攻擊面管理（ASM）技術詳解和實現

攻擊面管理（Attack Surface Management）的概念已經出現三年以上，但是在過去的2021年，整個安全行業突然迅速接納了它。一方面，這表示行業對實戰型攻防技術的認知有了快速提升，另一方面，這意味著攻擊面管理（ASM）技術理念是符合當前場景化剛需的。

一、什么是攻擊面管理

首先，從理論層面對攻擊面管理進行說明。Gartner在《Hype Cycle for Security Operations，2021》中共有5個相關技術點：外部攻擊面管理（EASM）、網絡資產攻擊面管理（CAASM）、數字風險保護服務（DRPS）、漏洞評估（VA）、弱點/漏洞優先級技術（VPT）。

這是一個神奇的事情，為什么攻擊面管理會涉及到這么多技術領域？以Gartner推薦廠商Cyberint和RiskIQ為例，他們都強調了一件重要的事：獲得攻擊者的視角。現代化網絡攻擊的最大特點之一就是基于大量數據的立體化攻擊。

對于功能堆疊的剛性防御體系來說，立體化攻擊就如同降維打擊的存在。所以需要獲得攻擊者的視角，進行動態的主動防御。

這就是攻擊面管理誕生的初衷。

繼《2021安全運營技術成熟度曲線》之后，Gartner又在《新興技術：外部攻擊面管理關鍵洞察》中進行了一系列詳細的描述：

• 資產的識別及清點：識別未知的（影子）數字資產（如網站、IP、域名、SSL證書和云服務），并實時維護資產列表；
• 漏洞修復及暴露面管控：將錯誤配置、開放端口和未修復漏洞根據緊急程度、嚴重性來進行風險等級分析以確定優先級；
• 云安全與治理：識別組織的公共資產，跨云供應商，以改善云安全和治理，EASM可以提供全面的云資產清單，補充現有的云安全工具；
• 數據泄漏檢測：監測數據泄漏情況，如憑證泄漏或敏感數據；
• 子公司風險評估：進行公司數字資產可視化能力建設，以便更全面地了解和評估風險；
• 供應鏈/第三方風險評估：評估組織的供應鏈和第三方有關的脆弱性及可見性，以支持評估組織的暴露風險；
• 并購（M&A）風險評估：了解待并購公司數字資產和相關風險。

網絡資產攻擊面管理（CAASM）則傾向于以智能化的手段更高效的識別組織內部的資產和漏洞。CAASM是一種新興的技術，專注于使安全團隊能夠解決持久的資產可見性和漏洞的挑戰。它使組織能夠通過API與現有工具的集成、對合并后的數據進行查詢、識別安全控制中的漏洞和差距的范圍，以及修復問題，來查看所有資產（包括內部和外部）的風險。（以上是Gartner的定義，從筆者的角度來看，這更像是一個更強大的、進行智能化拓展后的漏洞管理系統，也許未來漏洞管理系統的功能模型就將是CAASM。）

需要特別指出的地方是，Gartner認為“攻擊面管理能力可跨越到其他現有的安全領域，主要是數字風險保護服務（DRPS）”。甚至在2021年10月25日其發布的《Competitive Landscape: Digital Risk Protection Services》中預言：

到2023年底，超過50%的DRPS供應商將增加EASM功能，作為其數字足跡功能的自然擴展。

由于國內某些概念的誤導，DRPS的技術綱要并沒有正確的被傳達，為了更有效的說明ASM應該包含的技術點，有必要對它進行技術點說明。

Gartner：通過提供技術與服務，保護組織的關鍵數字資產和數據免受外部威脅。這些解決方案提供了對開放（表面）網絡、社交媒體、暗網和深網的可視性，以識別關鍵資產的潛在威脅，并提供有關威脅參與者、其進行惡意活動的策略和流程的背景信息。

識別暴露的有風險的數字資產，具體包含：

• 組織的數字足跡（云存儲服務、打開的端口和未修補過的漏洞等）；
• 品牌保護（域名搶注和冒充高管等）；
• 組織的賬戶接管風險（電子憑證、組織的賬戶信息被盜等）；
• 詐騙活動（網絡釣魚檢測、信用卡泄露、客戶資料泄露等）；
• 泄露數據（具有知識產權的數據、資料、代碼等）。

至此，可以看出，ASM（攻擊面管理）包含EASM（外部攻擊面管理）和CAASM（網絡資產攻擊面管理），EASM與DRPS（數字風險保護服務）有拓展和重疊之處，它們都需要VA（漏洞評估）和VPT（弱點/漏洞優先級技術）的功能和技術支持。

二、攻擊面管理產品的實現

以上雖然對攻擊面管理進行了理論構架和其構成要素分析，但作為產品實現仍然過于抽象。接下來以產品設計的角度來分析攻擊面管理應該具備的功能模型。

首先需要明確的是，一個完整的攻擊面管理產品，其產品形態應該是：

云端數據+私有化部署

攻擊面管理產品應具備以下功能：

1.攻擊面管理（ASM）功能組

• 網絡空間測繪（CAM）

網絡空間測繪技術誕生已有10年歷史，技術成熟，這里不再進行詳細說明，需要說明的是，它必須從全互聯網角度進行測繪，以保證不會遺漏組織的外部IT資產和影子資產。

• 組織架構和關聯組織的識別

為了保證組織對應IT資產的全面和準確（尤其是對于影子資產），以及為子公司和有關聯（M&A）的企業進行評估，必須優先進行組織架構的識別和映射。

• 數字足跡的映射

這個概念很好理解，就是要將相關組織、子公司、關聯組織等與IT資產進行映射。但是從實踐的角度出發，傳統的網絡空間測繪的引擎設計邏輯需要進行調整，以目前先進行盲測再使用關鍵字識別、icon識別和標簽等方法，很難做到全面和準確的映射。

• 供應鏈的識別和風險暴露面

供應鏈攻擊在最近一年對全球造成了很大影響，需要對組織使用的產品、第三方組件，供應商進行盡可能的探測、識別和風險暴露面的發現。

2.威脅情報（TI）功能組

這里提到的威脅情報，并非狹義上定義的“僵木蠕威脅情報”，而是更廣義的，會對業務和數據造成直接影響的情報源的探測和主動情報收集。隨著《數據安全法》和《個人信息保護法》的頒布和執行，該部分既涉及到組織自身的業務影響，也涉及到合法合規問題，所以本章僅列出內容，在下述章節詳細討論。這里特別說明的是，該部分必須包含“對暗網的可視性”。

• 業務數據和數字資產泄露情報
• 隱私數據泄露和內部人員數據泄露情報

3.漏洞優先級技術（VPT）功能組

漏洞優先級技術（VPT）至少應該包含4個主要功能和一些輔助功能，具體包括：

• 全面、快速的資產發現能力
• 多類型掃描器調度和多維度漏洞評估
• 漏洞情報和智能優先級排序
• 漏洞全生命周期管理流程和自動編排

基于以上功能說明，對攻擊面管理產品的定位和功能模型就很清晰了，其可以描述為：

攻擊面管理系統（產品）：

將組織與其不斷發展的外部和內部IT系統及數字足跡進行映射、與漏洞情報數據進行關聯，并持續發現業務數據和代碼泄露、組織和人員信息的泄露、以及對供應鏈的攻擊面進行檢測，通過對全球開放網絡和非公開網絡的情報源、組織自身業務上下文等進行大量數據采集和弱點優先級分析，為組織輸出攻擊面情報，以提供給組織更高級別的主動防御。

三、業務數據泄露與數字資產泄露

該部分將闡述組織業務數據泄露、內部文件或與組織相關的文檔和文案在外部暴露、組織相關的業務系統和軟件的代碼和配置泄露等情況下，對組織帶來的風險、以及應該如何發現和如何進行智能優先級排序建議。

1. 風險

組織的業務數據、內部文件、項目信息、財務數據、核心圖紙、軟件代碼、業務系統配置等等，有可能因為內部人員的工作習慣（例如將文件上傳到某些互聯網服務器或者網盤上），也有可能因為開發人員的誤操作（例如Github權限設置不當），或者被惡意竊取（例如黑客通過技術手段獲得、或者某些未授權人員通過其他違規手段獲得）等，傳播在互聯網或者暗網上。這可能導致組織內部機密外泄，或者導致黑客利用獲取的代碼和配置文件獲知業務系統漏洞等。其帶來的風險通常是直接且隱蔽的。

以往，由于網絡攻擊導致的安全事件，從數據泄露到組織發現的間隔時間，平均在87天，而由于人員誤操作導致的安全事件的時間間隔，平均在207天。在此期間，組織相關的泄露數據都面臨著極高的被他人利用的風險，越早發現，風險暴露窗口越短，風險才會大幅度降低。

2. 發現

進行業務數據泄露和數字資產泄露情報的獲取，應該遵循3個方法：

1) 數據必須進行組織的映射，并且由組織向關鍵信息進行輻射。

具體來說，應該由組織名稱拓展到子組織和相關組織，然后對各級組織相關業務、系統、數據、產品、項目等進行智能關鍵信息獲取。

2) 盡可能覆蓋全面的公開威脅源。

數據泄露的重要泄露源就是公開網絡上的威脅源，其可能包含來自天眼查、企查查、Gitlib、Github、CSDN、百度網盤、百度文庫、微博等等，對各個威脅源、社交媒體、云存儲的覆蓋面越廣，查找到的數據越多，才能越全面的發現風險。

3) 具備非公開網絡的可視性

非公開網絡主要是深網和暗網，數據泄露的重要傳播源是暗網交易市場，其特點是數量龐大、活躍度差異大、獲取方式隱秘、交易完全匿名等，對其進行實時更新與監控的難度較大，但極其重要。

3. 優先級排序

對于越大的組織，進行越全面的監控，其數據量越龐大，一個具備一定規模的組織獲取到的公共網絡數據可能達到數萬條以上。以往通過人工逐一篩查其風險性，效率極低且有可能遺漏本就不多的關鍵信息。所以對大量數據進行智能化的優先級排序就顯得尤為重要。通過合理的算法和規則不斷優化數據風險等級的賦值，以及抽取關鍵信息，以供安全運維人員和安全專家進行高效研判，才能取得有效的成果和價值。

四、隱私數據泄露與組織員工數據泄露

無論是組織存儲的業務數據中的個人隱私數據，還是組織員工（尤其是組織的重要角色）的個人隱私數據泄露，都是非常嚴重的事情。它不僅會對組織帶來業務上的風險，還會引來品牌和名譽的損失，更重要的是這可能會觸犯《網絡安全法》《數據安全法》和《個人信息保護法》。

與組織的業務數據等泄露不同，個人隱私數據有3個很重要的特點：

1. 利用難度低、命中率高、其風險極高。

個人隱私數據一旦泄露，尤其是手機號、郵箱、密碼、卡號等信息的泄露，極易成為黑客利用的首選手段，可能會導致釣魚或其他社會工程學攻擊；

2. 直接損失大、間接損失影響深遠。

如果組織員工的個人隱私數據，尤其是組織VIP的個人隱私數據泄露，攻擊者很有可能直接通過登陸其郵箱、CRM系統、OA系統、業務系統、釘釘、VPN等，獲取組織敏感信息甚至核心數據（在不進行其他技術攻擊和滲透的情況下即可完成）。攻擊者還可以進行其他擴展性攻擊，比如對個人賬單、銀行流水、消費記錄、住宿記錄等進行查詢和其他處置，它的影響是極其深遠的；

3. 告警和處置難度高。

相對于其獲取難度而言，個人隱私數據泄露的告警難度極高。在暗網中，流傳著大量個人隱私數據（其聚合數據也被稱為“社工庫”），對于專業的攻擊者來說，獲得它們的難度和成本并不高。但是對于防御者來說，受制于法律法規的限制、因引起當事人不悅而導致無法授權、以及避免數據被惡意使用等情況的考慮，具備此能力的情報廠商很難將此類情報完整的提供給相關組織。而相關組織的安全管理員無論是否獲得了完整的情報信息，在設法通知隱私數據被泄露的本人進行處置時，往往溝通過程會受到諸多質疑、不悅、無視、挑戰等態度，導致處置起來比系統漏洞的難度更高。

隱私數據泄露面臨的是利用簡單、命中率高、損失大、影響深遠，風險極大，卻難以告警和處置的局面。

情報觸達率低、使用率低，并不代表它們不存在。事實上，大量個人信息和隱私數據正在暗網中長期流傳。根據Identity Theft Resource Center （ITRC）2021提供的數據，僅在2021年泄露的個人隱私數據，影響人員已高達18億以上，造成的直接損失在265至270億美元，而它們從泄露到發現的平均時間長達112天。對此，歐盟根據《通用數據保護條例》（GDPR）在2021年第三季度開出的罰單就超過了2020年全年的3倍以上，達到11.4億美元。

目前我國對于數據安全、個人信息保護等方面的治理力度大幅加強，已出臺和執行相關法律法規。但在相關從業者認知的提升、管理責任的落實、情報的合理使用等方面，尚需要加強和時間的沉淀。