從漏洞管理到攻擊面管理
近年來,隨著攻防演練常態化,以及《網絡安全法》《關鍵信息基礎設施安全保護條例》等法律法規的相繼頒布,網絡安全建設從“合規驅動”階段逐步過渡到 “實戰驅動”階段。傳統的安全事件響應也由被動“亡羊補牢”的方式,向“先發現、先預防、先處理”的主動持續檢測響應的方式轉變。
當前,數字化轉型加快了我國信息技術基礎設施向數字化基礎設施轉變,數字化時代帶來了新的安全挑戰,使得網絡安全的戰場、網絡安全的攻擊手段、網絡安全的目標等都發生了變化,網絡安全攻防博弈的焦點已悄然發生轉變。
一、漏洞管理的現狀與瓶頸
作為網絡安全亙古不變的話題,漏洞治理一直是網絡安全的“共性頑疾”,是安全管理的重點和難點。傳統的漏洞管理往往通過安全管理平臺、態勢感知等產品或人工的方式,將漏洞掃描的結果進行相應的處置,實現漏洞的生命周期跟蹤與管理。
在漏洞管理過程中,常常會出現以下問題。安全管理人員在漏洞收集、驗證過濾、去重標記等方面消耗大量時間和精力;在跨部門協作時,因為各種原因無法進行漏洞的修復,或將大量時間和精力消耗在同步信息和操作上;當出現與漏洞相關的安全事件時,難以快速定位定責。歸結起來,漏洞管理面臨漏洞精準檢測難、漏洞驗證確認難、海量漏洞修復難、跨部門溝通協作難、漏洞定位定責難、反復出現管控難等難題,這些現狀暴露出了漏洞管理現有解決方案的弊端,同時也背離了企業進行漏洞管理的初衷。
除此之外,在數字化越來越普及的時代,還需要思考,僅僅圍繞已知主機上存在的已知漏洞進行管理是否全面?從防御者視角獲取到的漏洞和從攻擊者視角看到的企業攻擊面是否一致?物聯網 IoT 類的啞終端、供應鏈、開源組件等是否納入了管理視野?過期證書、泄漏數據等是否納入了管理視野?因此,現有的針對漏洞進行的安全管理方法具有一定瓶頸,無法成為預防性安全管理的充分條件。
在新的 IT 環境下,需要重新定義漏洞管理。從漏洞多樣性層面來看,不僅包括軟件漏洞,也包括用戶權限、泄露數據、釣魚網站等。漏洞管理的目的并非傳統意義上的單個漏洞管理,而是面向風險,進行最終的漏洞管理以及管控。漏洞管理的本質實際是在縮小企業暴露在外部的攻擊面。
二、從漏洞管理到攻擊面管理
根據美國國家標準與技術研究院(NIST)的定義,攻擊面指“位于系統(包括系統組件、資產環境)邊界的一組入口,導致攻擊者可以通過該入口進入系統進行破壞或者盜取數據”。攻擊面管理是將攻擊者可能引發攻擊的向量進行管理,以便進行減少入口點、限制訪問和特權、減少面向互聯網的應用程序與服務,甚至管控供應商產品和開放應用程序編程接口(API)等。以攻擊者視角梳理和管理攻擊面,才能及時了解內外網的弱點和所采取的防御策略,在發生真實邏輯攻擊、零日漏洞(0day)等攻擊時,進行更為全面的預防與安全監管。
攻擊面管理,強調的絕不僅僅是已存在的靜態漏洞及其閉環跟蹤,而是任何可能發生的安全問題,進而演化為安全事件的網絡風險和脆弱性。攻擊面管理,新增了基于業務的風險評價過程以確定管理的有效性;以攻擊視角匯集所有可能發生問題的攻擊向量,通過擴大收集信息面來提高網絡安全風險預防的全面性;融入了人、防御、流程等因素,將管理模型演變為立體空間。
攻擊面管理的本質在于攻與防的對抗較量,在這個前提下,需要清楚地認知到,只有比攻擊者更快一步,才能有效地降低企業發生安全事件的可能性。首先,必須要像攻擊者一樣思考,審視組織內部和外部可能存在的網絡攻擊面。其次,需要重點考慮最可能對攻擊者產生價值的漏洞。第三,需要對組織的網絡防御體系進行校驗,根據發現的問題快速地進行安全響應,縮小事件可能的影響。
三、攻擊面的檢測與發現
數字資產發現與清點是攻擊面檢測與發現的第一步,全面的資產清點并識別完整的資產暴露面,才能從暴露的資產中找到可能被攻擊者利用的攻擊面。隨著數字技術的變更,云計算、物聯網等多種新興業務場景讓傳統集中式管理實體化設備的方式不再適用,消失的資產邊界也讓基于業務視角的安全管理更加迫在眉睫。
此時,首要關心的是資產的外延。數字資產的對象既包括網站域名、數字證書、敏感數據、業務API、云資產、SaaS 應用、第三方組件等,也包括物聯網設備如傳感器、攝像頭等非傳統 IT 資產。其次,不能僅對已知資產進行管理,還要發現并管理未知資產、老化資產、僵尸資產、被遺忘的資產等影子資產;采用包括被動情報、主動探測、人工滲透等多種方式,獲取暴露在外的影子資產。最后,要針對新入庫的數據進行自動化比對,自動識別并標記老化資產、僵尸資產等各種影子資產。
自動化的驗證測試是攻擊面檢測與發現的第二個核心。通過多維度的自動化安全測試,以攻擊者視角繪制完整的資產攻擊面。以風險視角看待漏洞管理,本質就是通過漏洞管理的方式縮小攻擊面。需要將漏洞的概念擴展為弱點,納入包括漏洞、弱口令、不安全配置、敏感信息泄露、暗網監測、防御有效性等多個方面,并打通弱點與資產、情報、響應間的關系,分析弱點可能產生的風險情況,識別弱點優先級,自動化進行標記和生命周期跟蹤。漏洞掃描是攻擊面檢測的核心與基礎,基于漏洞驗證(PoC)的漏洞掃描技術在攻擊面檢測體系中顯得尤為重要,其更關注實戰性、高效性,加上對剛公布一天(1day)漏洞的快速響應,可以對被用于實際攻擊的漏洞進行驗證性檢測。
此外,攻擊模擬技術是攻擊面檢測的進階和提升,它以攻擊者的視角進行沉浸式模擬嘗試甚至利用,能發現更深層的隱含風險。通過模擬攻擊,將人員、流程、配置、弱點、業務融合,發現攻擊點并繪制完整攻擊鏈路。在此基礎上,引入流量分析,進一步發現影子資產、僵尸資產,并識別其中可能的 0day 漏洞攻擊與未知威脅,繪制更完善的攻擊面。
四、攻擊面的分析與研判
基于風險的漏洞管理,將精力聚焦在有價值的漏洞修復上。安全的本質,是攻守雙方人與人的較量。真實攻擊者不會無目標、無差別進行攻擊。攻擊面管理需要專注于對抗本質進行分析和研判,并不是所有的漏洞和安全弱點都需要修復,也不是所有的漏洞經過一次評估后其危害就一成不變,除了要考慮漏洞自身危害性,擴散范圍、可利用性、資產價值等內容外,還要考慮漏洞對于業務的實際影響、利用成本,以及該漏洞是否能構成實現攻擊的環節等。
攻擊面分析與研判需要分析以下五個方面:評價該攻擊面是否需要被管理;分析該攻擊面出現根本原因;管理的成本與危害損失是否成正比;采取的管理方式是否可有效避免;攻擊者可能采用何種方式和鏈路進行攻擊。
安全管理人員需要進行基于業務場景的評估與判斷,包括考慮業務維護、成本、響應代價、有效性、統一分發等,這些基于實際業務和風險影響的分析和研判,才是漏洞管理的核心所在。
五、攻擊面情報預警
新一代的擴展威脅情報能力,要具備先于攻擊者發現弱點和威脅的能力。攻擊面檢測與發現,主要以聚合分析內部信息為主。然而,在海量信息的互聯網時代,外部情報的獲取也不容忽視。
情報預警的價值,是將事后的應急提前至事前的預警,通過情報預警縮短響應時間并降低被攻擊者利用的可能性。新一代的擴展威脅情報將防御者思維轉為攻擊者角度,利用國家級監管平臺、互聯網實時漏洞情報、外部攻擊面監測情報等,共同構造外部視角的資產攻擊面畫像,輔助企業進行外部攻擊面管理。通過收集和處理來自國家漏洞庫、社區漏洞情報、開源情報、論壇媒體、域名注冊、代碼倉庫、敏感信息泄露、暗網資源等多類安全情報源,匯集企業暴露在互聯網上的信息資產,再通過“主動+被動+服務”形成具有即時性、可定位性、可追溯性的暴露面測繪圖,持續監測網絡安全態勢,實現從“被動防御”向“主動防御”的進階。
將擴展威脅情報數據進行日常安全運營,不僅能提高安全運營的動態性、響應性,更將常態化對抗防御思想以情報聯防的形式融入組織自身安全管理工作中,實時將外部態勢的變化同步到內部資產管理、弱點管理、響應運營的環節。在應用上,情報預警能力可無縫應用于產品,將其價值最大化。攻擊面情報預警至少需要具備以下兩個應用點。
先于監管要求的攻擊面預警。聚合全球主流漏洞情報源、國家級漏洞通報預警、重大活動及演練成果等相關漏洞信息,實時傳遞最新的漏洞安全態勢和攻擊趨勢,助力組織先于攻擊者排查自身可能存在的安全隱患,做到先于監管要求進行自我風險審查。
先于攻擊者的攻擊面監測。打破攻守雙方信息不平衡的局面,建立自身情報威脅庫,了解全球視角下最具潛在威脅的應用及版本,以及與組織自身情況相關的最新攻擊事件與 1day 漏洞,并采取針對性的主動防御,可極大縮短組織自身風險暴露時間,先于攻擊者修復漏洞,預防入侵事件的發生。
六、基于攻擊面的響應處置
通過簡化的工作流集成,來縮短漏洞的響應時間。具體而言,通過自動聚合、關聯將安全運營的關鍵流程與攻擊面的不同類型進行匹配,實現自動化地監管自身內外網攻擊面。針對攻擊面進行全生命周期的監控和運營,利用管理手段縮小攻擊面的安全風險影響。同時結合安全編排、自動化及響應(SOAR) 技術,對安全管理和應急流程進行貼合業務的自動化調度編排,將處置經驗留存,降低攻擊面響應處置對人的強依賴性。
新時代的安全運營更側重協同響應的能力,所有的弱點或風險都需要響應,但并非所有的弱點和風險都能進行修復。好的安全響應運營體系應該降低對人員安全能力的高度依賴,以風險管理為核心指導思想,以縮小攻擊面為主要目標,針對攻擊方法、攻擊鏈路、攻擊態勢的變化,及時反饋和動態調整響應策略、技術與手段,實現持續的監測響應,不斷發現安全差距、驗證控制策略的有效性。
另外,由于漏洞修復比較復雜,對一些無法采用升級方式進行風險消除的場景(如在線業務系統),又要滿足其風險緩解的需求,所以在終端提供補丁信息的同時,還需要應用熱補丁等技術,結合管理手段,滿足攻擊面應急響應與處置閉環。
攻擊面管理作為近幾年新涌現的技術,囊括了資產、漏洞、情報和響應的各個環節。無論是在企業的最佳實踐層面還是方法論層面,攻擊面管理都在不斷地迭代和演進之中。隨著數字化轉型的進一步深入,基于攻擊者視角構建新一代的數字資產攻擊面管理體系,將是數字時代下安全管理的必然選擇。
