近年来,随着攻防对抗技术的不断升级,攻击面管理(Attack Surface Management,简称ASM)、扩展检测与响应(Extended Detection And Response,简称XDR)、入侵与攻击模拟(Breach and Attack Simulation,简称BAS)和欺骗防御Deception成为安全运营的重要技术。

国内2016年开始的大型攻防演练活动也极大地影响着甲方安全建设与运营的指导思想,从纯合规走向能力导向,强调实战化效果,另一方面也推动了国内安全技术与产品的创新,出现了欺骗防御、资产测绘、攻击面管理、XDR(NDR)等一系列新的产品。

自Gartner于2021年7月发布的《Hype Cycle for Security Operations, 2021》报告中提到EASM(External attack surface management)和CAASM( Cyber asset attack surface management)是安全运营的一种关键新兴技术以来,国内各大厂商也纷纷引用,漏管厂商、情报厂商、资产测绘厂商、初创公司和行业媒体不断宣传,显得非常火爆。

这点不得不佩服Gartner的市场洞察与造词能力,事实上,在攻击面管理这一词被正式提出之前,攻击面、暴露面、互联网资产测绘和未知攻焉知防、以攻促防等词汇与理念并不陌生,很多厂商都在研发相关的产品,比如我们当初研究的国外厂商RiskIQ、Axonius、Digital Shadows、Censys等。我们最早的系统叫以攻为守的情报分析系统,起步也是从互联网资产(特别是边缘和未知资产)发现、敏感信息泄露检测与POC漏洞验证开始的,需求源于一些头部客户无论怎么做漏扫、渗透测试还是众测依然常被未知资产的漏洞困扰的痛点,为了客户容易理解,产品后来改叫互联网资产风险监控系统。想当初我们去和客户交流时常被要求解释和漏扫、渗透测试服务的区别,随着这几年的大型实战化攻防演练活动的深入开展, 互联网资产测绘、暴露面收敛成为参与演习单位的首要工作,外部攻击面管理EASM也是正当其时,所以从这个角度来讲,攻击面管理并不像零信任那么虚热,无独有偶,另外一个咨询机构Forrester也提出攻击面管理是数字化转型时代的关键。

我去年在“网络空间资产安全管理实践与创新”一文中提到:“团队小伙伴过去几年在部分头部客户的实践与Gartner的上述两项技术洞察基本一致,只是Gartner预测成熟期需要5-10年,个人表示不敢苟同,数字化转型、新冠疫情和当前国际环境会加速这个过程”。

果然在刚刚出台的2022年中国网络安全成熟度曲线报告中, Attack Surface Management in China(中国的攻击面管理)已经快速上升到了半山腰。这也验证了我之前的一个观点:随着大的环境的变化,实战化安全运营驱动国内网络安全行业的创新,中美在某些领域不像以前差距那么远了。

其实在国外,这个领域也被资本非常看好,这是近两年的部分收购与融资事件:

攻击面管理为什么这么火?是老酒换新瓶还是新利器横空出世?其产生的背景及演变历史、核心价值与能力要求是什么?与现有安全技术的关系是怎样?未来去向何方?作为在这个领域摆了好久地摊的人,谈些个人看法。

一、为什么需要攻击面管理

一方面,数字化转型重塑IT架构,大多数组织的网络资产数量和复杂性前所未有的增加,攻击面急剧扩大。

Gartner2022年网络安全与风险管理七大趋势预测中,将攻击面扩大列为首位:

比如很多政企单位,原来只有对外发布信息的几个网站,现在无论是业务还是远程办公都愈发依赖公网、云、物联网,除了传统的已知互联网IP、域名、端口、漏洞外,配置缺陷、凭证、影子资产、App、公众号、小程序、SaaS应用、API、复杂的数字供应链和关联机构都可能成为攻击利用点,暗网、论坛、文库、网盘、开源社区、社交媒体等平台也可能泄露单位敏感信息,带来数据泄露和入侵的风险。

另一方面,攻击手法层出不穷,安全挑战指数级增长。除漏洞攻击外,利用社会工程学、泄露的代码和敏感信息、盗用的凭证、影子资产、数字供应链等弱点,通过分子公司网络、供应链(或网络)、VPN、运维员工违规外联通道和第三方接入的系统作为突破口的攻击令人防不胜防。

攻防本身具有不对称性,如:点对面、暗对明、趁其不备对24小时防守等:

多年建设的防御体系在攻击者面前捉襟见肘,攻防不对称性加剧。

孙子兵法云:知彼知己者,百战不殆;不知彼而知己,一胜一负,不知彼,不知己,每战必殆。

网络安全的本质在对抗,我们需要做到比攻击者更快,要就首先像攻击者一样思考,具备攻击者视角,知彼知己才有可能打赢这种战争,而搞了多年的安全建设,看似购买了很多先进的武器,很多单位连知己都做不到,或者只是防御者思维的知己,以防御者视角构建的防御体系更多聚焦在已知IT资产的漏洞发现与修复上。

而传统的解决方案,过于碎片化、维护成本高,信息孤岛、缺乏上下文信息,造成效率低下,安全运营人员往往淹没在大量的告警、漏洞和事件中不知所措,而态势感知类平台无法给予精准的处置建议和行动的优先级。

传统人工、快照式、长周期性、工具式的方式无法有效应对攻击面持续扩大的网络风险与威胁。

缺乏攻击者视角、扩大的数字产风险缺乏有效管理、分钟级应急响应要求、安全工具过于碎片化等几个原因是攻击面管理诞生的背景,ASM目标是提供攻击者视角,比攻击者更快更全更准地发现薄弱环节,在攻击者利用之前提前响应,改变攻防极度不对称的局面。

二、攻击面管理的基本概念

了解概念之前,先看攻击面管理是如何被提出的:

2018年 ,Gartner在一次安全沙龙上督促CSO监测与管理攻击面。

2019年分析师拉波特首次提出攻击面管理的概念,该分析师现在一家叫Cymru的攻击面管理公司。

Gartner在2021年3月发布的《新兴技术:外部攻击面管理关键洞察》中对EASM的定义是:⼀种流程和技术的组合,⽤于发现可能存在风险的⾯向外部(互联⽹暴露)的企业资产和系统。这些资产很多是未知的,如证书、⼦域、IP、公共云服务错误配置、SaaS应用、泄露的代码、暴露的数据库、可被攻击者利⽤的漏洞等,EASM的关键优势是提供了由外而内的攻击者视⻆,成为更⼴泛的威胁和漏洞管理⼯作的⼀部分。

攻击面管理在真正国内大炒是2021年7月Gartner发布安全运营技术成熟曲线以后。该报告提出攻击面管理成为一种新兴技术可有效用于安全运营,并把攻击面管理分为外部攻击面(External Attack Surface Management,缩写为EASM)和网络资产攻击面(Cyber Asset Attack Surface Management,缩写为CAASM)。EASM强调外部攻击者视角,针对暴露在公网的资产(包括互联网、云、物联网、智慧城市等环境下的资产与风险),主要通过黑客探测的手法与情报来进行分析。CAASM则强调内外部全局视角,通过API与其他系统集成的方式来解决持续的资产可见性和漏洞风险。

在2022年10月出的中国安全运营技术成熟度曲线报告中,Gartner提出攻击面管理ASM由 三个主体能力支撑:网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)和数字风险保护服务(DRPS),分别对应内部、外部和数字风险。

2022年国内安全咨询机构数说安全也把攻击面管理列为中国网络安全十大创新方向。

Gartner对攻击面管理的定义是: 持续地发现、分类和评估组织所有资产的安全性,是人员、流程、技术和服务的有机结合。

Forrester 在 2022 年初发布的报告中将攻击面管理定义为“持续发现、识别、清点和评估实体 IT 资产风险的过程。”

不管哪个定义,可以看到,ASM不仅仅是技术或产品,是包含技术在内的管理过程或PPT的组合。

资产与风险的持续可见性、优先级和效率是ASM的三个核心价值,攻击面管理需要具备发现、管理、验证、优先级、跟踪五个方面的能力。

那么到底管理哪些攻击面,或者什么叫攻击面呢,美国国家标准与技术研究院 NIST对攻击面的定义是:

Theset of points on the boundary of a system, a system element, or an environment[the assets] where an attacker can try to enter, cause an effect on, or extract data from, the system, system element, or environment.

简单来说,攻击面是未经授权即能访问和利用的企业数字资产的所有潜在入口的总和,并非所有资产暴露面都可以成为攻击面,只有可利用暴露面叠加攻击向量才会形成攻击面。

三、攻击面管理与其他技术的关系

根据国外攻击面管理公司Randori发布的2022年攻击面管理报告表明,75%的组织仍然依靠电子表格来手动管理攻击面。此外,每次进行时间点评估更新时,平均要花2周以上,即80个小时来更新其攻击面清单。

可以说,攻击面管理这个工作很多安全运营者或多或少都在做,比如;漏洞扫描、Web扫描、漏洞管理、影子资产排查、敏感信息泄露检测、渗透测试、互联网资产测绘、资产梳理或人工清点等。

前面也提出,行业对攻击面、暴露面这样的词汇并不陌生,从网络安全本质是风险管理的角度来看,风险三要素资产、脆弱性和威胁是基础,无论怎么造词,万变不离其中,运营者需要利用天时地利和技术优势来,尽量做到知彼知己来对抗攻防者。安全运营人员日常的工作也脱离不了资产管理、脆弱性(漏洞管理)管理、威胁分析和事件处置这几个事,可惜常见的问题依然是资产不全不准、威胁告警过多、碎片化安全产品及满眼地图炮而不知何从下手的问题。

攻击面管理是攻防实战和对抗的下的一种主动防御的思想与理念,Gartner提出攻击面管理成为更⼴泛的威胁和漏洞管理工作的⼀部分,从这个意义来讲,是做面向威胁的漏洞管理,是站在潜在攻击者的角度来不断审视与管理资产和薄弱环节的持续过程。是一种集成的技术与能力、流程的组合,聚焦攻击者视角,致力于在攻击发生前发现和修复暴露面,封堵可能被利用的攻击路径。

先说下个人的观点:攻击者视角是ASM的初心与核心ASM是用攻击者视角运营防守方的资产安全。ASM和入侵与攻击模拟BAS、渗透测试是相互补充而不是替代的关系,CMDB与CAASM也能相互赋能,ASM可以整合漏洞扫描、威胁情报在内的很多工具的能力, VPT(漏洞优先级技术)工具有助于漏洞的优先级判断与快速缓解,资产测绘是ASM的能力子集,资产全面可见性是ASM的基础,做不好资产安全管理,“风险优先级”如筑高台于浮沙。

有空的时候详细分析下各种相关技术之间的区别和我为啥得出这样的结论。

四、攻击面管理的未来展望

攻击面管理是一项具体的技术还是安全理念或方法论,会成为一个自称体系的产品市场还是与其他产品合并?这是个值得思考的问题,但并不阻碍我们构建各自的攻击面管理能力。长期以来,网络安全行业一直在不断强调威胁检测和响应的作用,但是现实表明,各种新型的网络攻击不仅没有减少,而且似乎无法阻止,业界需要反思,该更多考虑类似攻击面管理这种主动防御的技术了,forward defense“ approach focuses on prevention, not reaction。这才是关口前移,防患于未然。

攻防技术此消彼长,防守技术一直受制于攻击技术的发展,作为一种有效改变攻防不对称局面的技术,一定会因攻击思路和战法的改变而演变,实战攻防对抗的激励程度驱动着攻击面管理的迭代速度,所以也很难预测未来会怎样发展,但以下三个方面可能是个趋势。

1、持续治理与指标化运营

在攻击面管理过程中,沉淀的经验逐步升华为知识,并制定各类可度量的指标以完善风 险评估与响应处置的评价体系,持续作用于风险治理的各类工作。

攻击面管理是包含人员、流程、技术和服务在内的活动,不能仅靠单纯的数据或工具,因为对攻击面管理工作也不是一蹴而就的,需要持续的优化方法和运营过程,通过安全专家的综合分析,将合适的数据和技术工具起来,对各种风险进行排序,实现最优化的应对策略。实践证明:基于攻击面管理平台+运营服务+攻击面治理方法论,结合各种对接的安全工具和流程能实现攻击面管理的最佳效能。

2、能力融合降本提效

碎片化的技术无法提供快速应对各种挑战的能力,Gartner在研究报告中指出:企业优先考虑单一方式解决关键问题的综合性方案,安全技术的融合在加速,降低复杂性与共享上下文,减少费用。

把攻击面管理需要的各类能力整合到一个平台上,这将提升速度和准确性,因为再也不需要频繁切换安全平台或工具去调查某个细节场景,所有关键的资产、风险和威胁数据已经整合到了一个平台。从成本角度考量,现在只需购买一个平台而不是多个,不仅有价格上的优势,而且管理一个平台的时间精力也能大幅降低。

3、AI与威胁情报驱动

当面临真实的网络攻击时,滞后的响应可能会让企业蒙受数百万的损失。在入侵者发起攻击之后,每过去一个小时,都意味着风险不断增大。如何有效减少MTTR,是ASM未来应该着重关注的方向。提高MTTR指标的重要手段之一,就是融入安全情报。通过持续监控易受攻击的资产,并融入威胁情报,将进一步提升风险评价能力:从战略观点到安全决策推动,从战术观点确定补救工作的优先级次序。

使用AI和开源智能情报信息(OSINT),可从黑客的视角观察企业资产暴露情况,利用机器学习技术和自然语言处理能发现第三方资产以及因并购产生的资产。

新理念、新技术、新产品可能会过度营销,对于政企用户来讲,需要关注的不仅是这技术本身的成熟度以及创新性是否足够,能否切合现有安全解决方案及能力整合,整体提升ROI,也是至关重要的,最近我们和行业咨询机构正在调研头部客户在攻击面管理方面的现状与实践,输出用户关键洞察与业内最佳实践,敬请期待。

声明:本文来自村长的鱼塘,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。