整體安全視角下的綜合攻擊面管理

綠盟科技 張睿
攻擊面管理從2021年提出,經(jīng)歷兩年發(fā)展,當(dāng)前進(jìn)入產(chǎn)品研發(fā)與深化落地階段。有效的攻擊面管理不止需要外部攻擊面的資產(chǎn)納管,同時需要考慮外部攻擊面、網(wǎng)絡(luò)空間資產(chǎn)攻擊面的融合實(shí)現(xiàn),兼顧風(fēng)險管理的兼容和融合導(dǎo)入,在考慮既往建設(shè)投入防止重復(fù)建設(shè)的基礎(chǔ)上,以整體安全保障觀實(shí)現(xiàn)綜合攻擊面管理。

本文來自微信公眾號“安全牛”。

攻擊面管理從2021年提出,經(jīng)歷兩年發(fā)展,當(dāng)前進(jìn)入產(chǎn)品研發(fā)與深化落地階段。有效的攻擊面管理不止需要外部攻擊面的資產(chǎn)納管,同時需要考慮外部攻擊面、網(wǎng)絡(luò)空間資產(chǎn)攻擊面的融合實(shí)現(xiàn),兼顧風(fēng)險管理的兼容和融合導(dǎo)入,在考慮既往建設(shè)投入防止重復(fù)建設(shè)的基礎(chǔ)上,以整體安全保障觀實(shí)現(xiàn)綜合攻擊面管理。在攻守雙視角的基礎(chǔ)上,面對日漸消融的安全邊界,通過閉合風(fēng)險管理與攻擊面管理實(shí)現(xiàn)一體化安全運(yùn)營,成為企業(yè)組織未來實(shí)現(xiàn)資產(chǎn)、脆弱性、風(fēng)險聯(lián)合管控的一條可行路徑。

Gartner于2021年提出網(wǎng)絡(luò)資產(chǎn)攻擊面管理(Cyber Asset Attack Surface Management)與外部攻擊面管理(External Attack Surface Management),自此有關(guān)攻擊面管理(ASM-Attack Surface Management)主題的技術(shù)與安全產(chǎn)品開始不斷涌現(xiàn)[1]。2022年與2023年,Gartner持續(xù)兩度于其發(fā)布的安全運(yùn)營技術(shù)成熟度曲線(Hype Cycle for Security Operations)報告中發(fā)布了相關(guān)內(nèi)容。ASM是風(fēng)險管理、資產(chǎn)管理、漏洞管理、網(wǎng)絡(luò)空間測繪相關(guān)概念發(fā)展后又一深刻影響到資產(chǎn)與漏洞管理模式的技術(shù)理念,開啟了依托ASM進(jìn)行資產(chǎn)和漏洞管理的新的時代[2]。

01

攻擊面管理的內(nèi)涵

根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)有關(guān)攻擊面的定義,攻擊面是系統(tǒng)、系統(tǒng)元素或環(huán)境邊界上的一組攻擊點(diǎn),攻擊者可以嘗試?yán)貌⑦M(jìn)入該系統(tǒng)、系統(tǒng)元素或環(huán)境,對該系統(tǒng)、系統(tǒng)元素或環(huán)境產(chǎn)生負(fù)面影響或竊取數(shù)據(jù)[3]。

Gartner發(fā)布的相關(guān)報告中直接引用了NIST有關(guān)攻擊面的定義,并且明確了ASM涉及人員、流程、技術(shù)和服務(wù)的組合,其用于持續(xù)發(fā)現(xiàn)、清點(diǎn)和管理組織的資產(chǎn),相關(guān)資產(chǎn)涉及內(nèi)部和外部,并會引發(fā)數(shù)字風(fēng)險。ASM通過整合工具和服務(wù),通過增強(qiáng)管理的透明度,從而降低被惡意威脅利用脆弱性的可能性。ASM由三個主要功能支持:網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)、外部攻擊面管理(EASM)和數(shù)字風(fēng)險保護(hù)服務(wù)(DRPS)[2]。

此外,第三方機(jī)構(gòu)IDC認(rèn)為,傳統(tǒng)漏洞管理技術(shù)執(zhí)行的是內(nèi)部掃描,ASM平臺則掃描互聯(lián)網(wǎng),從企業(yè)外部視角和攻擊者視角發(fā)現(xiàn)可能被網(wǎng)絡(luò)攻擊者利用的系統(tǒng)脆弱性。其中,資產(chǎn)發(fā)現(xiàn)是所有ASM解決方案的共同點(diǎn),以提供對所有面向互聯(lián)網(wǎng)的資產(chǎn)的可見性,包括本地部署的以及云上已知和未知資產(chǎn)。ASM平臺能夠基于風(fēng)險的評分幫助安全團(tuán)隊確定行動的優(yōu)先次序,最大程度降低安全風(fēng)險[5]。

當(dāng)前于產(chǎn)品側(cè),國內(nèi)更傾向于將ASM分為外部攻擊面即EASM和網(wǎng)絡(luò)資產(chǎn)攻擊面CAASM。EASM強(qiáng)調(diào)外部攻擊者視角,針對暴露在公網(wǎng)的資產(chǎn),CAASM則強(qiáng)調(diào)內(nèi)外部視角,通過資產(chǎn)主動與被動探測的方式來解決持續(xù)的資產(chǎn)可見性和漏洞風(fēng)險。DRPS于國內(nèi)進(jìn)行產(chǎn)品化的進(jìn)程中,逐漸與EASM融合,涉及的功能包含了暗網(wǎng)泄露監(jiān)控、對外開放的應(yīng)用與數(shù)據(jù)濫用監(jiān)控、賬戶盜用相關(guān)功能。

02

攻擊面管理的價值

攻擊面管理較傳統(tǒng)風(fēng)險管理,最為獨(dú)特的轉(zhuǎn)變,是其從防守者轉(zhuǎn)換為攻擊者視角審視組織的資產(chǎn)、脆弱性、威脅,其維度高于資產(chǎn)管理以及網(wǎng)絡(luò)空間測繪,同時在風(fēng)險評估的框架下,通過再度融入威脅和脆弱性,以保護(hù)數(shù)字資產(chǎn)為目的而進(jìn)行一系列諸如資產(chǎn)核查、威脅發(fā)現(xiàn)相關(guān)工作。其不只是從管理范圍上進(jìn)行了延展,同時也從安全效果上得到了驗(yàn)證。

我們一般防守視角下的資產(chǎn)、脆弱性、風(fēng)險管理偏向于二元攻防思維下的對抗,如圖一所示。防守方通過安全建設(shè),實(shí)施縱深防御(DID),以保護(hù)資產(chǎn)不被攻擊,或被攻擊后損失可控。而與之對抗的攻擊方,是通過突破層層防御體系,實(shí)現(xiàn)核心資產(chǎn)的獲取、破壞,圖一所示路徑1是防守視角下對安全攻擊的設(shè)想與認(rèn)知。

1.png

圖1二元攻防思維下的二維攻擊路徑

對于攻擊者,一般需要收集防守側(cè)相關(guān)信息,通過“踩點(diǎn)”的方式進(jìn)行不斷試探性嘗試,并最終實(shí)現(xiàn)規(guī)劃攻擊路徑與攻擊方案的設(shè)計。但攻擊者獲得信息以及利用信息的方式遠(yuǎn)大于防守視角的范疇,尤其越是需要伏擊等待激活的場景,往往會優(yōu)先考慮繞過DID,采取迂回、靜默、社工等非正面直接對抗方式進(jìn)行攻擊,所以突破傳統(tǒng)防守視角而從更綜合的視角認(rèn)知攻擊非常必要。

以CAASM內(nèi)網(wǎng)資產(chǎn)為例,攻擊者視角下的資產(chǎn)不但包含硬件設(shè)備、云主機(jī)、操作系統(tǒng)、應(yīng)用系統(tǒng)、Web應(yīng)用,還包含IP地址、端口、證書、域名、中間件,甚至囊括了組織機(jī)構(gòu)運(yùn)營和對外發(fā)布的公眾號、小程序、App,公開對外共享的API。概括來說,只要是可操作的對象,不管是硬件、軟件,還是實(shí)體、屬性,均可以稱為網(wǎng)絡(luò)空間資產(chǎn)。所以回歸至NIST對于攻擊面的定義,組織機(jī)構(gòu)所擁有的一切可能被潛在攻擊者利用的設(shè)備、信息、應(yīng)用等數(shù)字資產(chǎn)均應(yīng)當(dāng)在納管范圍?;谫Y產(chǎn)范圍的擴(kuò)大解釋,從組織層面,攻擊面管理既提出了能夠核查識別已經(jīng)掌握的數(shù)字資產(chǎn)信息的能力,還需要具備探測、發(fā)現(xiàn)、識別新增資產(chǎn)或是游離資產(chǎn)的能力。

1.png

圖2攻擊與防守視角下資產(chǎn)的差異

圍繞組織未掌握資產(chǎn)的核查與發(fā)現(xiàn),除內(nèi)網(wǎng)資產(chǎn),不受組織管控的外部資產(chǎn)、主動公開信息、泄露數(shù)據(jù)也是攻擊者關(guān)注的對象。而這也是EASM專注的領(lǐng)域,如圖2所示,攻擊者會專注關(guān)聯(lián)信息的廣泛收集,如企業(yè)組織架構(gòu)、人員信息、商務(wù)信息、影子資產(chǎn)(Shadow IT)信息,甚至通過暗網(wǎng)交易獲取更多數(shù)據(jù),從中識別安全漏洞、供應(yīng)鏈安全問題,完成諸如鎖定攻擊目標(biāo)、社工攻擊方案設(shè)計等一系列操作。

1.png

圖3暴露盲區(qū)下的三維攻擊路徑

攻擊者視角下對資產(chǎn)與攻擊路徑的理解,可以通過升維的方式進(jìn)行解釋。如圖三所示,三維空間下的攻防,防守一側(cè)的DID會因?yàn)楸┞睹^(qū)的存在而被繞過徹底失效。而暴露盲區(qū)最常見的兩大類資產(chǎn),一為影子資產(chǎn),即企業(yè)組織本該管理但游離于管控外的資產(chǎn);二為已經(jīng)泄露的數(shù)字資產(chǎn),但企業(yè)組織還未通過可查信息渠道獲得相關(guān)反饋,更無從評估確定應(yīng)對相關(guān)風(fēng)險的方案。

聚焦在攻擊者視角去審視網(wǎng)絡(luò)空間內(nèi)不同形態(tài)種類的資產(chǎn)所組成的攻擊暴露面,其極大地強(qiáng)調(diào)了各類資產(chǎn)的可觀測性。雖然國內(nèi)產(chǎn)品化的進(jìn)程中,關(guān)注了CAASM與EASM的區(qū)分,但圍繞ASM不能單獨(dú)基于“內(nèi)、外”的概念強(qiáng)行劃分,尤其是當(dāng)各類數(shù)據(jù)、信息涌入,進(jìn)行安全運(yùn)營平臺化建設(shè)后,如何將相關(guān)數(shù)據(jù)進(jìn)行關(guān)聯(lián)運(yùn)算,是ASM支持實(shí)現(xiàn)“可運(yùn)營”目標(biāo)的關(guān)鍵內(nèi)容。而保持與既有安全管理、風(fēng)險管理、態(tài)勢感知等平臺和技術(shù)的一體化融合,不但利于管理的便利性,防止“依賴采購產(chǎn)品實(shí)現(xiàn)安全建設(shè)”的片面做法,而且可以真正凸顯ASM于總體安全保障的價值。

03

綜合風(fēng)險閉合框架

在闡述風(fēng)險管理閉合框架前,需要理解暴露面管理、脆弱性管理、攻擊面管理的差異。暴露面屬于頂層概念,其包容了攻擊面、脆弱性、安全驗(yàn)證三項關(guān)鍵內(nèi)容。傳統(tǒng)脆弱性核查的能力不可或缺,尤其是以漏洞掃描和漏洞管理為代表的關(guān)鍵基礎(chǔ)性工作,并不因ASM的出現(xiàn)直接被取代,其為ASM的關(guān)鍵協(xié)同內(nèi)容,也是網(wǎng)絡(luò)安全運(yùn)營工作的基礎(chǔ)。與此同時不能因?yàn)榇嬖诼┒垂芾砟芰?,直接轉(zhuǎn)化為ASM,其底層對情報分析挖掘的粒度以及中層劇本、頂層場景需要眾多研發(fā)投入。鑒于綜合ASM的必要性,在脆弱性兩端關(guān)聯(lián)的基礎(chǔ)上,即防守視角下的風(fēng)險管理與攻擊視角下的攻擊面管理,我們提出了風(fēng)險閉合框架,如圖四所示。

1.png

圖4風(fēng)險閉合框架

風(fēng)險管理的標(biāo)準(zhǔn)場景,是圍繞業(yè)務(wù)連續(xù)性管理(BCM)進(jìn)行的業(yè)務(wù)連續(xù)性流程(BCP)以及災(zāi)難恢復(fù)流程(DRP)設(shè)計,而攻擊面管理的標(biāo)準(zhǔn)場景是CAASM與EASM,通過共享兩者底層能力,在共有的基礎(chǔ)上,我們于底層通過拓展資產(chǎn)范圍、關(guān)聯(lián)拓展脆弱性核查與情報挖掘,與攻擊面涉及的攻擊觸點(diǎn)實(shí)現(xiàn)銜接,實(shí)現(xiàn)研發(fā)體系、安全體系、運(yùn)維體系的資產(chǎn)全程識別管控,其要求底層數(shù)據(jù)、系統(tǒng)的關(guān)聯(lián)打通,避免重復(fù)建設(shè)與投資浪費(fèi),更重要的是防止多點(diǎn)數(shù)據(jù)造成的數(shù)據(jù)孤島現(xiàn)象,無法融合產(chǎn)生價值。而框架中層納入了資產(chǎn)生命周期管理,保證現(xiàn)實(shí)業(yè)務(wù)的兼容性,也提供了靈活的攻擊視角場景化擴(kuò)展,從而支持頂層一體化安全運(yùn)營的實(shí)現(xiàn)。

閉合框架下的資產(chǎn)管理不但要求納管傳統(tǒng)安全臺賬涉及的IT資產(chǎn),還需具備終端App、小程序的管理,并能夠持續(xù)逐步實(shí)現(xiàn)類似API資產(chǎn),甚至諸如工業(yè)網(wǎng)絡(luò)、車聯(lián)網(wǎng)的新型資產(chǎn)的識別與納管。而傳統(tǒng)資產(chǎn)與漏洞掃描工具以及滲透測試服務(wù)均成為輔助實(shí)現(xiàn)核查的底層能力,而且需要融合未知資產(chǎn)、影子資產(chǎn)探測的能力,在關(guān)聯(lián)威脅情報信息的基礎(chǔ)上,保證影子資產(chǎn)與信息泄露發(fā)現(xiàn)的有效性。

此外,傳統(tǒng)圍繞諸如CVSS漏洞評級的場景,需逐步向支持漏洞優(yōu)先級技術(shù)(VPT)演進(jìn)升級,通過關(guān)聯(lián)業(yè)務(wù)重要性與場景信息,動態(tài)地將需要修復(fù)的漏洞排定優(yōu)先級,進(jìn)而支持在統(tǒng)一的平臺上進(jìn)行排序和處理。即閉合后的風(fēng)險管理與攻擊面管理框架,其兼容調(diào)和了風(fēng)險管理業(yè)務(wù),實(shí)現(xiàn)了雙視角的融合,通過閉合以彌補(bǔ)視角差缺陷,所提供的能力更利于管理流程的銜接與底層功能的貫通,從而支持安全決策的有效性提升。

04

攻擊面驗(yàn)證

在正常圍繞暴露面管理的要求中,會明確涉及暴露面驗(yàn)證的功能。而ASM不能因?yàn)閷儆诒┞睹婀芾淼南挛桓拍钪痪劢褂谧R別發(fā)現(xiàn)、評估通知的功能,同樣應(yīng)當(dāng)具備攻擊面驗(yàn)證核查以及攻擊面收斂的功能。從技術(shù)角度,融合驗(yàn)證收斂能夠提升識別驗(yàn)證與處置的效果,防止大范圍誤報、海量告警無從處理的情況發(fā)生。從管理角度,攻擊面驗(yàn)證也保證了流程的閉環(huán),避免只告警待整改、不整改的情況發(fā)生。與此同時,從集成可行性角度出發(fā),企業(yè)組織可以在既有安全建設(shè)的基礎(chǔ)上,也可采取模塊化的模式,經(jīng)裁剪縱向分層次融合ASM的功能,而非從數(shù)據(jù)采集、清洗分析、關(guān)聯(lián)計算等,一直到頂層功能全部采購,需要考慮避免重復(fù)建設(shè)浪費(fèi),也需考慮底層安全能力的復(fù)用協(xié)同。

1.png

圖5攻擊面驗(yàn)證邏輯

攻擊驗(yàn)證應(yīng)當(dāng)整合平臺自動化驗(yàn)證以及安全服務(wù)涉及的專家驗(yàn)證,因自動化驗(yàn)證能夠盡速縮減驗(yàn)證范圍,提升人員驗(yàn)證的效率。人員驗(yàn)證可以基于自動化驗(yàn)證結(jié)果,也可基于專門場景,如國家攻防賽事期間的攻擊面驗(yàn)證。根據(jù)如上驗(yàn)證結(jié)果,可以推進(jìn)下一步策略下發(fā),進(jìn)行攻擊面收斂。

05

攻擊面收斂

攻擊面融合驗(yàn)證與收斂后的示意圖,如圖六所示。經(jīng)過收斂后的網(wǎng)絡(luò)環(huán)境與攻擊面能夠,使得風(fēng)險接受區(qū)的邊界更加明確穩(wěn)定。

1.png

圖6攻擊面收斂

針對內(nèi)部可控資產(chǎn),攻擊面收斂涉及漏洞資產(chǎn)及已攻陷資產(chǎn)的確認(rèn)與下線,但其前提首先需要基于對硬件、系統(tǒng)、應(yīng)用、中間件等關(guān)鍵信息的精確管理與有效更新維護(hù),并且需要基于業(yè)務(wù)重要程度對以上資產(chǎn)進(jìn)行標(biāo)記和常態(tài)化監(jiān)控。在攻擊發(fā)生時,使用關(guān)鍵信息篩選并迅速定位涉險資產(chǎn),通過自動化腳本、PoC驗(yàn)證等進(jìn)行漏洞的精準(zhǔn)匹配,在基于業(yè)務(wù)優(yōu)先級的基礎(chǔ)上下發(fā)響應(yīng)策略。同時攻擊面收斂應(yīng)當(dāng)聯(lián)動管理流程,通過下發(fā)通知、工單等方式,實(shí)現(xiàn)業(yè)務(wù)、安全、運(yùn)維多部門的信息推送與流程協(xié)作。

對于外部半可控、不可控資產(chǎn),需要基于外部資產(chǎn)、數(shù)據(jù)所處的環(huán)境和平臺差異,采取不同的攻擊面收斂策略,且必須匹配實(shí)際可行的應(yīng)急響應(yīng)方案與管理流程。如針對網(wǎng)絡(luò)云盤、網(wǎng)盤等共享平臺類的資產(chǎn),尤其涉及開發(fā)團(tuán)隊使用的代碼平臺、文檔文庫共享平臺,能夠通過申訴聯(lián)系平臺方進(jìn)行下線處置,并于平日進(jìn)行安全意識宣貫,對內(nèi)保證人員對外發(fā)代碼、文檔合規(guī)性的認(rèn)知符合組織要求。而商務(wù)與關(guān)聯(lián)平臺服務(wù)提供方或CSP簽訂服務(wù)級別協(xié)議時,明確攻擊下線的流程與響應(yīng)時效;針對公眾號、小程序、托管程序、托管數(shù)據(jù),能夠?qū)又付C(jī)構(gòu),啟動業(yè)務(wù)下線、API接口關(guān)閉、數(shù)據(jù)封存、調(diào)查取證的流程,并且對內(nèi)具備明確的業(yè)務(wù)連續(xù)性管理流程,保證關(guān)聯(lián)業(yè)務(wù)下線后干系人能夠適時獲知并承擔(dān)相應(yīng)責(zé)任。

此外,針對暗網(wǎng)交易監(jiān)控獲得的情報,需要具備驗(yàn)證泄露的真實(shí)性能力,能夠評估泄露的影響,并匹配關(guān)聯(lián)公共關(guān)系維護(hù)甚至監(jiān)管機(jī)構(gòu)對接流程,防止事態(tài)的進(jìn)一步擴(kuò)大。其次根據(jù)組織安全團(tuán)隊的能力,或采購?fù)獠糠?wù)的方式,進(jìn)行泄露的核查與路徑溯源性取證,以針對相關(guān)個人進(jìn)行問責(zé),并支持后續(xù)監(jiān)管機(jī)構(gòu)的質(zhì)詢。

參考文獻(xiàn):

[1]Pete Shoard,Shilpi Handa,Hype Cycle for Security Operations 2021,Gartner.

[2]Andrew Davies,Hype Cycle for Security Operations 2022,Gartner

[3]https://csrc.nist.gov/glossary/term/attack_surface

[4]Austin Zhao,IDC Innovators:中國攻擊面管理(ASM)技術(shù),2023.

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論