攻击面管理工具简介及特点分析
一、传统安全产品理念的局限
业务的复杂性,导致可见性失控,看不见的风险
在以往每年举行的国家大型攻防演练活动中,真正能做到守住(失分小于1000)的防守单位不足20%,且这些企业代表了国内安全防御水平的最高水准。
企业的IT环境在变得越来越复杂,线下、私有云、公有云、多个云……数据资产开始大量汇聚。而这种复杂性带来的并不是安全水平质的提升,反而给攻击者更多曲径通幽的路径。
看见风险的前提是点清资产,面对在失控边缘徘徊的复杂体系,多少企业能看见自己95%的资产?Gartner判断,不到1%。
企业在逐渐失去对资产的可见和掌控:复杂IT环境、多类虚拟资产、快速业务更迭…盘根错节、千丝万缕的关联性,只要与被攻击目标的网络或业务存在关联,就会成为攻击路径中的一环,攻击面快速放大。
IT资产离散态,每个门落一把锁的安全防护现状
解决方法的现状是,沿袭传统单点防护思路,一个问题配一个安全工具,每个门上加一把锁,安全体系的复杂性已经超过业务复杂性。
大部分企业给自己绑了100条防护绳,也许防住了浮出海面的冰山一角,对于能不能防住真正的关联攻击,心里是没底的。事后抢险救火是最后一根防护链。根据Forrester的数据显示,集合现有安全工具,其实仅能覆盖40%的攻击面。
一项权限的审批,一个配置的改变,一场人事的变动,一次版本的迭代……都意味着企业数字资产的变更发生,而每一次的变更都有可能带来风险。线下资产本来已经有修不完的漏洞,云上配置错误持续产生新的漏洞……
现有的以「单点阻断」「事后防御」为特征的安全工具很难持续感知到攻击面的变化。防守者视角出发的安全工具无法阻断真实的攻击路径。
我们来看一下几类常见安全产品,在绘制攻击面时候的能力和局限:
- BAS攻击模拟、渗透测试、红蓝对抗等产品是单频的,纵深的点状发现
- VM漏洞扫描、Scanner扫描器则更关注具体的技术细节,缺少对于客户和行业的业务适配
- NDR、XDR、EDR等入侵检测产品更关注具体的技术攻击载荷和技术细节,强调通用性和标品特性,缺少对客户资产全生命周期的整体感知和监控
动态变化的攻击面,需要更有效的风险控制手段。
二、企业信息化和数字化改造背景下对安全体系建设的需求变化
云上做安全,更需要攻击面管理
2018年,美国企业的上云率已经超过85%(国务院发展研究中心发布的《中国云计算产品发展白皮书》),仅仅两年后,其市场SaaS化渗透率也达到了73%。
也正是这一年,Gartner首次提出攻击面管理(Attack Surface Management)的概念,旨在以攻击者视角对企业数字资产进行全面发现和风险处置,被视为安全从被动防御向主动转变的开端。
大洋彼岸,中国数字化经济也在经历腾飞。2022年国内SaaS化市场规模达到538亿,混合云渗透率将在2024年达到70%。数据的孤岛被打破,IT环境在庞杂异构中越来越复杂,传统「外科式」的安全防御思想越加臃肿,企业需要能构建内部「免疫力」的持续性安全运营。
企业的安全运维专家可以在控制台,针对企业面临的风险定制开发安全巡检策略,借助系统的调度能力,针对性的筛选出想要监控资产的安全状态,持续巡检资产存在的高危漏洞、数据泄露、影子资产、供应链安全等风险。发现风险后并对风险的优先级进行排序,将最重要、紧急的风险即时对接安全工单系统,将漏洞自动分配给安全责任人或研发修复,实现全流程的资产、风险管控。
客户的IT资产更加分散、攻击面路径更加多元
三、供应链安全和攻击面管理的区别
攻击面是指组织暴露在互联网上的全部数字资产,它们可能被网络攻击者利用,成为突破口,包括:
- 硬件设备:例如IOT设备等
- 应用程序:主要指设备上运营的软件
- SaaS服务:例如API接口等
- 云上资源
- 网站:主要指网站应用
- IP地址
- 社交媒体帐户:企业员工所拥有的社交媒体账号
- 第三方供应商的应用系统:主要指供应链软件风险
随着企业数字化转型的发展,往往有大量资产暴露在攻击者的面前,其中一些源自影子IT和仍在整个组织中使用的淘汰技术,商业并购活动也会产生出大量未被清点的数字化资产。此外,许多企业现在依靠远程工作模式度过疫情危机并保持竞争力,这导致难以监管的IT设备快速增加。这些因素使得企业很难以人工方式准确管理攻击面并保持同步,需要借助先进的技术手段来实现管理目标,供给面管理(ASM)解决方案应运而生。
- 传统的资产管理、漏洞管理、供应链安全都是从企业/用户的视角,对用户所拥有的IT资产进行盘点和梳理,被动地接受来自不可预知的安全攻击。
- 攻击面管理的理念正好相反,它从攻击者视角对风险进行提前的枚举与梳理,更有针对性地评估在特定攻击面的存在前提下,对企业的资产尽心全方位的风险发现与风险定级。
ASM的身上可以看到很多传统安全工具的影子:漏洞管理、黑白盒测试、扫描器、渗透测试……这些安全技术是ASM能够产生风险绘制能力的锚点,也可以理解为这一类安全产品的演进方向。ASM将单点的安全技术融合起来,从攻击者视角出发,通过资产的生命周期监控和对攻击的全链路刻画,构建了逻辑链路完整的管理体系,这也让其成为安全运营体系中不可或缺的一环。
四、攻击面管理ASM的核心客户价值
- 资产与攻击面的探查:发现影子、未知IT资产、供应链第三方资产等,并进行攻击面分析与识别,并根据资产类型和重要程度进行打标管理
- 探查并阻断真正的风险:基于大量渗透测试、攻击情报等积累的经验,从攻击者视角出发,梳理真实的攻击路径,找到能真正对业务造成影响的风险,并进行优先级排序,减少无效噪音,提升运维效率
- 持续性变更感知:
- 对于资产、攻击面的进行定期安全巡检,并通过和各类安全产品、网络设备联动,提升风险感知和处理力
- 通过这类体系化、自动化攻击面管理动作,将安全工作从「低频」变为「高频」,从事后攻击阻断变为日常运营
五、攻击面管理方案选型指标
攻击面管理(ASM)是一套旨在发现、分类和评估组织资产安全状况的方法。通过ASM评估,可以为安全团队在实施保护加强机制方面指出正确的方向。
一款有价值的ASM解决方案,需要能够从外部攻击者的视角,以持续的系统化流程去发现安全风险和漏洞。它通常包括这四个部分:
- 识别可能引发网络攻击的所有本地和云端资产,并查找其中的安全漏洞
- 基于可能遭受攻击的容易程度和攻击可能造成的损坏范围,对这些资产进行分类
- 确定高风险资产的修复优先级,落实相应的处置措施,并验证修复效果
- 持续监控攻击面,不断发现新的安全缺口
企业需要根据自身的实际应用需求来选择最合适的产品。在选型决策时,企业可以重点关注以下选型指标:
- 资产发现能力:ASM方案需要能够自动化地发现企业所有数字资产,特别是那些还未知的数字资产,并对其进行风险评级,以创建一个完善的风险修复策略
- 威胁可用性分析:ASM方案应该具有综合报告和威胁可利用性的洞察力,而不是简单的数据提取,组织管理者需要的是能够支持决策的意见,需要的是从海量数据分析中得出的结论
- 确定资产防护优先级:对于需要解决的问题,安全运营团队不可能做到面面俱到,需要集中力量解决更危险的问题
- 资产标记选项:ASM方案需要能够对资产进行标记,资产管理及治理是企业做好攻击面管理工作的前提
- 以攻击者视角:ASM方案需要能够模拟出真实黑客攻击的想法和手段,对组织进行攻击面管理指导工作
- 自定义资产管理范围:用户能够根据业务的变化灵活调整资产数量
- 易于使用:具有友好的产品界面,能够尽可能的自动化运行,并可灵活调整产品监测范围
- 误报率低:尽可能避免误报对客户业务工作的影响
