攻擊面管理(Attack Surface Management)的概念已經(jīng)存在三年以上了�,但是在過去的一年(2021年)�,整個(gè)安全行業(yè)突然迅速接納了它。一方面這表示行業(yè)對(duì)實(shí)戰(zhàn)型攻防技術(shù)的認(rèn)知有了快速提升����,另一方面表示攻擊面管理(ASM)技術(shù)理念是符合場(chǎng)景化剛需的����。
一.什么是攻擊面管理
首先從理論層面對(duì)攻擊面管理進(jìn)行說明。Gartner在《Hype Cycle for Security Operations, 2021》中共有5個(gè)相關(guān)技術(shù)點(diǎn):外部攻擊面管理(EASM)、網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)�����、數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS)�、漏洞評(píng)估(VA)、弱點(diǎn)/漏洞優(yōu)先級(jí)技術(shù)(VPT)��。
這是一個(gè)神奇的事情��,為什么攻擊面管理會(huì)涉及到這么多技術(shù)領(lǐng)域�����?我們以Gartner推薦廠商Cyberint和RiskIQ為例����,他們都強(qiáng)調(diào)了一件重要的事:獲得攻擊者的視角。現(xiàn)代化網(wǎng)絡(luò)攻擊的最大特點(diǎn)之一就是基于大量數(shù)據(jù)的立體化攻擊����。
對(duì)于功能堆疊的剛性防御體系來說,立體化攻擊就如同降維打擊的存在�����。所以需要獲得攻擊者的視角,進(jìn)行動(dòng)態(tài)的主動(dòng)防御��。
這就是攻擊面管理誕生的初衷����。
繼《2021安全運(yùn)營(yíng)技術(shù)成熟度曲線》之后,Gartner又在《新興技術(shù):外部攻擊面管理關(guān)鍵洞察》中進(jìn)行了一系列詳細(xì)的描述:
1����、資產(chǎn)的識(shí)別及清點(diǎn):識(shí)別未知的(影子)數(shù)字資產(chǎn)(如網(wǎng)站、IP�、域名、SSL證書和云服務(wù))�,并實(shí)時(shí)維護(hù)資產(chǎn)列表;
2����、漏洞修復(fù)及暴露面管控:將錯(cuò)誤配置、開放端口和未修復(fù)漏洞根據(jù)緊急程度���、嚴(yán)重性來進(jìn)行風(fēng)險(xiǎn)等級(jí)分析以確定優(yōu)先級(jí);
3��、云安全與治理:識(shí)別組織的公共資產(chǎn)��,跨云供應(yīng)商,以改善云安全和治理�����,EASM可以提供全面的云資產(chǎn)清單�,補(bǔ)充現(xiàn)有的云安全工具;
4�����、數(shù)據(jù)泄漏檢測(cè):監(jiān)測(cè)數(shù)據(jù)泄漏情況���,如憑證泄漏或敏感數(shù)據(jù)�����;
5���、子公司風(fēng)險(xiǎn)評(píng)估:進(jìn)行公司數(shù)字資產(chǎn)可視化能力建設(shè),以便更全面地了解和評(píng)估風(fēng)險(xiǎn)�;
6、供應(yīng)鏈/第三方風(fēng)險(xiǎn)評(píng)估:評(píng)估組織的供應(yīng)鏈和第三方有關(guān)的脆弱性及可見性�,以支持評(píng)估組織的暴露風(fēng)險(xiǎn);
7����、并購(M&A)風(fēng)險(xiǎn)評(píng)估:了解待并購公司數(shù)字資產(chǎn)和相關(guān)風(fēng)險(xiǎn)�����。
網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)則傾向于以智能化的手段更高效的識(shí)別組織內(nèi)部的資產(chǎn)和漏洞:CAASM是一種新興的技術(shù)���,專注于使安全團(tuán)隊(duì)能夠解決持久的資產(chǎn)可見性和漏洞的挑戰(zhàn)。它使組織能夠通過API與現(xiàn)有工具的集成�、對(duì)合并后的數(shù)據(jù)進(jìn)行查詢、識(shí)別安全控制中的漏洞和差距的范圍�,以及修復(fù)問題,來查看所有資產(chǎn)(包括內(nèi)部和外部)的風(fēng)險(xiǎn)��。(以上是Gartner的定義���,從筆者的角度來看��,這更像是一個(gè)更強(qiáng)大的��、進(jìn)行智能化拓展后的漏洞管理系統(tǒng)�����,也許未來漏洞管理系統(tǒng)的功能模型就將是CAASM����。)
需要特別指出的地方是��,Gartner認(rèn)為“攻擊面管理能力可跨越到其他現(xiàn)有的安全領(lǐng)域�����,主要是數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS)”�。甚至在2021年10月25日其發(fā)布的《Competitive Landscape: Digital Risk Protection Services》中預(yù)言:
到2023年底,超過50%的DRPS供應(yīng)商將增加EASM功能���,作為其數(shù)字足跡功能的自然擴(kuò)展����。
由于國(guó)內(nèi)某些概念的誤導(dǎo)�����,DRPS的技術(shù)綱要并沒有正確的被傳達(dá)��,為了更有效的說明ASM應(yīng)該包含的技術(shù)點(diǎn)���,我們有必要對(duì)它進(jìn)行技術(shù)點(diǎn)說明�。
Gartner:通過提供技術(shù)與服務(wù),保護(hù)組織的關(guān)鍵數(shù)字資產(chǎn)和數(shù)據(jù)免受外部威脅��。這些解決方案提供了對(duì)開放(表面)網(wǎng)絡(luò)�����、社交媒體���、暗網(wǎng)和深網(wǎng)的可視性��,以識(shí)別關(guān)鍵資產(chǎn)的潛在威脅��,并提供有關(guān)威脅參與者���、其進(jìn)行惡意活動(dòng)的策略和流程的背景信息。
識(shí)別暴露的有風(fēng)險(xiǎn)的數(shù)字資產(chǎn)�����,具體包含:
1���、組織的數(shù)字足跡(云存儲(chǔ)服務(wù)��、打開的端口和未修補(bǔ)過的漏洞等)��;
2�、品牌保護(hù)(域名搶注和冒充高管等);
3����、組織的賬戶接管風(fēng)險(xiǎn)(電子憑證��、組織的賬戶信息被盜等)����;
4、詐騙活動(dòng)(網(wǎng)絡(luò)釣魚檢測(cè)��、信用卡泄露�����、客戶資料泄露等)����;
5、泄露數(shù)據(jù)(具有知識(shí)產(chǎn)權(quán)的數(shù)據(jù)��、資料、代碼等)����。
至此,我們看到�����,ASM(攻擊面管理)包含EASM(外部攻擊面管理)和CAASM(網(wǎng)絡(luò)資產(chǎn)攻擊面管理)��,EASM與DRPS(數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù))有拓展和重疊之處����,它們都需要VA(漏洞評(píng)估)和VPT(弱點(diǎn)/漏洞優(yōu)先級(jí)技術(shù))的功能和技術(shù)支持。
二.攻擊面管理產(chǎn)品的實(shí)現(xiàn)
以上雖然對(duì)攻擊面管理進(jìn)行了理論構(gòu)架和其構(gòu)成要素分析���,但作為產(chǎn)品實(shí)現(xiàn)仍然過于抽象���。接下來我們以產(chǎn)品設(shè)計(jì)的角度來分析它應(yīng)該具備的功能模型。
首先需要明確的是��,一個(gè)完整的攻擊面管理產(chǎn)品�����,其產(chǎn)品形態(tài)應(yīng)該是:
云端數(shù)據(jù)+私有化部署。
下面說明它的詳細(xì)功能�。
攻擊面管理產(chǎn)品應(yīng)具備以下功能:
ASM功能組
1、網(wǎng)絡(luò)空間測(cè)繪(CAM)
網(wǎng)絡(luò)空間測(cè)繪技術(shù)誕生已有10年歷史�,技術(shù)成熟,這里不再進(jìn)行詳細(xì)說明�����,需要說明的是��,它必須從全互聯(lián)網(wǎng)角度進(jìn)行測(cè)繪�,以保證不會(huì)遺漏組織的外部IT資產(chǎn)和影子資產(chǎn)��。
2�、組織架構(gòu)和關(guān)聯(lián)組織的識(shí)別
為了保證組織對(duì)應(yīng)IT資產(chǎn)的全面和準(zhǔn)確(尤其是對(duì)于影子資產(chǎn)),以及為子公司和有關(guān)聯(lián)(M&A)的企業(yè)進(jìn)行評(píng)估��,必須優(yōu)先進(jìn)行組織架構(gòu)的識(shí)別和映射�����。
3���、數(shù)字足跡的映射
這個(gè)概念很好理解�����,就是要將相關(guān)組織�、子公司、關(guān)聯(lián)組織等與IT資產(chǎn)進(jìn)行映射�。但是從實(shí)踐的角度出發(fā),傳統(tǒng)的網(wǎng)絡(luò)空間測(cè)繪的引擎設(shè)計(jì)邏輯需要進(jìn)行調(diào)整��,以目前先進(jìn)行盲測(cè)再使用關(guān)鍵字識(shí)別����、icon識(shí)別和標(biāo)簽等方法,很難做到全面和準(zhǔn)確的映射�。
4、供應(yīng)鏈的識(shí)別和風(fēng)險(xiǎn)暴露面
供應(yīng)鏈攻擊在最近一年對(duì)全球造成了很大影響��,需要對(duì)組織使用的產(chǎn)品��、第三方組件�,供應(yīng)商進(jìn)行盡可能的探測(cè)、識(shí)別和風(fēng)險(xiǎn)暴露面的發(fā)現(xiàn)���。
TI功能組
這里提到的威脅情報(bào)���,并非狹義上定義的“僵木蠕威脅情報(bào)”����,而是更廣義的�,會(huì)對(duì)業(yè)務(wù)和數(shù)據(jù)造成直接影響的情報(bào)源的探測(cè)和主動(dòng)情報(bào)收集。隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的頒布和執(zhí)行���,該部分既涉及到組織自身的業(yè)務(wù)影響���,也涉及到合法合規(guī)問題,所以本章僅列出內(nèi)容�,在下述章節(jié)詳細(xì)討論。這里特別說明的是�����,該部分必須包含“對(duì)暗網(wǎng)的可視性”�����。
1����、業(yè)務(wù)數(shù)據(jù)和數(shù)字資產(chǎn)泄露情報(bào)
2����、隱私數(shù)據(jù)泄露和內(nèi)部人員數(shù)據(jù)泄露情報(bào)
VPT功能組
關(guān)于VPT���,筆者在之前《漏洞優(yōu)先級(jí)技術(shù)(VPT)導(dǎo)論》中進(jìn)行了發(fā)展和原理性說明,這里僅從產(chǎn)品功能上進(jìn)行描述���。其至少應(yīng)該包含4個(gè)主要功能和一些輔助功能�,具體是:
1����、全面、快速的資產(chǎn)發(fā)現(xiàn)能力
2���、多類型掃描器調(diào)度和多維度漏洞評(píng)估
3����、漏洞情報(bào)和智能優(yōu)先級(jí)排序
4��、漏洞全生命周期管理流程和自動(dòng)編排
基于以上功能說明�����,對(duì)攻擊面管理產(chǎn)品的定位和功能模型就很清晰了�����,其可以描述為:
攻擊面管理系統(tǒng)(產(chǎn)品):
將組織與其不斷發(fā)展的外部和內(nèi)部IT系統(tǒng)及數(shù)字足跡進(jìn)行映射、與漏洞情報(bào)數(shù)據(jù)進(jìn)行關(guān)聯(lián)��,并持續(xù)發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)和代碼泄露�����、組織和人員信息的泄露��、以及對(duì)供應(yīng)鏈的攻擊面進(jìn)行檢測(cè)��,通過對(duì)全球開放網(wǎng)絡(luò)和非公開網(wǎng)絡(luò)的情報(bào)源�����、組織自身業(yè)務(wù)上下文等進(jìn)行大量數(shù)據(jù)采集和弱點(diǎn)優(yōu)先級(jí)分析�����,為組織輸出攻擊面情報(bào)�����,以提供給組織更高級(jí)別的主動(dòng)防御�����。
三.業(yè)務(wù)數(shù)據(jù)泄露與數(shù)字資產(chǎn)泄露
該部分將闡述組織業(yè)務(wù)數(shù)據(jù)泄露�、內(nèi)部文件或與組織相關(guān)的文檔和文案在外部暴露、組織相關(guān)的業(yè)務(wù)系統(tǒng)和軟件的代碼和配置泄露等情況下����,對(duì)組織帶來的風(fēng)險(xiǎn)、以及應(yīng)該如何發(fā)現(xiàn)和如何進(jìn)行智能優(yōu)先級(jí)排序建議�。
1.風(fēng)險(xiǎn)
組織的業(yè)務(wù)數(shù)據(jù)、內(nèi)部文件���、項(xiàng)目信息��、財(cái)務(wù)數(shù)據(jù)�����、核心圖紙�����、軟件代碼�����、業(yè)務(wù)系統(tǒng)配置等等�����,有可能因?yàn)閮?nèi)部人員的工作習(xí)慣(例如將文件上傳到某些互聯(lián)網(wǎng)服務(wù)器或者網(wǎng)盤上)���,也有可能因?yàn)殚_發(fā)人員的誤操作(例如Github權(quán)限設(shè)置不當(dāng))���,或者被惡意竊取(例如黑客通過技術(shù)手段獲得���、或者某些未授權(quán)人員通過其他違規(guī)手段獲得)等��,傳播在互聯(lián)網(wǎng)或者暗網(wǎng)上����。這可能導(dǎo)致組織內(nèi)部機(jī)密外泄����,或者導(dǎo)致黑客利用獲取的代碼和配置文件獲知業(yè)務(wù)系統(tǒng)漏洞等等�。
其帶來的風(fēng)險(xiǎn)通常是直接且隱蔽的。
以往�����,由于網(wǎng)絡(luò)攻擊導(dǎo)致的,從泄露到組織發(fā)現(xiàn)的間隔時(shí)間��,平均在87天����,而由于人員誤操作導(dǎo)致的時(shí)間間隔,平均在207天����。在此期間,組織相關(guān)的泄露數(shù)據(jù)都面臨著極高的被他人利用的風(fēng)險(xiǎn)����,越早發(fā)現(xiàn),風(fēng)險(xiǎn)暴露窗口越短��,風(fēng)險(xiǎn)才會(huì)大幅度降低�。
2.發(fā)現(xiàn)
進(jìn)行業(yè)務(wù)數(shù)據(jù)泄露和數(shù)字資產(chǎn)泄露情報(bào)的獲取,應(yīng)該遵循3個(gè)方法:
2.1 數(shù)據(jù)必須進(jìn)行組織的映射�,并且由組織向關(guān)鍵信息進(jìn)行輻射。
具體來說�����,應(yīng)該由組織名稱拓展到子組織和相關(guān)組織,然后對(duì)各級(jí)組織相關(guān)業(yè)務(wù)�、系統(tǒng)、數(shù)據(jù)����、產(chǎn)品、項(xiàng)目等進(jìn)行智能關(guān)鍵信息獲?����?�;
2.2 盡可能覆蓋全面的公開威脅源�。
數(shù)據(jù)泄露的重要泄露源就是公開網(wǎng)絡(luò)上的威脅源,其可能包含來自天眼查��、企查查��、Gitlib�����、Github�、CSDN�、百度網(wǎng)盤�、百度文庫���、微博等等�,對(duì)各個(gè)威脅源����、社交媒體、云存儲(chǔ)的覆蓋面越廣���,查找到的數(shù)據(jù)越多���,才能越全面的發(fā)現(xiàn)風(fēng)險(xiǎn);
2.3 具備非公開網(wǎng)絡(luò)的可視性���。
非公開網(wǎng)絡(luò)主要是深網(wǎng)和暗網(wǎng)����,數(shù)據(jù)泄露的重要傳播源是暗網(wǎng)交易市場(chǎng)�����,其特點(diǎn)是數(shù)量龐大、活躍度差異大�����、獲取方式隱秘�、交易完全匿名等,對(duì)其進(jìn)行實(shí)時(shí)更新與監(jiān)控的難度較大�,但極其重要。
3.優(yōu)先級(jí)排序
對(duì)于越大的組織����,進(jìn)行越全面的監(jiān)控,其數(shù)據(jù)量越龐大��,一個(gè)具備一定規(guī)模的組織獲取到的公共網(wǎng)絡(luò)數(shù)據(jù)可能達(dá)到數(shù)萬條以上����。以往通過人工逐一篩查其風(fēng)險(xiǎn)性,效率極低且有可能遺漏本就不多的關(guān)鍵信息�。所以對(duì)大量數(shù)據(jù)進(jìn)行智能化的優(yōu)先級(jí)排序就顯得尤為重要。通過合理的算法和規(guī)則不斷優(yōu)化數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)的賦值����,以及抽取關(guān)鍵信息,以供安全運(yùn)維人員和安全專家進(jìn)行高效研判���,才能取得有效的成果和價(jià)值�����。
四.隱私數(shù)據(jù)泄露與組織員工數(shù)據(jù)泄露
無論是組織存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)中的個(gè)人隱私數(shù)據(jù)�����,還是組織員工(尤其是組織的VIP人物)的個(gè)人隱私數(shù)據(jù)泄露�,都是非常嚴(yán)重的事情���。它不僅會(huì)對(duì)組織帶來業(yè)務(wù)上的風(fēng)險(xiǎn)�,還會(huì)引來品牌和名譽(yù)的損失���,更重要的是這可能會(huì)觸犯《網(wǎng)絡(luò)安全法》�、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》�����。
與組織的業(yè)務(wù)數(shù)據(jù)等泄露不同���,個(gè)人隱私數(shù)據(jù)有3個(gè)很重要的特點(diǎn):
1.利用難度低��、命中率高�����、其風(fēng)險(xiǎn)極高�����。
個(gè)人隱私數(shù)據(jù)一旦泄露�,尤其是手機(jī)號(hào)、郵箱��、密碼�、卡號(hào)等信息的泄露,極易成為黑客利用的首選手段�,可能會(huì)導(dǎo)致釣魚或其他社會(huì)工程學(xué)攻擊;
2.直接損失大����、間接損失影響深遠(yuǎn)。
如果組織員工的個(gè)人隱私數(shù)據(jù)����,尤其是組織VIP的個(gè)人隱私數(shù)據(jù)泄露,攻擊者很有可能直接通過登陸其郵箱��、CRM系統(tǒng)、OA系統(tǒng)��、業(yè)務(wù)系統(tǒng)��、釘釘�����、VPN等���,獲取組織敏感信息甚至核心數(shù)據(jù)(在不進(jìn)行其他技術(shù)攻擊和滲透的情況下即可完成)。攻擊者還可以進(jìn)行其他擴(kuò)展性攻擊���,比如對(duì)個(gè)人賬單���、銀行流水、消費(fèi)記錄�、住宿記錄等進(jìn)行查詢和其他處置,它的影響是極其深遠(yuǎn)的��;
3.告警和處置難度高�����。
相對(duì)于其獲取難度而言,其告警難度極高�����。在暗網(wǎng)中��,流傳著大量個(gè)人隱私數(shù)據(jù)(其聚合數(shù)據(jù)也被稱為“社工庫”)���,對(duì)于專業(yè)的攻擊者來說獲得它們的難度和成本并不高�。但是對(duì)于防御者來說��,受制于法律法規(guī)的限制�、因引起當(dāng)事人不悅而導(dǎo)致無法授權(quán)、以及避免數(shù)據(jù)被惡意使用等情況的考慮��,具備此能力的情報(bào)廠商很難將此類情報(bào)完整的提供給相關(guān)組織��。而相關(guān)組織的安全管理員無論是否獲得了完整的情報(bào)信息�����,在設(shè)法通知隱私數(shù)據(jù)被泄露的本人進(jìn)行處置時(shí)����,往往溝通過程會(huì)受到諸多質(zhì)疑���、不悅、無視��、挑戰(zhàn)等態(tài)度�,導(dǎo)致其比系統(tǒng)漏洞的處置難度更高。
隱私數(shù)據(jù)泄露面臨的是利用簡(jiǎn)單��、命中率高��、損失大���、影響深遠(yuǎn)���,風(fēng)險(xiǎn)極大�,卻難以告警和處置的局面。
情報(bào)觸達(dá)率低��、使用率低�,并不代表它們不存在。事實(shí)上����,大量個(gè)人信息和隱私數(shù)據(jù)正在暗網(wǎng)中長(zhǎng)期流傳�����。根據(jù)Identity Theft Resource Center (ITRC) 2021提供的數(shù)據(jù)��,僅在2021年泄露的隱私數(shù)據(jù)���,影響人員已高達(dá)18億以上,造成的直接損失在265-270億美元以上�,而它們從泄露到發(fā)現(xiàn)的平均時(shí)間長(zhǎng)達(dá)112天。對(duì)此���,GDPR在2021年Q3一個(gè)季度開出的罰單就超過了2020年全年的3倍以上�����,達(dá)到11.4億美元�。
目前我國(guó)對(duì)于數(shù)據(jù)安全�、個(gè)人信息保護(hù)等方面的治理力度大幅加強(qiáng),已出臺(tái)和執(zhí)行相關(guān)法律法規(guī)����。但在相關(guān)從業(yè)者認(rèn)知的提升、管理責(zé)任的落實(shí)、情報(bào)的合理使用等方面���,尚需要加強(qiáng)和時(shí)間的沉淀����。
免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn)�,選擇需謹(jǐn)慎!此文僅供參考����,不作買賣依據(jù)。
關(guān)鍵詞:
