洞见RSA2022 | 安全运营下的资产攻击面管理

数字化时代,数字技术驱动各行业加快转型升级。各种新产业、新模式、新业态快速增长,产业数字化转型方兴未艾。网络安全作为数字化、智能化发展的前提与基础,是推动数字经济发展的重要抓手。数字化转型的持续推进,进一步引领网络安全向数字安全阶段演进与变革。汇集全球信息安全产业焦点的RSA大会已于旧金山时间6月9日落下帷幕,今年大会的主题为“Transform(转型)”。在数字化转型背景下,这一主题的设定,也代表了全球网络安全行业对安全技术发展趋势的新一轮思考与实践。

十四五期间,数据成为数字经济时代的重要生产要素,数字技术应用与数据价值的挖掘、开发与利用,为现代企业数字化转型与发展注入了创新驱动力。在数字化转型与业务治理数字化的趋势下,企业将会应对更加复杂的网络安全风险与挑战,企业网络安全建设正在从合规驱动向业务和数据驱动转变,可持续的安全运营体系将助力企业长远发展。

一、资产攻击面管理成为安全运营重要技术方向

当前,企业数字化业务发展迅猛,业务复杂度与资产数量不断增加,企业将面临更多潜在的网络安全风险。资产治理是企业做好网络安全运营工作的前提,数字资产管理与运营已成为企业信息化和安全团队的重要工作内容。在2021年Gartner发布的《2021安全运营技术成熟度曲线》报告中,明确提到了攻击面管理的两个新兴技术:外部攻击面管理(EASM)和网络资产攻击面管理(CAASM)。在经过多年攻防演练工作的洗礼之后,更多的企业逐渐认识到安全运营工作的价值。攻击面管理技术的提出迅速得到了业界的广泛关注与认可。

2021年Gartner安全运营技术成熟度曲线

攻击面是企业信息化资产在未经授权的情况下,能够被攻击者访问和利用的所有潜在入侵突破口总和,既包括未授权的硬件、软件、云资产和数据资产,也包括人员管理、技术管理和业务流程方面存在的安全弱点与缺陷。攻击面管理是一种站在外部攻击者视角,对企业数字资产攻击面进行风险识别、分析研判、情报预警、响应处置和闭环运营的资产安全性管理方法,进而来审视和评估企业资产可能被利用攻击的可能性。在真实的攻防对抗场景下,企业如何快速获得攻击者视角,进一步落实有效的动态防御措施,是攻击面管理技术产生的背景。

二、企业资产攻击面管理现状

企业在信息化和安全管理工作中,往往对自身IT资产管理较为粗放,未落实有效的企业资产管理措施,导致在常态化的安全运营工作中,无法实现对安全威胁或事件影响范围的精准定位。在资产管理过程中,信息化或安全团队主要从资产管理的角度完成对信息的统计与维护,很少站在攻击者视角去挖掘资产潜在的威胁与风险。企业通过人工上报的方式对资产列表进行更新,没有建立自动化资产更新机制,而未及时更新的资产很可能会成为被攻击和利用的短板。在资产的上线监管上,企业未遵循安全管理制度并完成安全检查,无法对未纳入的资产进行有效管控。互联网业务边界的泛化,以及与第三方服务商的供应链业务逐渐增多,进一步引发了更多的不可控因素。

三、基于攻击面管理的安全运营措施

EASM是面向发现外网资产、系统和脆弱性而使用的一套流程、技术和托管服务,基于攻击者视角识别和管理攻击面,对企业互联网资产暴露面进行有效治理,如端口、域名、应用、错误配置和可能被利用的漏洞等。通过构建EASM能力,企业动态获取外部资产攻击面的可视化视图,实时查询最新外网映射资产,分析评估资产属性以判定资产是否存在风险和脆弱性,借助VPT技术对风险和漏洞进行优先级排序和告警,及时进行修复与持续跟踪管理。

企业在实施攻击面管理时,需要融合威胁情报能力,对互联网资产攻击面进行识别发现。利用NTI互联网资产核查服务,对企业外网资产进行敏感信息发现和资产暴露面核查,依托丰富的云端资产指纹库和情报库,全面掌握资产攻击面并感知资产风险。通过大数据关联分析引擎进行智能研判,并经过云端安全专家复验,输出高精度报告,为后续的资产攻击面风险评估与闭环治理提供重要依据。

CAASM站在防御者视角对攻击面进行管理,帮助企业安全运营团队解决在持续性运营工作中出现的资产和漏洞问题,更加关注企业终端、服务器和应用程序等方面的资产管理工作,可使用多种资产数据API取代传统手动汇总资产信息和繁琐的流程,来管理资产信息,建立企业统一的资产库或资产台账。资产库可以为安全团队提供资产信息查询,通过API与现有工具的集成,识别安全管控中的漏洞与差距的范围,并为相关漏洞治理提供重要支撑。

构建基于平台化的漏洞闭环管理能力,是攻击面管理的主要着手点。企业可根据安全运营现状需求部署威胁和漏洞管理平台,对网络内资产进行全面收集和梳理,确定系统内合法存在的资产、资产版本、开放的服务和端口、系统的安全配置项目,将资产信息作为系统网络内的资产基线。持续监控网络系统内的资产变化情况,对任何资产变化进行预警,直到安全团队处理或确认是正常变化为止。

威胁和漏洞管理平台对企业网络进行全面的脆弱性管理,结合外部漏洞情报信息,从资产安全视角出发,以风险优先级为核心,整合多源脆弱性数据,聚焦关键风险,量化风险指标,为企业提供漏洞全生命周期的管理机制。平台对资产进行预先梳理和持续监控,将漏洞管理流程向外扩展了漏洞发现环节的风险预警、漏洞分析环节的漏洞修复建议、漏洞修复环节的修复方案社区,以及对整个管理过程的评估、对比和优化。

攻击面管理不仅是一种理念,更是一种基于主动对抗和前置防御思维模式的创新方法论。做好攻击面管理的目标,是为了让企业安全团队可以对暴露面资产和攻击面进行科学高效的管理,从攻击者视角审视企业信息化资产可能存在的风险点和脆弱性。攻击面管理技术是一套技术能力,本身并不能构成独立的产品,未来也将会成为风险管理类产品和方案的关键支撑技术。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author