作者简介:廖维,现任某SaaS公司高级安全总监,曾担任鹅厂、360、猿辅导安全负责人、每日优鲜高级安全总监等职位。从事安全十余载,拥有一线安全技术及架构落地经验,在甲方企业安全建设、安全架构、业务风控等方面具备多年丰富经验。
一、攻击面管理概述与市场格局
攻击面管理是一种从攻击者视角对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法,其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性,而这里的所有资产包含已知资产、未知资产、数字品牌、泄露数据等等一系列可存在被利用的风险的资产内容,持续发现、分析、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击媒介。
攻击面管理(ASM)由网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)以及数字风险保护(DRPS)三个核心部分组成。还包括漏洞评估(VA)、弱点/漏洞优先级技术(VPT)和威胁情报(TI)等附加组成项,以及主动探测、被动监测、对抗检测和情报支撑四大核心技术。
攻击面管理可以从内部管理和外部攻击者的角度来看,帮助组织克服持久的资产可见性和漏洞挑战,其中最重要的两个关键词:资产和漏洞。
从攻击者视角出发,立体化、精准识别暴露给攻击者的企业资产及其安全风险,帮助企业从传统的安全事件应急影响和溯源,转变为“先发现、先预防、先处理”的主动持续攻击面监测模式。攻击面管理由四个核心流程组成:资产发现、分类和优先级排序、修复以及监控。同样,由于数字攻击面的大小和形态不断变化,这些过程是持续进行的,攻击面管理解决方案在任何时候都可实现这些流程的自动化,其目标是确保安全团队始终拥有漏洞资产的完整且最新的清单,并加快对给组织带来最大风险的漏洞和威胁的响应。
两个核心维度——内外部视角的攻击面管理
外部攻击面管理。主要关注外部资产,使用一系列来源和方法来扫描全球的互联网,寻找其面向外部的资产暴露面,并且对这种资产暴露面进行可视化。(例如:服务器、登录凭证、公共云服务、错误配置可被攻击者利用的第三方合作伙伴软件代码漏洞等。)
企业内外部网络资产攻击面管理。关注企业数字化资产,发现功能主要通过与现有工具的API集成来工作,依赖于其他已部署的技术作为上下文,并富化从这些技术中提取的数据,以提供组织资产库存的整体视图。CAASM被认为是攻击面管理实践的基石,旨在整理与组织漏洞相关的数据并对其进行有效管理。
三者互相融合,互相包含
数字风险保护服务(DRPS)通过技术和服务的组合提供,以保护关键数字资产和数据免受外部威胁。这些解决方案提供对开放网络、社交媒体、暗网和深层网络资源的可见性,以识别对关键资产的潜在威胁,并提供有关攻击者及其恶意活动的策略和流程的上下文信息。
EASM更注重技术和运营,DRPS主要支持更多以业务为中心的活动。EASM主要关注外部资产,而CAASM关注内部资产。
攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景三层。基础技术为支撑攻击面管理的技术能力集合,多种技术组合形成攻击面管理的能力体系,根据不同的业务场景需求采用不同的能力组合,形成不同的应用场景下的击面管理解决方案,为用户提供有针对性的攻击面闭环管理能力。
市场格局分布
未来三年,外部攻击面管理(EASM)将成为纳入各种安全市场的一项功能。这些市场主要与威胁暴露面有关,包括漏洞评估、数字风险保护服务、威胁情报和自动安全测试,到2023年底,超过50%的数字风险保护服务(DRPS)供应商将增加EASM功能,作为其数字足迹能力的自然延伸。
预期到2023年底,超过50%的数字风险保护服务(DRPS)供应商将增加EASM功能,作为其数字足迹能力的自然延伸;到2025年,不到10%的提供EASM解决方案的供应商将是纯粹的供应商;到2025年,将出现由漏洞评估、EASM和入侵和攻击模拟(BAS)等功能组成的综合平台。
投融资视角下典型企业和市场竞争格局
Gartner观察到2021年的终端用户互动比2020年翻了两番,显示出对EASM的持续兴趣。根据对29家EASM供应商进行的调查,创造收入最多的三个行业是银行、金融服务和保险(BFSI)。
EASM与许多安全市场有很强的互补性。EASM是对漏洞评估、威胁情报、云安全和安全测试(如漏洞和攻击模拟BAS、渗透测试即服务PTaaS以及自动渗透测试和红蓝对抗工具)的补充。可以预测,这些市场将在未来三到五年内纳入EASM。这一点可以从EASM供应商快速、持续市场整合和并购中得到证明。
二、国内外政策要求和实战化攻防刚需
站在国家层面,近些年来的重保、护网行动、攻防演练的大背景和趋势,推动了企业的安全建设。在攻击面管理的落地下,思路可转变为合规驱动-纵深防御驱动-安全事件驱动-主动防御驱动-安全架构驱动-红蓝对抗驱动-安全运营驱动-未来的AI安全驱动的建设抓手,从进攻溯源反制,再到以攻促防、联防联控去进行安全防御体系建设方向的升级。
实战化攻防多场景下的刚需
攻防场景下的攻击面管理,会辐射出它在多个应用场景下的刚需分布,在开启攻防演练前需要对多资产、复杂环境下的风险进行统一管理,探测企业内外网资产,关联业务和暴露环境,自动化收集和分析资产的变动。现在是多云、混合云时代,监控云上的错误配置、AK/SK泄露,监控云上应用开发和部署的实时变动性也是关键所在,此举可以减少数据泄露,可以从适配集成DevSecOps、CI/CD安全入手。
在排查供应链第三方风险管理上,其中的第三方供应商资产存在的漏洞、不安全配置以及影子资产等多种风险类型也可以跟攻击面管理平台进行相关联。基于攻击者视角,像攻击者一样思考,结合资产的重要性,漏洞利用频率,对企业风险进行梳理排查,并持续监控资产的变化更新。攻击面管理的风险点最终要义不仅在难以排查的大量影子资产和0day 、Nday漏洞上,更重要的是攻击面的攻击链路和锚点不用于企业内部现有安全产品的防护逻辑。
三、以数据智能驱动内外部攻击面管理技术
随着数字化进程的不断推进,内外部网络资产的边界不断扩大,企业面临的攻击面也随之扩大。据Randori与ESG发布的《2022年攻击面管理现状报告》显示:67%的受访组织表示,他们的外部攻击面在过去12个月中扩大了,企业使用的云应用中平均97%是影子资产;69%的组织因未知、未受管理或管理不善的面向互联网的资产而受到威胁;组织平均需要80多小时来更新其攻击面清单;70%以上的组织使用至少10种解决方案来管理其风险状态。
数据智能可视化
对外部攻击面数据的可视化进行管理可以实现对企业攻击面的持续可见性监测,能够帮助企业更加准确地评估这些风险。企业的攻击面一直处于变化之中,这也是持续性监测的重要意义所在。
攻击面持续扩大,但可见性仍然存在盲点,除了云采用率和SaaS应用程序及服务的增长外,企业对第三方供应商的日益依赖也是重要因素,企业组织对第三方供应商处的资产可见性管理能力不足,这引入了新的风险。
传统的资产管理系统仅涵盖企业的IT和安全团队已知的资产,而网络威胁情报解决方案也仅能监测已知的威胁。这两种工具都不具备主动发现未知攻击面或对因未被企业重视的攻击面进行管理的能力,而这些恰好是企业进行安全管理的重要驱动力。相比之下,专用的ASM解决方案具备自动监控和持续发现功能,可提高对攻击面的可见性。
四、典型的攻击面案例
以下攻击面案例均在合法授权情况下进行,其中漏洞均已修复。
SSO攻击面
随着平台的多样性,用户需求的不断提高,为了方便用户通过一次性用户身份验证登录多个应用程序和网站,大多数平台都会使用SSO系统。但是简单地使用SSO并不能自动保护系统,SSO的配置也必须是安全的。JWT Token的安全性是保护SSO系统的一个关键点所在,特别是有些带有业务逻辑缺陷的程序里,很难用扫描器自动化的手段去发现这些隐藏的漏洞,需要我们手动去分析发现。
物联网终端设备的攻击面
物联网终端设备的存储介质、认证方式、加密手段、通讯方式、数据接口、外设接口、调试接口、人机交互接口都可以成为攻击面。很多厂商在物联网产品中保留了硬件调试接口。例如,可以控制CPU的运行状态、读写内存内容、调试系统代码的JTAG接口、可以查看系统信息与应用程序调试的串口。这两个接口访问设备一般都具有系统较高权限,造成重大安全隐患。除此之外还有I2C、SPI、USB、传感器、HMI等等。还有涉及硬件设备使用的各种内部、外部、持久性和易失性存储,如SD卡、USB载体、EPROM、EEPROM、FLASH、SRAM、DRAM、MCU内存等等都可能成为硬件攻击面。
新能源汽车攻击面
汽车由于包括多种复杂的软硬件组成,相当于四个轮子的电脑,导致暴露的攻击面也是尤其多,总结常见的五种最常见的攻击面,分别是车联网服务器、无钥匙进入系统、移动应用程序、OBD端口和车载系统。
五、攻击面管理未来的平台形态和展望
其实攻击面管理并非一个工具,而是一种包含多种解决方案和活动的方法。攻击面管理的目标是识别和减轻业务风险,提高企业的整体安全水平,同时不过多增加安全防御系统的复杂度。
在风险告警和处理的场景下,攻击面管理还可以联动集成进行防御,通过第三方API接口集成防火墙、BAS、SOAR、WAF、SIEM、SOC、HIDS、XDR、私有云平台、资产管理系统、漏洞管理系统、TIP威胁情报平台、端点安全保护平台、通讯软件,联动其它安全产品进行风险修复,在提升企业安全运维效率和风险管理效率上会有大幅提升的效果。
在AIGC的浪潮下,未来攻击面管理很大可能会和安全领域相关的GPT大模型进行相结合,判断和精准检测攻击面细分技术上带来的问题解答和算法处理下的问题修复建议和最优解决方案等。