攻擊面管理(Attack Surface Management)的概念已經(jīng)存在三年以上了,但是在過去的一年(2021年)���,整個安全行業(yè)突然迅速接納了它。一方面這表示行業(yè)對實戰(zhàn)型攻防技術的認知有了快速提升����,另一方面表示攻擊面管理(ASM)技術理念是符合場景化剛需的。
一.什么是攻擊面管理
首先從理論層面對攻擊面管理進行說明�。Gartner在《Hype Cycle for Security Operations, 2021》中共有5個相關技術點:外部攻擊面管理(EASM)、網(wǎng)絡資產攻擊面管理(CAASM)���、數(shù)字風險保護服務(DRPS)、漏洞評估(VA)��、弱點/漏洞優(yōu)先級技術(VPT)����。
這是一個神奇的事情�����,為什么攻擊面管理會涉及到這么多技術領域?我們以Gartner推薦廠商Cyberint和RiskIQ為例��,他們都強調了一件重要的事:獲得攻擊者的視角?�,F(xiàn)代化網(wǎng)絡攻擊的最大特點之一就是基于大量數(shù)據(jù)的立體化攻擊��。
對于功能堆疊的剛性防御體系來說���,立體化攻擊就如同降維打擊的存在。所以需要獲得攻擊者的視角����,進行動態(tài)的主動防御。
這就是攻擊面管理誕生的初衷���。
繼《2021安全運營技術成熟度曲線》之后��,Gartner又在《新興技術:外部攻擊面管理關鍵洞察》中進行了一系列詳細的描述:
1�����、資產的識別及清點:識別未知的(影子)數(shù)字資產(如網(wǎng)站���、IP����、域名、SSL證書和云服務)����,并實時維護資產列表����;
2、漏洞修復及暴露面管控:將錯誤配置���、開放端口和未修復漏洞根據(jù)緊急程度���、嚴重性來進行風險等級分析以確定優(yōu)先級;
3�、云安全與治理:識別組織的公共資產,跨云供應商�,以改善云安全和治理,EASM可以提供全面的云資產清單�����,補充現(xiàn)有的云安全工具��;
4����、數(shù)據(jù)泄漏檢測:監(jiān)測數(shù)據(jù)泄漏情況����,如憑證泄漏或敏感數(shù)據(jù);
5�、子公司風險評估:進行公司數(shù)字資產可視化能力建設�����,以便更全面地了解和評估風險�;
6、供應鏈/第三方風險評估:評估組織的供應鏈和第三方有關的脆弱性及可見性�,以支持評估組織的暴露風險��;
7、并購(M&A)風險評估:了解待并購公司數(shù)字資產和相關風險���。
網(wǎng)絡資產攻擊面管理(CAASM)則傾向于以智能化的手段更高效的識別組織內部的資產和漏洞:CAASM是一種新興的技術����,專注于使安全團隊能夠解決持久的資產可見性和漏洞的挑戰(zhàn)�。它使組織能夠通過API與現(xiàn)有工具的集成��、對合并后的數(shù)據(jù)進行查詢��、識別安全控制中的漏洞和差距的范圍��,以及修復問題���,來查看所有資產(包括內部和外部)的風險。(以上是Gartner的定義�,從筆者的角度來看���,這更像是一個更強大的���、進行智能化拓展后的漏洞管理系統(tǒng)����,也許未來漏洞管理系統(tǒng)的功能模型就將是CAASM����。)
需要特別指出的地方是,Gartner認為“攻擊面管理能力可跨越到其他現(xiàn)有的安全領域�,主要是數(shù)字風險保護服務(DRPS)”���。甚至在2021年10月25日其發(fā)布的《Competitive Landscape: Digital Risk Protection Services》中預言:
到2023年底�,超過50%的DRPS供應商將增加EASM功能��,作為其數(shù)字足跡功能的自然擴展�����。
由于國內某些概念的誤導����,DRPS的技術綱要并沒有正確的被傳達,為了更有效的說明ASM應該包含的技術點�,我們有必要對它進行技術點說明。
Gartner:通過提供技術與服務���,保護組織的關鍵數(shù)字資產和數(shù)據(jù)免受外部威脅。這些解決方案提供了對開放(表面)網(wǎng)絡�、社交媒體、暗網(wǎng)和深網(wǎng)的可視性��,以識別關鍵資產的潛在威脅�,并提供有關威脅參與者��、其進行惡意活動的策略和流程的背景信息����。
識別暴露的有風險的數(shù)字資產���,具體包含:
1�、組織的數(shù)字足跡(云存儲服務����、打開的端口和未修補過的漏洞等);
2���、品牌保護(域名搶注和冒充高管等)��;
3�、組織的賬戶接管風險(電子憑證、組織的賬戶信息被盜等)����;
4�、詐騙活動(網(wǎng)絡釣魚檢測、信用卡泄露��、客戶資料泄露等)��;
5��、泄露數(shù)據(jù)(具有知識產權的數(shù)據(jù)�、資料����、代碼等)。
至此�����,我們看到,ASM(攻擊面管理)包含EASM(外部攻擊面管理)和CAASM(網(wǎng)絡資產攻擊面管理)�����,EASM與DRPS(數(shù)字風險保護服務)有拓展和重疊之處�,它們都需要VA(漏洞評估)和VPT(弱點/漏洞優(yōu)先級技術)的功能和技術支持�����。
二.攻擊面管理產品的實現(xiàn)
以上雖然對攻擊面管理進行了理論構架和其構成要素分析�����,但作為產品實現(xiàn)仍然過于抽象���。接下來我們以產品設計的角度來分析它應該具備的功能模型����。
首先需要明確的是,一個完整的攻擊面管理產品����,其產品形態(tài)應該是:
云端數(shù)據(jù)+私有化部署��。
下面說明它的詳細功能��。
攻擊面管理產品應具備以下功能:
ASM功能組
1、網(wǎng)絡空間測繪(CAM)
網(wǎng)絡空間測繪技術誕生已有10年歷史����,技術成熟,這里不再進行詳細說明���,需要說明的是�,它必須從全互聯(lián)網(wǎng)角度進行測繪����,以保證不會遺漏組織的外部IT資產和影子資產���。
2�、組織架構和關聯(lián)組織的識別
為了保證組織對應IT資產的全面和準確(尤其是對于影子資產)��,以及為子公司和有關聯(lián)(M&A)的企業(yè)進行評估����,必須優(yōu)先進行組織架構的識別和映射。
3���、數(shù)字足跡的映射
這個概念很好理解�,就是要將相關組織�����、子公司����、關聯(lián)組織等與IT資產進行映射�。但是從實踐的角度出發(fā),傳統(tǒng)的網(wǎng)絡空間測繪的引擎設計邏輯需要進行調整�,以目前先進行盲測再使用關鍵字識別、icon識別和標簽等方法���,很難做到全面和準確的映射�����。
4、供應鏈的識別和風險暴露面
供應鏈攻擊在最近一年對全球造成了很大影響�����,需要對組織使用的產品��、第三方組件��,供應商進行盡可能的探測����、識別和風險暴露面的發(fā)現(xiàn)����。
TI功能組
這里提到的威脅情報,并非狹義上定義的“僵木蠕威脅情報”���,而是更廣義的�����,會對業(yè)務和數(shù)據(jù)造成直接影響的情報源的探測和主動情報收集。隨著《數(shù)據(jù)安全法》和《個人信息保護法》的頒布和執(zhí)行�,該部分既涉及到組織自身的業(yè)務影響�,也涉及到合法合規(guī)問題�����,所以本章僅列出內容�����,在下述章節(jié)詳細討論�。這里特別說明的是�,該部分必須包含“對暗網(wǎng)的可視性”。
1�����、業(yè)務數(shù)據(jù)和數(shù)字資產泄露情報
2�����、隱私數(shù)據(jù)泄露和內部人員數(shù)據(jù)泄露情報
VPT功能組
關于VPT�����,筆者在之前《漏洞優(yōu)先級技術(VPT)導論》中進行了發(fā)展和原理性說明���,這里僅從產品功能上進行描述。其至少應該包含4個主要功能和一些輔助功能�����,具體是:
1����、全面、快速的資產發(fā)現(xiàn)能力
2���、多類型掃描器調度和多維度漏洞評估
3�����、漏洞情報和智能優(yōu)先級排序
4、漏洞全生命周期管理流程和自動編排
基于以上功能說明�,對攻擊面管理產品的定位和功能模型就很清晰了,其可以描述為:
攻擊面管理系統(tǒng)(產品):
將組織與其不斷發(fā)展的外部和內部IT系統(tǒng)及數(shù)字足跡進行映射�����、與漏洞情報數(shù)據(jù)進行關聯(lián)����,并持續(xù)發(fā)現(xiàn)業(yè)務數(shù)據(jù)和代碼泄露����、組織和人員信息的泄露�����、以及對供應鏈的攻擊面進行檢測��,通過對全球開放網(wǎng)絡和非公開網(wǎng)絡的情報源���、組織自身業(yè)務上下文等進行大量數(shù)據(jù)采集和弱點優(yōu)先級分析�����,為組織輸出攻擊面情報,以提供給組織更高級別的主動防御����。
三.業(yè)務數(shù)據(jù)泄露與數(shù)字資產泄露
該部分將闡述組織業(yè)務數(shù)據(jù)泄露、內部文件或與組織相關的文檔和文案在外部暴露�����、組織相關的業(yè)務系統(tǒng)和軟件的代碼和配置泄露等情況下,對組織帶來的風險���、以及應該如何發(fā)現(xiàn)和如何進行智能優(yōu)先級排序建議���。
1.風險
組織的業(yè)務數(shù)據(jù)�、內部文件�����、項目信息�、財務數(shù)據(jù)、核心圖紙�����、軟件代碼�����、業(yè)務系統(tǒng)配置等等��,有可能因為內部人員的工作習慣(例如將文件上傳到某些互聯(lián)網(wǎng)服務器或者網(wǎng)盤上)����,也有可能因為開發(fā)人員的誤操作(例如Github權限設置不當),或者被惡意竊?����。ɡ绾诳屯ㄟ^技術手段獲得���、或者某些未授權人員通過其他違規(guī)手段獲得)等,傳播在互聯(lián)網(wǎng)或者暗網(wǎng)上���。這可能導致組織內部機密外泄���,或者導致黑客利用獲取的代碼和配置文件獲知業(yè)務系統(tǒng)漏洞等等。
其帶來的風險通常是直接且隱蔽的�。
以往,由于網(wǎng)絡攻擊導致的���,從泄露到組織發(fā)現(xiàn)的間隔時間,平均在87天�,而由于人員誤操作導致的時間間隔,平均在207天。在此期間����,組織相關的泄露數(shù)據(jù)都面臨著極高的被他人利用的風險,越早發(fā)現(xiàn)�,風險暴露窗口越短��,風險才會大幅度降低�����。
2.發(fā)現(xiàn)
進行業(yè)務數(shù)據(jù)泄露和數(shù)字資產泄露情報的獲取�����,應該遵循3個方法:
2.1 數(shù)據(jù)必須進行組織的映射���,并且由組織向關鍵信息進行輻射。
具體來說���,應該由組織名稱拓展到子組織和相關組織,然后對各級組織相關業(yè)務����、系統(tǒng)�����、數(shù)據(jù)���、產品、項目等進行智能關鍵信息獲??;
2.2 盡可能覆蓋全面的公開威脅源。
數(shù)據(jù)泄露的重要泄露源就是公開網(wǎng)絡上的威脅源�����,其可能包含來自天眼查�、企查查、Gitlib���、Github、CSDN���、百度網(wǎng)盤��、百度文庫��、微博等等����,對各個威脅源���、社交媒體����、云存儲的覆蓋面越廣�����,查找到的數(shù)據(jù)越多����,才能越全面的發(fā)現(xiàn)風險�����;
2.3 具備非公開網(wǎng)絡的可視性���。
非公開網(wǎng)絡主要是深網(wǎng)和暗網(wǎng)��,數(shù)據(jù)泄露的重要傳播源是暗網(wǎng)交易市場���,其特點是數(shù)量龐大、活躍度差異大�����、獲取方式隱秘�����、交易完全匿名等���,對其進行實時更新與監(jiān)控的難度較大,但極其重要�����。
3.優(yōu)先級排序
對于越大的組織�,進行越全面的監(jiān)控,其數(shù)據(jù)量越龐大�,一個具備一定規(guī)模的組織獲取到的公共網(wǎng)絡數(shù)據(jù)可能達到數(shù)萬條以上。以往通過人工逐一篩查其風險性���,效率極低且有可能遺漏本就不多的關鍵信息�。所以對大量數(shù)據(jù)進行智能化的優(yōu)先級排序就顯得尤為重要��。通過合理的算法和規(guī)則不斷優(yōu)化數(shù)據(jù)風險等級的賦值���,以及抽取關鍵信息,以供安全運維人員和安全專家進行高效研判���,才能取得有效的成果和價值��。
四.隱私數(shù)據(jù)泄露與組織員工數(shù)據(jù)泄露
無論是組織存儲的業(yè)務數(shù)據(jù)中的個人隱私數(shù)據(jù)��,還是組織員工(尤其是組織的VIP人物)的個人隱私數(shù)據(jù)泄露�,都是非常嚴重的事情���。它不僅會對組織帶來業(yè)務上的風險���,還會引來品牌和名譽的損失����,更重要的是這可能會觸犯《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》和《個人信息保護法》�����。
與組織的業(yè)務數(shù)據(jù)等泄露不同�,個人隱私數(shù)據(jù)有3個很重要的特點:
1.利用難度低�、命中率高、其風險極高���。
個人隱私數(shù)據(jù)一旦泄露,尤其是手機號�����、郵箱�、密碼、卡號等信息的泄露��,極易成為黑客利用的首選手段�����,可能會導致釣魚或其他社會工程學攻擊��;
2.直接損失大�、間接損失影響深遠。
如果組織員工的個人隱私數(shù)據(jù)���,尤其是組織VIP的個人隱私數(shù)據(jù)泄露�,攻擊者很有可能直接通過登陸其郵箱����、CRM系統(tǒng)��、OA系統(tǒng)����、業(yè)務系統(tǒng)、釘釘����、VPN等����,獲取組織敏感信息甚至核心數(shù)據(jù)(在不進行其他技術攻擊和滲透的情況下即可完成)�����。攻擊者還可以進行其他擴展性攻擊,比如對個人賬單���、銀行流水��、消費記錄����、住宿記錄等進行查詢和其他處置�����,它的影響是極其深遠的�;
3.告警和處置難度高�����。
相對于其獲取難度而言,其告警難度極高��。在暗網(wǎng)中��,流傳著大量個人隱私數(shù)據(jù)(其聚合數(shù)據(jù)也被稱為“社工庫”)��,對于專業(yè)的攻擊者來說獲得它們的難度和成本并不高����。但是對于防御者來說���,受制于法律法規(guī)的限制�、因引起當事人不悅而導致無法授權����、以及避免數(shù)據(jù)被惡意使用等情況的考慮,具備此能力的情報廠商很難將此類情報完整的提供給相關組織�。而相關組織的安全管理員無論是否獲得了完整的情報信息�,在設法通知隱私數(shù)據(jù)被泄露的本人進行處置時,往往溝通過程會受到諸多質疑����、不悅�����、無視、挑戰(zhàn)等態(tài)度���,導致其比系統(tǒng)漏洞的處置難度更高����。
隱私數(shù)據(jù)泄露面臨的是利用簡單�、命中率高���、損失大���、影響深遠,風險極大��,卻難以告警和處置的局面���。
情報觸達率低、使用率低��,并不代表它們不存在。事實上����,大量個人信息和隱私數(shù)據(jù)正在暗網(wǎng)中長期流傳。根據(jù)Identity Theft Resource Center (ITRC) 2021提供的數(shù)據(jù)����,僅在2021年泄露的隱私數(shù)據(jù)��,影響人員已高達18億以上��,造成的直接損失在265-270億美元以上�,而它們從泄露到發(fā)現(xiàn)的平均時間長達112天。對此��,GDPR在2021年Q3一個季度開出的罰單就超過了2020年全年的3倍以上���,達到11.4億美元。
目前我國對于數(shù)據(jù)安全�����、個人信息保護等方面的治理力度大幅加強�����,已出臺和執(zhí)行相關法律法規(guī)。但在相關從業(yè)者認知的提升�����、管理責任的落實����、情報的合理使用等方面��,尚需要加強和時間的沉淀�。
免責聲明:市場有風險��,選擇需謹慎��!此文僅供參考�,不作買賣依據(jù)��。
關鍵詞:
