安全運營下的資產攻擊面管理
數字化時代,數字技術驅動各行業加快轉型升級。各種新產業、新模式、新業態快速增長,產業數字化轉型方興未艾。網絡安全作為數字化、智能化發展的前提與基礎,是推動數字經濟發展的重要抓手。數字化轉型的持續推進,進一步引領網絡安全向數字安全階段演進與變革。匯集全球信息安全產業焦點的RSA大會已于舊金山時間6月9日落下帷幕,今年大會的主題為“Transform(轉型)”。在數字化轉型背景下,這一主題的設定,也代表了全球網絡安全行業對安全技術發展趨勢的新一輪思考與實踐。
十四五期間,數據成為數字經濟時代的重要生產要素,數字技術應用與數據價值的挖掘、開發與利用,為現代企業數字化轉型與發展注入了創新驅動力。在數字化轉型與業務治理數字化的趨勢下,企業將會應對更加復雜的網絡安全風險與挑戰,企業網絡安全建設正在從合規驅動向業務和數據驅動轉變,可持續的安全運營體系將助力企業長遠發展。
一
資產攻擊面管理成為安全運營重要技術方向
當前,企業數字化業務發展迅猛,業務復雜度與資產數量不斷增加,企業將面臨更多潛在的網絡安全風險。資產治理是企業做好網絡安全運營工作的前提,數字資產管理與運營已成為企業信息化和安全團隊的重要工作內容。在2021年Gartner發布的《2021安全運營技術成熟度曲線》報告中,明確提到了攻擊面管理的兩個新興技術:外部攻擊面管理(EASM)和網絡資產攻擊面管理(CAASM)。在經過多年攻防演練工作的洗禮之后,更多的企業逐漸認識到安全運營工作的價值。攻擊面管理技術的提出迅速得到了業界的廣泛關注與認可。
2021年Gartner安全運營技術成熟度曲線
攻擊面是企業信息化資產在未經授權的情況下,能夠被攻擊者訪問和利用的所有潛在入侵突破口總和,既包括未授權的硬件、軟件、云資產和數據資產,也包括人員管理、技術管理和業務流程方面存在的安全弱點與缺陷。攻擊面管理是一種站在外部攻擊者視角,對企業數字資產攻擊面進行風險識別、分析研判、情報預警、響應處置和閉環運營的資產安全性管理方法,進而來審視和評估企業資產可能被利用攻擊的可能性。在真實的攻防對抗場景下,企業如何快速獲得攻擊者視角,進一步落實有效的動態防御措施,是攻擊面管理技術產生的背景。
二
企業資產攻擊面管理現狀
企業在信息化和安全管理工作中,往往對自身IT資產管理較為粗放,未落實有效的企業資產管理措施,導致在常態化的安全運營工作中,無法實現對安全威脅或事件影響范圍的精準定位。在資產管理過程中,信息化或安全團隊主要從資產管理的角度完成對信息的統計與維護,很少站在攻擊者視角去挖掘資產潛在的威脅與風險。企業通過人工上報的方式對資產列表進行更新,沒有建立自動化資產更新機制,而未及時更新的資產很可能會成為被攻擊和利用的短板。在資產的上線監管上,企業未遵循安全管理制度并完成安全檢查,無法對未納入的資產進行有效管控。互聯網業務邊界的泛化,以及與第三方服務商的供應鏈業務逐漸增多,進一步引發了更多的不可控因素。
三
基于攻擊面管理的安全運營措施
EASM是面向發現外網資產、系統和脆弱性而使用的一套流程、技術和托管服務,基于攻擊者視角識別和管理攻擊面,對企業互聯網資產暴露面進行有效治理,如端口、域名、應用、錯誤配置和可能被利用的漏洞等。通過構建EASM能力,企業動態獲取外部資產攻擊面的可視化視圖,實時查詢最新外網映射資產,分析評估資產屬性以判定資產是否存在風險和脆弱性,借助VPT技術對風險和漏洞進行優先級排序和告警,及時進行修復與持續跟蹤管理。
企業在實施攻擊面管理時,需要融合威脅情報能力,對互聯網資產攻擊面進行識別發現。利用NTI互聯網資產核查服務,對企業外網資產進行敏感信息發現和資產暴露面核查,依托豐富的云端資產指紋庫和情報庫,全面掌握資產攻擊面并感知資產風險。通過大數據關聯分析引擎進行智能研判,并經過云端安全專家復驗,輸出高精度報告,為后續的資產攻擊面風險評估與閉環治理提供重要依據。
CAASM站在防御者視角對攻擊面進行管理,幫助企業安全運營團隊解決在持續性運營工作中出現的資產和漏洞問題,更加關注企業終端、服務器和應用程序等方面的資產管理工作,可使用多種資產數據API取代傳統手動匯總資產信息和繁瑣的流程,來管理資產信息,建立企業統一的資產庫或資產臺賬。資產庫可以為安全團隊提供資產信息查詢,通過API與現有工具的集成,識別安全管控中的漏洞與差距的范圍,并為相關漏洞治理提供重要支撐。
構建基于平臺化的漏洞閉環管理能力,是攻擊面管理的主要著手點。企業可根據安全運營現狀需求部署威脅和漏洞管理平臺,對網絡內資產進行全面收集和梳理,確定系統內合法存在的資產、資產版本、開放的服務和端口、系統的安全配置項目,將資產信息作為系統網絡內的資產基線。持續監控網絡系統內的資產變化情況,對任何資產變化進行預警,直到安全團隊處理或確認是正常變化為止。
威脅和漏洞管理平臺對企業網絡進行全面的脆弱性管理,結合外部漏洞情報信息,從資產安全視角出發,以風險優先級為核心,整合多源脆弱性數據,聚焦關鍵風險,量化風險指標,為企業提供漏洞全生命周期的管理機制。平臺對資產進行預先梳理和持續監控,將漏洞管理流程向外擴展了漏洞發現環節的風險預警、漏洞分析環節的漏洞修復建議、漏洞修復環節的修復方案社區,以及對整個管理過程的評估、對比和優化。
