5月23日,2022 ISC 萬人元宇宙序幕以云峰會(huì)的形式開啟,峰會(huì)聚焦全球數(shù)字化轉(zhuǎn)型之下網(wǎng)絡(luò)空間的前沿趨勢(shì)、創(chuàng)新方向、焦點(diǎn)問題。華云安產(chǎn)品總監(jiān)王超在“實(shí)戰(zhàn)驅(qū)動(dòng)下的安全運(yùn)營(yíng)論壇”就華云安專注的攻擊面管理領(lǐng)域研究與實(shí)踐進(jìn)行分享。
數(shù)字化轉(zhuǎn)型加速,安全運(yùn)營(yíng)面臨新挑戰(zhàn)
近年來,國(guó)家正在推動(dòng)數(shù)字化進(jìn)程。特別是在當(dāng)前疫情的影響下,數(shù)字化轉(zhuǎn)型的進(jìn)程正在加速,遠(yuǎn)程的辦公、協(xié)同正在逐漸成為日常。而數(shù)字化轉(zhuǎn)型正在帶來新的安全挑戰(zhàn),王超總結(jié)出以下幾點(diǎn),一是戰(zhàn)場(chǎng)的變化,網(wǎng)絡(luò)系統(tǒng)隨著數(shù)字化的建設(shè)較之傳統(tǒng)網(wǎng)絡(luò)更加發(fā)達(dá)、復(fù)雜;二是對(duì)手的變化,安全問題由以往的竊取信息、電信詐騙等黑客行為,上升為國(guó)家級(jí)的網(wǎng)絡(luò)對(duì)抗;三是攻擊的變化,傳統(tǒng)的單點(diǎn)突破正發(fā)展成包括勒索軟件、APT攻擊、供應(yīng)鏈攻擊等在內(nèi)的多點(diǎn)開花;最后是目標(biāo)的變化,除了原有的服務(wù)器外,數(shù)據(jù)、拖庫(kù)、業(yè)務(wù)應(yīng)用等也正轉(zhuǎn)變?yōu)楣裟繕?biāo)。
新的安全挑戰(zhàn)致使實(shí)戰(zhàn)化攻防場(chǎng)景中,傳統(tǒng)的安全運(yùn)營(yíng)不堪一擊,針對(duì)這一問題,王超做出了以下分析:
1. 數(shù)字化轉(zhuǎn)型。數(shù)字時(shí)代的資產(chǎn)除了傳統(tǒng)的IT資產(chǎn),也包括loT、傳感器、網(wǎng)站域名、數(shù)字證書、敏感數(shù)據(jù)等模塊,資產(chǎn)類別及資產(chǎn)體量在增加。
2. 漏洞的多樣化。數(shù)字時(shí)代的漏洞不僅是軟件缺陷,還包括弱口令、配置缺陷、泄露數(shù)據(jù)、過期證書、供應(yīng)鏈漏洞等,這些也催生了黑客攻擊手段的多樣化。
3. 攻擊者更快。防御者需要完整的安全體系,而攻擊者只需要突破一點(diǎn);防御者需要24小時(shí)在線,而攻擊者只需要攻其不備。
4. 安全盲區(qū)。在數(shù)字化背景下,由于數(shù)字業(yè)務(wù)開展的更多,我們并不能監(jiān)管到所有數(shù)字資產(chǎn),導(dǎo)致安全盲區(qū)的出現(xiàn),而安全盲區(qū)誕生出的影子資產(chǎn)容易被攻擊者利用。
基于攻擊者視角驅(qū)動(dòng)運(yùn)營(yíng)決策
隨后,針對(duì)安全運(yùn)營(yíng)的技術(shù)變革及其帶來的挑戰(zhàn),王超提出,要基于攻擊者視角驅(qū)動(dòng)運(yùn)營(yíng)決策:
1. 像攻擊者一樣思考。需要以攻擊者視角監(jiān)測(cè)數(shù)字資產(chǎn),分析攻擊者可能利用的弱點(diǎn),并制訂對(duì)應(yīng)的防守策略。
2. 關(guān)注重要的漏洞。據(jù)報(bào)告顯示,每年攻擊者實(shí)際利用的漏洞僅占所有漏洞的5%,為避免防守投入冗余,應(yīng)利用弱點(diǎn)優(yōu)先級(jí)技術(shù)重點(diǎn)關(guān)注重要資產(chǎn)漏洞和具備可檢測(cè)性、可利用性的漏洞,以及所有新爆發(fā)的1day漏洞等。
3. 檢驗(yàn)防御有效性。傳統(tǒng)以合規(guī)為基礎(chǔ)的安全運(yùn)營(yíng),在實(shí)戰(zhàn)攻防場(chǎng)景下不堪一擊,需要以自動(dòng)化技術(shù)和攻擊模擬技術(shù),以攻擊者視角持續(xù)不斷的檢驗(yàn)現(xiàn)有安全機(jī)制的有效性。
4. 更快的響應(yīng)速度。協(xié)同聯(lián)動(dòng)各種安全能力,提高安全事件的響應(yīng)速度,在漏洞被利用前修復(fù)漏洞。
攻擊面管理框架體系
攻擊面管理最早由Gartner在2019年納入安全運(yùn)營(yíng)技術(shù)曲線中,并且在2021年首次集成為一個(gè)完整的技術(shù)棧,提出攻擊面管理包括數(shù)字資產(chǎn)、網(wǎng)絡(luò)空間的攻擊面管理(簡(jiǎn)稱CAASM)以及外部資產(chǎn)的攻擊面管理(簡(jiǎn)稱EASM)。
關(guān)于攻擊面的定義,王超認(rèn)為可利用的暴露面加上攻擊者制造的攻擊向量,等于攻擊面。因此,攻擊面管理要重點(diǎn)關(guān)注兩點(diǎn):一是了解哪些暴露面是可利用的,并且對(duì)可利用暴露面進(jìn)行收斂;二是針對(duì)攻擊向量的控制。
完整的攻擊面管理框架體系自下向上分別為基礎(chǔ)技術(shù)、安全能力和應(yīng)用場(chǎng)景三層。基礎(chǔ)技術(shù)為支撐攻擊面管理的技術(shù)能力集合,多種技術(shù)組合形成攻擊面管理的能力體系,根據(jù)不同的業(yè)務(wù)場(chǎng)景需求采用不同的能力組合,形成不同的應(yīng)用場(chǎng)景下的攻擊面管理解決方案,為用戶提供有針對(duì)性的攻擊面閉環(huán)管理能力。
華云安構(gòu)建的下一代數(shù)字安全防御體系
在分享的最后,王超介紹了華云安正在構(gòu)建的基于攻擊面管理的下一代數(shù)字安全防御體系:
1. 資產(chǎn)清點(diǎn)。通過知識(shí)圖譜技術(shù),進(jìn)行包括數(shù)字資產(chǎn)、業(yè)務(wù)資產(chǎn)、網(wǎng)絡(luò)資產(chǎn)在內(nèi)的全面的資產(chǎn)清點(diǎn),識(shí)別最完整的資產(chǎn)暴露面。
2. 自動(dòng)化測(cè)試。通過多維度的自動(dòng)化測(cè)試,進(jìn)行全面的漏洞檢測(cè)以及安全有效性的檢測(cè),以攻擊者視角繪制完整的資產(chǎn)攻擊面。
3. 優(yōu)先級(jí)評(píng)估。華云安推出了靈洞這款產(chǎn)品進(jìn)行基于風(fēng)險(xiǎn)的漏洞管理,將精力聚焦在有價(jià)值的漏洞修復(fù)上。
4. 情報(bào)預(yù)警。新一代的擴(kuò)展威脅情報(bào),先于攻擊者發(fā)現(xiàn)弱點(diǎn)和漏洞,并做出實(shí)時(shí)的預(yù)警推送。
5. 快速處置。通過簡(jiǎn)化的工作流集成,縮短漏洞響應(yīng)時(shí)間。
華云安將持續(xù)致力于對(duì)主動(dòng)防御、情報(bào)協(xié)同、溯源反制能力進(jìn)行融合創(chuàng)新,以攻擊者視角構(gòu)建攻擊面管理安全能力平臺(tái),提供新一代網(wǎng)絡(luò)安全對(duì)抗防御解決方案。
