當(dāng)前的攻擊手段層出不窮、應(yīng)急響應(yīng)多以補(bǔ)救措施為主,因此一種新的外部攻擊面管理技術(shù)思路就此誕生:“以情報(bào)驅(qū)動(dòng)構(gòu)建外部攻擊面管理技術(shù),實(shí)現(xiàn)先于攻擊者掌握攻擊面”。
依據(jù)《中國(guó)攻擊面管理市場(chǎng)研究報(bào)告》,外部攻擊面管理是指完全基于攻擊者視角來(lái)發(fā)現(xiàn)、監(jiān)測(cè)、評(píng)估、響應(yīng)、預(yù)警企業(yè)所有攻擊面的技術(shù)。作為攻擊面管理的重要組成,今天我們來(lái)探討如何通過(guò)靈知·互聯(lián)網(wǎng)威脅監(jiān)測(cè)預(yù)警中心(Ai.Radar),基于情報(bào)視角進(jìn)行外部攻擊面管理。
1.企業(yè)四大痛點(diǎn)推動(dòng)外部攻擊面管理發(fā)展
當(dāng)前企業(yè)已經(jīng)通過(guò)各種安全演練提升了安全意識(shí),但是為啥在實(shí)戰(zhàn)攻防中還是不堪一擊呢?我們認(rèn)為有以下幾個(gè)問(wèn)題:
? 安全建設(shè)有盲區(qū)
首先,企業(yè)產(chǎn)生安全事件的原因從來(lái)不是防住了什么,而是沒(méi)有防住什么。究其根本,目前大多數(shù)企業(yè)受困于人員能力參差不齊、預(yù)算有限等原因,很難做到360度無(wú)死角的安全防護(hù)。所以在此局限的情況下,最重要的就是防御住攻擊者最可能發(fā)起攻擊的風(fēng)險(xiǎn)點(diǎn)。但企業(yè)并不能完全感知到企業(yè)所面臨的攻擊點(diǎn)。
? 企業(yè)無(wú)法確認(rèn)未知資產(chǎn)
上一點(diǎn)說(shuō)到了企業(yè)需要加強(qiáng)安全建設(shè),才能有提高自身安全的能力。但是加強(qiáng)安全建設(shè)的前提是要清楚了解現(xiàn)在有哪些資產(chǎn),這樣才能知道安全設(shè)備需要架設(shè)在哪些資產(chǎn)前。目前,企業(yè)對(duì)于未知資產(chǎn)的防護(hù)還是短板。退一步講,企業(yè)想對(duì)未知資產(chǎn)進(jìn)行安全加固,企業(yè)是否能夠準(zhǔn)確而全面的發(fā)現(xiàn)未知資產(chǎn)?如果企業(yè)無(wú)法梳理清楚未知資產(chǎn),那就無(wú)從談起攻擊面管理。
? 企業(yè)對(duì)已經(jīng)存在安全威脅知之甚少
即使客戶已經(jīng)清楚擁有哪些資產(chǎn),也未必清楚了解這些資產(chǎn)面臨哪些安全風(fēng)險(xiǎn)。外部攻擊面管理所定義的資產(chǎn)已經(jīng)不僅僅包括IT資產(chǎn)、云資產(chǎn)、軟硬件,還包括企業(yè)人員的社工信息、員工的在網(wǎng)絡(luò)上的博客、github倉(cāng)庫(kù)、企業(yè)軟硬件供應(yīng)鏈等等。過(guò)往發(fā)生的安全事件屢屢告訴我們,網(wǎng)絡(luò)安全防護(hù)最難的不是系統(tǒng)安全,而是“人”的安全意識(shí)。值得警示的是,很多安全事件的背后,都是來(lái)源于一個(gè)個(gè)微不足道的信息泄露。因此,新一代企業(yè)安全解決方案就需要從多維度發(fā)現(xiàn)企業(yè)面臨的威脅。
? 企業(yè)無(wú)法做到事前預(yù)警,更多是事后應(yīng)急
通常情況下,企業(yè)都是在某個(gè)安全事件爆發(fā)后,進(jìn)行事后的應(yīng)急響應(yīng)。實(shí)際是新爆發(fā)的0day漏洞,都先會(huì)在小圈子進(jìn)行小范圍傳播,傳統(tǒng)的安全建設(shè),其實(shí)很難收集到此類漏洞情報(bào)信息。當(dāng)企業(yè)感知到有0ady、1day漏洞的時(shí)候,往往是攻擊者已經(jīng)利用漏洞對(duì)企業(yè)進(jìn)行了攻擊,已經(jīng)造成了實(shí)質(zhì)上的損失。只有在安全事件全面爆發(fā)之前,能夠通過(guò)情報(bào)實(shí)現(xiàn)事前預(yù)警,并積極排查才能有效提升安全建設(shè)能力。
2.外部攻擊面呈現(xiàn)四大特點(diǎn)
華云安認(rèn)為攻擊面管理具備四大特性:攻擊面的時(shí)效性,攻擊面的跨系統(tǒng)性,攻擊面的跨實(shí)體性,攻擊態(tài)勢(shì)是動(dòng)態(tài)的。因此攻擊面管理的新思路,是要先于攻擊者掌握攻擊面。
外部攻擊面有幾大特點(diǎn):
? 攻擊面是有時(shí)效性的
外部攻擊面是不斷變化的,例如80%-95%的Ip地址是短暫的,很可能只是短時(shí)間的暴露就會(huì)使攻擊者拿到他想要的信息和數(shù)據(jù)。
? 攻擊面是跨系統(tǒng)的
隨著時(shí)間推移,攻擊者可以嘗試作為攻擊目標(biāo)的環(huán)境不僅限于傳統(tǒng)IT,還可能是代碼、敏感數(shù)據(jù)、移動(dòng)應(yīng)用、甚至IoT設(shè)備等。
? 攻擊面是跨實(shí)體的
數(shù)字時(shí)代的攻擊面不僅僅是自身軟件缺陷,還包括弱口令、配置缺陷、泄漏數(shù)據(jù)、過(guò)期證書、釣魚(yú)網(wǎng)站、供應(yīng)鏈漏洞等多種類型。
? 攻擊態(tài)勢(shì)是動(dòng)態(tài)的
管理者還需要以攻擊者的視角了解每天外部攻擊態(tài)勢(shì)的變化情況,第一時(shí)間掌握新爆發(fā)的漏洞、惡意的文件標(biāo)識(shí)、流行的攻擊手法等。
3.靈知,以情報(bào)驅(qū)動(dòng)的外部攻擊面管理
安全的本質(zhì)是持續(xù)對(duì)抗。知己知彼才能百戰(zhàn)百勝。以往安全建設(shè)是基于防守者的角度,盡可能的防守住攻擊;而經(jīng)過(guò)實(shí)戰(zhàn)驗(yàn)證:基于攻擊者視角的主動(dòng)防守才能真正發(fā)現(xiàn)企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),進(jìn)而實(shí)現(xiàn)先于攻擊者掌握攻擊面,在這一過(guò)程中情報(bào)搜集便是首要的。
這里所指的情報(bào)并非是傳統(tǒng)的“威脅情報(bào)”,而是“擴(kuò)展情報(bào)”。在靈知·互聯(lián)網(wǎng)威脅監(jiān)測(cè)預(yù)警中心(Ai.Radar)所定義的情報(bào)不僅包含傳統(tǒng)的“威脅情報(bào)”,更包括漏洞情報(bào)(例如漏洞的流行度、可利用性、可檢測(cè)性、漏洞利用成功率等)、數(shù)據(jù)泄露情報(bào)(例如企業(yè)的某些敏感信息、配置文件被人公開(kāi)在了github等)、安全事件情報(bào)(例如某0day漏洞爆發(fā))、以及被攻擊者大范圍使用的情報(bào)。因此靈知定義的“擴(kuò)展情報(bào)”已突破了IT層的邊界,一切可能影響企業(yè)網(wǎng)絡(luò)安全和政策安全的信息,都被稱之為“擴(kuò)展情報(bào)”。
華云安的靈知·互聯(lián)網(wǎng)威脅監(jiān)測(cè)預(yù)警中心(Ai.Radar),依托海量數(shù)據(jù)情報(bào)構(gòu)建的互聯(lián)網(wǎng)威脅監(jiān)測(cè)平臺(tái),基于自然語(yǔ)言處理(NLP)和知識(shí)圖譜(KG)技術(shù)對(duì)30多個(gè)數(shù)據(jù)源進(jìn)行大數(shù)據(jù)處理捕獲情報(bào)數(shù)據(jù),靈知從發(fā)現(xiàn)情報(bào)到華云安情報(bào)庫(kù)可查詢,精準(zhǔn)定位情報(bào)來(lái)源可以做到分鐘級(jí)的情報(bào)響應(yīng)。在情報(bào)分析方面,華云安將VPT技術(shù)融入其中,從CVSS、發(fā)布時(shí)間長(zhǎng)度、可修復(fù)性、漏洞影響范圍、漏洞利用條件等10+個(gè)維度對(duì)攻擊態(tài)勢(shì)進(jìn)行評(píng)估,實(shí)現(xiàn)精準(zhǔn)、全面、及時(shí)的發(fā)現(xiàn)外部攻擊面。目前,靈知已支持定向情報(bào)訂閱服務(wù)。
靈知是以黑盒視角模擬攻擊者對(duì)企業(yè)進(jìn)行過(guò)安全評(píng)估,將收集所有企業(yè)相關(guān)的“擴(kuò)展情報(bào)”,按照實(shí)體類型和實(shí)體間關(guān)系,繪制企業(yè)暴露面,構(gòu)建基于攻擊者視角的企業(yè)資產(chǎn)知識(shí)圖譜,同時(shí)基于企業(yè)暴露面,將自動(dòng)化滲透測(cè)試與安全服務(wù)團(tuán)隊(duì)結(jié)合,繪制企業(yè)攻擊面。同時(shí)將暴露面與攻擊面進(jìn)行關(guān)聯(lián)分析,形成基于攻擊者視角的企業(yè)暴露面與攻擊面交錯(cuò)的全景圖。
