漏洞管理的本质是,对于随企业业务发展而不断产生的各类漏洞采用一系列措施进行从发现到解决闭环管理,以避免因漏洞被利用并演变为安全事件。随着IT体系和各类系统日渐复杂化,攻击逐渐走向多源化,因而在网络安全事件频发的时代,仅仅对漏洞进行管理是远远不够的,网络安全风险和脆弱性需要用“攻击面管理”技术增强其“反脆弱性”,建立以各类资产发现为基点的整体网络安全风险管理体系。
从漏洞管理到攻击面管理,是网络安全发展的必然趋势
传统漏洞管理的需求本质类似于项目管理中的风险管理模型,是以“由被动防御到主动防御”核心思想衍生,希望将安全事故应急模式由被动的“亡羊补牢”转变为“早发现、早预防、早处理”。这标志着网络安全防护逐渐向常态化、积极化发展。但传统漏洞管理多是基于管理和治理角度下的无差别防御,防御能力有效性难以验证。
近年来,攻防演练常态化,以及《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等法律法规的颁布,意味着网络安全防御有效性不断倾向于以实战化方式检验。基于实战化的角度,守护方需要关注的内容也正是攻击方所关注的内容,包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。在面向网络安全本质-攻防对抗之下,攻击面管理是新的网安时代下的必然之路。
在相当长一段时间内,漏洞是攻防双方博弈的关键。2018年,在Gartner首次提出“攻击面”概念后,网络安全攻防博弈的焦点已悄然发生转变。2021年,Gartner将攻击面管理相关技术定义为新兴技术,从漏洞管理到攻击面管理,网络安全攻防博弈将真正意义上迎来一次升维跨越。
漏洞管理鞭长莫及之处,就是攻击面管理优势所在
相较于漏洞管理,攻击面管理需要以外部视角来审视企业网络资产可能存在的攻击面及脆弱性,如开放端口是否做映射、网络边界是否做隔离、人员行为是否被明确约束等,上述未被满足的安全需求,将增加资产受到危害可能性。
所谓攻击面管理,将攻击者可能引发攻击的向量进行管理,以便进行减少入口点、访问和特权、面向互联网的应用程序与服务,甚至供应商产品、开放API等等。以攻击者视角梳理和管理攻击面,才能在真实发生逻辑攻击、0day攻击等时,及时了解内外网弱点、防御策略等后进行更为全面的预防与安全监管。
攻击面管理强调的,绝不仅仅是已存在的静态漏洞及其闭环跟踪,而是任何可能发生安全问题进而演化为安全事件的网络风险和脆弱性。攻击面管理,新增了基于业务的风险评价过程以确定管理的有效性;以攻击视角汇集所有可能发生问题攻击向量,通过扩大收集信息面来提高网络安全风险预防的全面性;融入了人、防御、流程等因素,将管理模型演变为立体空间。
积蓄新力量,开启新跨越
兵法云:知己知彼百战不殆,基于华云安攻击面管理(ASM)产品体系,可避免网络安全运营成本的过量投入,同时进一步提升安全管理运营的有效性,帮助企业以攻击视角评估自身可能存在的网络安全风险和脆弱性。
攻击面检测发现
漏洞扫描是攻击面检测的核心与基础。攻击面的主动检测更关注实战性、高效性,对近期公布1day漏洞和真正被用于实际攻击的漏洞进行真实性验证。
此外,攻击模拟是攻击面检测的进阶和提升,以攻击者的视角进行沉浸式模拟尝试甚至利用,才能发现更深层的隐含风险。通过模拟攻击,将人员、流程、配置、弱点、业务融合,发现攻击点并绘制完整攻击链路。在此基础上,引入流量分析,发现影子资产、僵尸资产,并识别其中可能的0day攻击与未知威胁,进一步绘制更完善的攻击面。
攻击面分析研判
网络安全的本质,是攻守双方人与人的较量。真实攻击者不会无目标、无差别进行攻击。攻击面管理,需要专注对抗这个本质进行分析和研判,需要评估漏洞的利用成本、漏洞所在资产的价值,该漏洞是否能构成实现最终目标的环节等等。攻击面分析与研判需要以下分析:
· 评价该攻击面是否需要被管理
· 分析该攻击面出现根本原因
· 管理的成本与危害损失是否成正比
· 采取的管理方式是否可有效避免
安全管理人员需在管理前进行基于业务场景真实的评估与判断,包括考虑业务维护、成本、响应代价、有效性、统一分发等等,这些基于实际业务和风险影响的分析和研判,才是管理的核心所在。
攻击面情报预警
攻击面检测与发现,主要是以聚合分析内部信息为主。然而在互联网海量信息的时代,外部情报的获取也不容忽视。
外部情报的搜集,要确保情报来源的全面性,同时关注国内外主流情报源;在应用上,则可无缝应用于产品,将其价值最大化。漏洞和威胁情报至少需具备以下两个应用点:①先于监管要求的攻击面应急,聚合全球主流漏洞情报源、国家级漏洞通报预警、重大活动及演练成果等相关漏洞信息,实时传递最新全球漏洞安全态势和攻击趋势,助力企业先于攻击者排查自身可能存在的安全隐患,并采取针对性的主动防御,极大地缩短了自身风险暴露时间,预防入侵事件发生。②先于攻击的攻击面监测预警,打破攻守双方信息不平衡的局面,建立自身情报武器库,了解全球视角下最具潜在威胁的应用及版本,以及与自身情况相关的最新攻击事件与1day漏洞,做到先于攻击进行自我风险审查
攻击面响应处置
针对攻击面进行全生命周期的监控和运营,利用管理手段缩小攻击面的安全风险影响。同时结合SOAR技术,对安全管理和应急流程进行贴合业务的自动化调度编排,将处置经验深度留存,解耦处置对人的强依赖。
另外由于漏洞修复涉及内容比较复杂,无法采用升级的方式进行风险消除,需满足风险缓解的需求,所以在终端提供补丁信息的同时,还需要应用热补丁等技术结合管理手段,满足攻击面应急响应与处置闭环。