網絡空間資產安全管理實踐與創新
2021 年 5 月 10 日,美國政府宣布進入國家緊急狀態,起因是美國最大的成品油管道運營商Colonial Pipeline遭受勒索軟件攻擊。5月12日,美國總統拜登簽署《關于加強國家網絡安全的行政命令》(Executive Order on Improving the Nation’s Cybersecurity)的第14028號行政命令,該《行政命令》的出臺是美國政府對該事件和2020年底爆出的SolarWinds供應鏈APT攻擊等一系列重大網絡安全事件的響應,旨在采用大膽舉措提升美國政府網絡安全現代化和對威脅的整體抵御能力。指令首次提出“關鍵軟件”概念,希望增強美國聯邦政府的軟件供應鏈安全,要求向美國聯邦政府出售軟件的任何企業,不僅要提供軟件本身,還必須提供軟件物料清單,可見美國要求重要機構對使用的關鍵軟件資產采用空前力度進行安全控制。9月7日,美國政府政策部門管理和預算辦公室(OMB)和網絡安全和基礎設施安全局(CISA)在2021年9月7日發布了支持該行政指令的《聯邦零信任戰略》(Federal Zero Trust Strategy)草案,將可視化和分析、自動化和編排和治理三項基礎工作和能力貫穿到身份、設備、網絡、應用程序、數據的五個零信任支柱中,看得見是一切安全的基礎,要求聯邦政府要有一個完整的授權運行的設備清單,并將盤點資產作為關鍵舉措之一。
在我國,《關鍵信息基礎設施安全保護條例》(以下簡稱關基條例)、《網絡產品安全漏洞管理規定》和《數據安全法》自2021年9月1日起施行。特別是關基條例,是構建關鍵信息基礎設施安全保護體系的頂層設計和重要舉措,必將開啟我國關鍵信息基礎設施安全保護工作的新紀元,我國將建立網信和公安部門統籌與指導監督、重要行業和領域的主管部門保護、關鍵信息基礎設施運營者主體運營的三層網絡安全綜合治理體系。條例也明確了網絡安全服務機構的責任與義務,充分調動全社會的積極力量,共同建設關鍵信息基礎設施網絡安全監測預警、應急響應、檢查檢測、信息共享等能力體系。
經歷了這幾年實戰化的大型攻防演練,三化六防、掛圖作戰已經成為關基單位網絡安全工作的指導思想,網絡空間資產的全面、動態、主動、精準防護成為必然。
一、基本定義
在開始談網絡空間資產安全管理的目標、挑戰與能力要求、實踐前,有必要對談的問題做個約定。
資產:指網絡空間中某機構所擁有的一切可能被潛在攻擊者利用的設備、信息、應用等數字資產。具體包括但不限于硬件設備、云主機、操作系統、IP地址、端口、證書、域名、Web應用、業務應用、中間件、框架、機構公眾號、小程序、App、API、源代碼等(注:本定義引自數世咨詢2021年:《網絡空間資產測繪(CAM)能力指南》)。后面的討論基本參照了本定義,和我們創業的認識和方向也是一致的。
隨著數字化的演進和攻防技術的發展,我認為資產的內涵和外延還將不斷發生變化,比如從覆蓋面來講,除了傳統IT網絡,還要覆蓋cloud, IT, IoT, OT等環境,從深度上來講,還要包括流量、身份、進程、訪問關系等。除此以外,數據也是一種非常重要的資產,從整個生命周期來看,采集、傳輸、存儲、處理、交換、銷毀每個階段都需要考慮安全的管理和控制,針對數據這種資產的管理,當前業界談得比較多的是數據安全治理,因和業務緊密相關,數據需要流動和共享,落地難度就相當大了,但梳理數據資產現狀,摸清單位擁有哪些數據、誰在使用、如何使用和基于此之上的數據分類分級則是數據保護工作的基礎。
另外,從需求對象、需求目標、使用場景、采集數據及手段來看,不同視角的資產管理的差別很大,日常交流中發現經常混淆在一起,我這里說的當然是資產安全管理,當然也有人叫安全資產管理,這兩個詞到底哪個更合適就沒有那么重要了。
二、目標
我認為,資產安全管理的目標是構建滿足安全運營人員日常工作所需的完整、統一、動態的資產臺賬系統,實現數字化管理,并能隨時了解企業的網絡空間攻擊面,通過API集成與聯動其他系統實現掛圖作戰和平戰一體化。從管理的角度來說,則需要建立上線備案、變更管理、審批核查、考核匯報、漏洞閉環跟蹤、基線與補丁管理、應急處置等安全管理流程,建立指標化的資產安全運營體系,實現資產全生命周期的安全運營。
直白地說,就是構建整個機構網絡空間的安全視角資產庫或城防地圖,看清自己,隨時感知風險和攻擊面,為安全人員快速決策和行動提供直觀、清晰的依據,同時通過與其他安全系統、外部情報的聯動,能自動化調度和編排,實現高效運營。
三、挑戰與要求
隨著數字化轉型的加速,資產的形態多種多樣,屬性迅速變化,攻擊面持續擴大,傳統殘缺、過時、離線、孤島和缺乏安全視角的資產數據無法滿足漏洞不斷爆發、攻擊愈演愈烈的安全形勢下的防護要求,資產安全管理的主要挑戰來自三個方面:
● 資產屬性的缺失
● 資產數據的碎片化
● 資產形態的泛化
缺乏統一、可信的資產安全臺賬系統成為各單位普遍存在的迫切問題。
當然,談到管理,當然和組織業務和文化、IT與網絡安全治理水平,內部分工也緊密相關,不僅僅是網絡安全部門就能做好的。
資產安全管理系統與其他系統、安全產品的整合,需要用戶側安全與運維、應用部門的協同,還要求安全產品供應商配合才能完成,這個對接過程并不是標準化可復制的,如何在成本和效益之間尋找一個各方都能接受的平衡點至關重要,發動各方的積極性往往充滿挑戰。
因此,資產安全管理方案難于落地,本質上難的不是技術,而是管理,這也是至今這個頑疾并未很好解決的重要原因。
技術方面,需要主被動、攻擊與運維視角等多維視角,并充分利用已有系統的數據,從全面性、準確性、實效性、開放性、持續性和關聯性方面考慮數據的質量及和外部系統的聯動,數據的存儲、清洗、挖掘、檢索和關聯分析能滿足各種場景和人員的使用需要。
四、我們的實踐
資產安全管理是一個持續的過程,無法一蹴而就,理想的情況是收集所有的數據,打通相關的系統,事實上達到100%完整和準確的數據是一個理想的目標,業務的動態性和人的因素決定了這個過程需要不斷迭代和優化,并需要安全人員的運營才能真正發揮價值。
我們歸納的資產安全管理成熟度模型定義了達到不同階段具備的能力、特征和需要攻克的挑戰,在建設和運營方面的側重點也不一樣。
直接完成全網的資產安全管理需要足夠的投入和多部門的溝通協調,建議采用小步快跑的思路針對不同的風險級別網絡環境和業務系統(如互聯網區、生產區、辦公區)來分布建設。一旦選定區域,可以采用三步走的方法,第一步是資產發現,其次是風險緩解與閉環處置、然后進行持續優化與運營,單個區域的建設運營可為全網資產安全管理積累經驗,也能讓項目成員快速看到收益。
這兩年,在摸清家底的迫切需要和大型實戰攻防演練活動的驅動下,網絡空間資產測繪作為一個新興的技術為業界所關注,并在2020年被咨詢機構評為中國網絡安全十大創新方向和熱點。
網絡空間資產測繪是針對網絡空間中的數字化資產,通過掃描探測、流量監聽、主機代理、適配器對接、特征匹配等方式,動態發現、匯集資產數據,并進行關聯分析與展現,以快速感知安全風險,把握安全態勢,從而輔助用戶進行指揮決策,支撐預測、保護、檢測、響應等安全體系。
的確,網絡空間資產測繪這個技術為解決資產安全管理這個老大難問題帶來了新的思路,是解決好資產安全管理的有效手段。事實上,網絡空間資產測繪并不是一個全新的技術。1997年,Fyodor發表文章《The Art of Port Scanning》,并發布Nmap的第一個版本,標志著網絡資產探測技術的開始,2002年左右,利用Google搜索引擎來進行入侵的手段Google Hacking出現,2009年舉辦的黑客大會DEFCON會上,一位名叫約翰?馬瑟利的黑客發布了一款名為“Shodan”的搜索引擎,可以搜索互聯網上聯網的設備,“傻蛋”也被評為互聯網上最可怕的搜索引擎。
廣為人知的公網測繪搜索引擎,主要往快速、無感、欺騙技術對抗、全量探測(全量IP、端口、全協議)和大數據分析方面發展,但即使全球IPV4地址的全量探測都是巨大的挑戰,更不用談IPV6。
另一方面,公網測繪引擎更多是互聯網視角,比較宏觀,基本以主動掃描為主要探測手段,多聚焦IP資產(端口、服務應用),更像是一個數據和情報獲取工具,攻擊者也會受益于這項技術尋找目標單位的資產。
對一個政企機構來講,希望完整了解自身在內外部網絡空間的所有資產,對全面性(全端口、多協議、數字資產)、準確性或與自身的關聯性(域名、公司名稱、logo、特有名詞)要求很高。同時,內部網絡環境不同于Internet,探測本身對生產系統的影響也要考慮,并且不能僅依賴掃描或流量就能完成所有資產數據的準確收集。結合多年的實踐,我們認為網絡空間資產測繪在政企機構資產安全管理中的落地需要關注的點如下:
對一個政企單位而言,一般分為互聯網(公網)和企業內網(私網),其中互聯網資產需要從攻擊者視角出發,從外到內看企業暴露在互聯網上的資產和弱點,關注的不僅僅是IP化資產和應用,如服務器、域名、證書、高危端口和易危資產、錯誤配置、弱口令、POC和版本型漏洞等,還包括對開源社區、暗網、網盤、文庫、公眾號小程序等數字化資產的監控與發行,并能關聯外部情報響應威脅。
能力構建方面,可自己造輪子,前提是有足夠的投入和持續的維護,也可外購專業安全公司的互聯網資產風險監控SaaS服務,由專業團隊提供定期的資產和暴露面風險探測報告、漏洞精準預警和應急支持服務等,并可通過賬號自行使用。
針對內網,建立資產安全管理平臺,通過在不同區域部署主動測繪探針、API適配器對接現有系統等方式采集資產數據,補充資產的業務和管理屬性數據。基于不同來源的數據可進行交叉驗證,尋找安全控制措施的間隙,通過風險探測發現需要優先處理的漏洞,并通過域間的訪問關系可實現脆弱性推演,當然,有條件的可輔以流量和agent手段來發現資產。互聯網端資產的數據可通過SaaS系統導入到資產安全管理平臺或通過私有化的探測引擎收集數據。
經過眾多客戶實踐和驗證,資產安全管理平臺應在日常的安全運營工作中充當“作業平臺”的角色,聚焦資產管控率、風險發現和1DAY漏洞應急:
在大型攻防演練等戰事活動中,能基于現網的脆弱性數據與域間訪問關系,進行攻擊路徑推演。保持總體資產安全態勢感知并專注于保護關鍵任務資產,優先考慮暴露面的影響范圍,輔助決策、指揮作戰:
五、展望
Gartner于今年7月發布了《Hype Cycle for Security Operations, 2021》,提到了EASM(External attack surface management)和CAASM( Cyber asset attack surface management)兩項新的技術,可基本對應上述的兩種場景和方案。
EASM解決企業在互聯網上已知、未知資產及其漏洞的發現,包括攻擊者可以在公眾域看到的云服務和應用,以及第三方供應商軟件漏洞,提供持續監控、資產發現、關聯分析、風險優先級判定和緩解五個方面的能力,從外到內的視角看企業的攻擊面。
CASSM則著力于讓安全人員可以以全局的視角看資產和漏洞,通過和已有系統的API集成讓企業看得見所有的資產,并給安全、運維、應用在內的各種人員提供統一查詢和消費的數據,識別出漏洞影響面及安全措施的間隙,同時緩解與改進這些問題。
團隊小伙伴過去幾年在部分頭部客戶的實踐與Gartner的上述兩項技術洞察基本一致,只是Gartner預測成熟期需要5-10年,個人表示不敢茍同,數字化轉型、新冠疫情和當前國際環境會加速這個過程,不過要真是10年的話,基本可以干到退休了:)
當然,實踐是檢驗真理的唯一標準,我們將沿著“真掛圖,掛真圖”的路徑,著眼于解決客戶的真正痛點,為中國網絡安全產業帶來一些不同的東西,踏踏實實在這個細分領域堅持下去,不忘初心,砥礪前行!
