wǎng)絡(luò)空間測(cè)繪(CAM)
網(wǎng)絡(luò)空間測(cè)繪技術(shù)誕生已有10年歷史,技術(shù)成熟,這里不再進(jìn)行詳細(xì)說明,需要說明的是,它必須從全互聯(lián)網(wǎng)角度進(jìn)行測(cè)繪,以保證不會(huì)遺漏組織的外部IT資產(chǎn)和影子資產(chǎn)。
2、組織架構(gòu)和關(guān)聯(lián)組織的識(shí)別
為了保證組織對(duì)應(yīng)IT資產(chǎn)的全面和準(zhǔn)確(尤其是對(duì)于影子資產(chǎn)),以及為子公司和有關(guān)聯(lián)(M&A)的企業(yè)進(jìn)行評(píng)估,必須優(yōu)先進(jìn)行組織架構(gòu)的識(shí)別和映射。
3、數(shù)字足跡的映射
這個(gè)概念很好理解,就是要將相關(guān)組織、子公司、關(guān)聯(lián)組織等與IT資產(chǎn)進(jìn)行映射。但是從實(shí)踐的角度出發(fā),傳統(tǒng)的網(wǎng)絡(luò)空間測(cè)繪的引擎設(shè)計(jì)邏輯需要進(jìn)行調(diào)整,以目前先進(jìn)行盲測(cè)再使用關(guān)鍵字識(shí)別、icon識(shí)別和標(biāo)簽等方法,很難做到全面和準(zhǔn)確的映射。
4、供應(yīng)鏈的識(shí)別和風(fēng)險(xiǎn)暴露面
供應(yīng)鏈攻擊在最近一年對(duì)全球造成了很大影響,需要對(duì)組織使用的產(chǎn)品、第三方組件,供應(yīng)商進(jìn)行盡可能的探測(cè)、識(shí)別和風(fēng)險(xiǎn)暴露面的發(fā)現(xiàn)。
TI功能組
這里提到的威脅情報(bào),并非狹義上定義的“僵木蠕威脅情報(bào)”,而是更廣義的,會(huì)對(duì)業(yè)務(wù)和數(shù)據(jù)造成直接影響的情報(bào)源的探測(cè)和主動(dòng)情報(bào)收集。隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的頒布和執(zhí)行,該部分既涉及到組織自身的業(yè)務(wù)影響,也涉及到合法合規(guī)問題,所以本章僅列出內(nèi)容,在下述章節(jié)詳細(xì)討論。這里特別說明的是,該部分必須包含“對(duì)暗網(wǎng)的可視性”。
1、業(yè)務(wù)數(shù)據(jù)和數(shù)字資產(chǎn)泄露情報(bào)
2、隱私數(shù)據(jù)泄露和內(nèi)部人員數(shù)據(jù)泄露情報(bào)
VPT功能組
關(guān)于VPT,筆者在之前《漏洞優(yōu)先級(jí)技術(shù)(VPT)導(dǎo)論》中進(jìn)行了發(fā)展和原理性說明,這里僅從產(chǎn)品功能上進(jìn)行描述。其至少應(yīng)該包含4個(gè)主要功能和一些輔助功能,具體是:
1、全面、快速的資產(chǎn)發(fā)現(xiàn)能力
2、多類型掃描器調(diào)度和多維度漏洞評(píng)估
3、漏洞情報(bào)和智能優(yōu)先級(jí)排序
4、漏洞全生命周期管理流程和自動(dòng)編排
基于以上功能說明,對(duì)攻擊面管理產(chǎn)品的定位和功能模型就很清晰了,其可以描述為:
攻擊面管理系統(tǒng)(產(chǎn)品):
將組織與其不斷發(fā)展的外部和內(nèi)部IT系統(tǒng)及數(shù)字足跡進(jìn)行映射、與漏洞情報(bào)數(shù)據(jù)進(jìn)行關(guān)聯(lián),并持續(xù)發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)和代碼泄露、組織和人員信息的泄露、以及對(duì)供應(yīng)鏈的攻擊面進(jìn)行檢測(cè),通過對(duì)全球開放網(wǎng)絡(luò)和非公開網(wǎng)絡(luò)的情報(bào)源、組織自身業(yè)務(wù)上下文等進(jìn)行大量數(shù)據(jù)采集和弱點(diǎn)優(yōu)先級(jí)分析,為組織輸出攻擊面情報(bào),以提供給組織更高級(jí)別的主動(dòng)防御。
三.業(yè)務(wù)數(shù)據(jù)泄露與數(shù)字資產(chǎn)泄露
該部分將闡述組織業(yè)務(wù)數(shù)據(jù)泄露、內(nèi)部文件或與組織相關(guān)的文檔和文案在外部暴露、組織相關(guān)的業(yè)務(wù)系統(tǒng)和軟件的代碼和配置泄露等情況下,對(duì)組織帶來的風(fēng)險(xiǎn)、以及應(yīng)該如何發(fā)現(xiàn)和如何進(jìn)行智能優(yōu)先級(jí)排序建議。
1.風(fēng)險(xiǎn)
組織的業(yè)務(wù)數(shù)據(jù)、內(nèi)部文件、項(xiàng)目信息、財(cái)務(wù)數(shù)據(jù)、核心圖紙、軟件代碼、業(yè)務(wù)系統(tǒng)配置等等,有可能因?yàn)閮?nèi)部人員的工作習(xí)慣(例如將文件上傳到某些互聯(lián)網(wǎng)服務(wù)器或者網(wǎng)盤上),也有可能因?yàn)殚_發(fā)人員的誤操作(例如Github權(quán)限設(shè)置不當(dāng)),或者被惡意竊?。ɡ绾诳屯ㄟ^技術(shù)手段獲得、或者某些未授權(quán)人員通過其他違規(guī)手段獲得)等,傳播在互聯(lián)網(wǎng)或者暗網(wǎng)上。這可能導(dǎo)致組織內(nèi)部機(jī)密外泄,或者導(dǎo)致黑客利用獲取的代碼和配置文件獲知業(yè)務(wù)系統(tǒng)漏洞等等。
其帶來的風(fēng)險(xiǎn)通常是直接且隱蔽的。
以往,由于網(wǎng)絡(luò)攻擊導(dǎo)致的,從泄露到組織發(fā)現(xiàn)的間隔時(shí)間,平均在87天,而由于人員誤操作導(dǎo)致的時(shí)間間隔,平均在207天。在此期間,組織相關(guān)的泄露數(shù)據(jù)都面臨著極高的被他人利用的風(fēng)險(xiǎn),越早發(fā)現(xiàn),風(fēng)險(xiǎn)暴露窗口越短,風(fēng)險(xiǎn)才會(huì)大幅度降低。
2.發(fā)現(xiàn)
進(jìn)行業(yè)務(wù)數(shù)據(jù)泄露和數(shù)字資產(chǎn)泄露情報(bào)的獲取,應(yīng)該遵循3個(gè)方法:
2.1 數(shù)據(jù)必須進(jìn)行組織的映射,并且由組織向關(guān)鍵信息進(jìn)行輻射。
具體來說,應(yīng)該由組織名稱拓展到子組織和相關(guān)組織,然后對(duì)各級(jí)組織相關(guān)業(yè)務(wù)、系統(tǒng)、數(shù)據(jù)、產(chǎn)品、項(xiàng)目等進(jìn)行智能關(guān)鍵信息獲?。?/p>
2.2 盡可能覆蓋全面的公開威脅源。
數(shù)據(jù)泄露的重要泄露源就是公開網(wǎng)絡(luò)上的威脅源,其可能包含來自天眼查、企查查、Gitlib、Github、CSDN、百度網(wǎng)盤、百度文庫、微博等等,對(duì)各個(gè)威脅源、社交媒體、云存儲(chǔ)的覆蓋面越廣,查找到的數(shù)據(jù)越多,才能越全面的發(fā)現(xiàn)風(fēng)險(xiǎn);
2.3 具備非公開網(wǎng)絡(luò)的可視性。
非公開網(wǎng)絡(luò)主要是深網(wǎng)和暗網(wǎng),數(shù)據(jù)泄露的重要傳播源是暗網(wǎng)交易市場(chǎng),其特點(diǎn)是數(shù)量龐大、活躍度差異大、獲取方式隱秘、交易完全匿名等,對(duì)其進(jìn)行實(shí)時(shí)更新與監(jiān)控的難度較大,但極其重要。
3.優(yōu)先級(jí)排序
對(duì)于越大的組織,進(jìn)行越全面的監(jiān)控,其數(shù)據(jù)量越龐大,一個(gè)具備一定規(guī)模的組織獲取到的公共網(wǎng)絡(luò)數(shù)據(jù)可能達(dá)到數(shù)萬條以上。以往通過人工逐一篩查其風(fēng)險(xiǎn)性,效率極低且有可能遺漏本就不多的關(guān)鍵信息。所以對(duì)大量數(shù)據(jù)進(jìn)行智能化的優(yōu)先級(jí)排序就顯得尤為重要。通過合理的算法和規(guī)則不斷優(yōu)化數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)的賦值,以及抽取關(guān)鍵信息,以供安全運(yùn)維人員和安全專家進(jìn)行高效研判,才能取得有效的成果和價(jià)值。
四.隱私數(shù)據(jù)泄露與組織員工數(shù)據(jù)泄露
無論是組織存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)中的個(gè)人隱私數(shù)據(jù),還是組織員工(尤其是組織的VIP人物)的個(gè)人隱私數(shù)據(jù)泄露,都是非常嚴(yán)重的事情。它不僅會(huì)對(duì)組織帶來業(yè)務(wù)上的風(fēng)險(xiǎn),還會(huì)引來品牌和名譽(yù)的損失,更重要的是這可能會(huì)觸犯《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》。
與組織的業(yè)務(wù)數(shù)據(jù)等泄露不同,個(gè)人隱私數(shù)據(jù)有3個(gè)很重要的特點(diǎn):
1.利用難度低、命中率高、其風(fēng)險(xiǎn)極高。
個(gè)人隱私數(shù)據(jù)一旦泄露,尤其是手機(jī)號(hào)、郵箱、密碼、卡號(hào)等信息的泄露,極易成為黑客利用的首選手段,可能會(huì)導(dǎo)致釣魚或其他社會(huì)工程學(xué)攻擊;
2.直接損失大、間接損失影響深遠(yuǎn)。
如果組織員工的個(gè)人隱私數(shù)據(jù),尤其是組織VIP的個(gè)人隱私數(shù)據(jù)泄露,攻擊者很有可能直接通過登陸其郵箱、CRM系統(tǒng)、OA系統(tǒng)、業(yè)務(wù)系統(tǒng)、釘釘、VPN等,獲取組織敏感信息甚至核心數(shù)據(jù)(在不進(jìn)行其他技術(shù)攻擊和滲透的情況下即可完成)。攻擊者還可以進(jìn)行其他擴(kuò)展性攻擊,比如對(duì)個(gè)人賬單、銀行流水、消費(fèi)記錄、住宿記錄等進(jìn)行查詢和其他處置,它的影響是極其深遠(yuǎn)的;
3.告警和處置難度高。
相對(duì)于其獲取難度而言,其告警難度極高。在暗網(wǎng)中,流傳著大量個(gè)人隱私數(shù)據(jù)(其聚合數(shù)據(jù)也被稱為“社工庫”),對(duì)于專業(yè)的攻擊者來說獲得它們的難度和成本并不高。但是對(duì)于防御者來說,受制于法律法規(guī)的限制、因引起當(dāng)事人不悅而導(dǎo)致無法授權(quán)、以及避免數(shù)據(jù)被惡意使用等情況的考慮,具備此能力的情報(bào)廠商很難將此類情報(bào)完整的提供給相關(guān)組織。而相關(guān)組織的安全管理員無論是否獲得了完整的情報(bào)信息,在設(shè)法通知隱私數(shù)據(jù)被泄露的本人進(jìn)行處置時(shí),往往溝通過程會(huì)受到諸多質(zhì)疑、不悅、無視、挑戰(zhàn)等態(tài)度,導(dǎo)致其比系統(tǒng)漏洞的處置難度更高。
隱私數(shù)據(jù)泄露面臨的是利用簡單、命中率高、損失大、影響深遠(yuǎn),風(fēng)險(xiǎn)極大,卻難以告警和處置的局面。
情報(bào)觸達(dá)率低、使用率低,并不代表它們不存在。事實(shí)上,大量個(gè)人信息和隱私數(shù)據(jù)正在暗網(wǎng)中長期流傳。根據(jù)Identity Theft Resource Center (ITRC) 2021提供的數(shù)據(jù),僅在2021年泄露的隱私數(shù)據(jù),影響人員已高達(dá)18億以上,造成的直接損失在265-270億美元以上,而它們從泄露到發(fā)現(xiàn)的平均時(shí)間長達(dá)112天。對(duì)此,GDPR在2021年Q3一個(gè)季度開出的罰單就超過了2020年全年的3倍以上,達(dá)到11.4億美元。
目前我國對(duì)于數(shù)據(jù)安全、個(gè)人信息保護(hù)等方面的治理力度大幅加強(qiáng),已出臺(tái)和執(zhí)行相關(guān)法律法規(guī)。但在相關(guān)從業(yè)者認(rèn)知的提升、管理責(zé)任的落實(shí)、情報(bào)的合理使用等方面,尚需要加強(qiáng)和時(shí)間的沉淀。
免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。
關(guān)鍵詞:
新聞發(fā)布平臺(tái) |科極網(wǎng) |環(huán)球周刊網(wǎng) |中國創(chuàng)投網(wǎng) |教體產(chǎn)業(yè)網(wǎng) |中國商界網(wǎng) |互聯(lián)快報(bào)網(wǎng) |萬能百科 |薄荷網(wǎng) |資訊_時(shí)尚網(wǎng) |連州財(cái)經(jīng)網(wǎng) |劇情啦 |5元服裝包郵 |中華網(wǎng)河南 |網(wǎng)購省錢平臺(tái) |海淘返利 |太平洋裝修網(wǎng) |勵(lì)普網(wǎng)校 |九十三度白茶網(wǎng) |商標(biāo)注冊(cè) |專利申請(qǐng) |啟哈號(hào) |速挖投訴平臺(tái) |深度財(cái)經(jīng)網(wǎng) |深圳熱線 |財(cái)報(bào)網(wǎng) |財(cái)報(bào)網(wǎng) |財(cái)報(bào)網(wǎng) |咕嚕財(cái)經(jīng) |太原熱線 |電路維修 |防水補(bǔ)漏 |水管維修 |墻面翻修 |舊房維修 |參考經(jīng)濟(jì)網(wǎng) |中原網(wǎng)視臺(tái) |財(cái)經(jīng)產(chǎn)業(yè)網(wǎng) |全球經(jīng)濟(jì)網(wǎng) |消費(fèi)導(dǎo)報(bào)網(wǎng) |外貿(mào)網(wǎng) |重播網(wǎng) |國際財(cái)經(jīng)網(wǎng) |星島中文網(wǎng) |上甲期貨社區(qū) |品牌推廣 |名律網(wǎng) |項(xiàng)目大全 |整形資訊 |整形新聞 |美麗網(wǎng) |佳人網(wǎng) |稅法網(wǎng) |法務(wù)網(wǎng) |法律服務(wù) |法律咨詢 |媒體采購網(wǎng) |聚焦網(wǎng) |參考網(wǎng) |熱點(diǎn)網(wǎng)
中國資本網(wǎng) 版權(quán)所有
Copyright © 2011-2020 亞洲資本網(wǎng) All Rights Reserved. 聯(lián)系網(wǎng)站:55 16 53 8 @qq.com