美國(guó)網(wǎng)絡(luò)安全審查委員會(huì)日前發(fā)布報(bào)告稱，2021年年底曝光的Log4j漏洞影響將會(huì)持續(xù)十年之久。近年來(lái)，越來(lái)越嚴(yán)峻的漏洞管理頑疾讓安全團(tuán)隊(duì)意識(shí)到，企業(yè)對(duì)自身資產(chǎn)暴露情況和潛在風(fēng)險(xiǎn)知之甚少，攻擊面管理成為實(shí)戰(zhàn)驅(qū)動(dòng)階段的新型安全框架，得到更多關(guān)注和認(rèn)同。

　　近期，咨詢機(jī)構(gòu)賽迪顧問(wèn)發(fā)布《中國(guó)攻擊面管理市場(chǎng)研究報(bào)告》，安全419關(guān)注到，報(bào)告選取華云安等國(guó)內(nèi)外攻擊面管理領(lǐng)域代表企業(yè)，分析了中國(guó)攻擊面管理市場(chǎng)的現(xiàn)狀和特點(diǎn)。我們邀請(qǐng)到華云安技術(shù)總監(jiān)吳璇，立足于攻擊面管理的本土化洞察與實(shí)踐，探討攻擊面管理在新一代網(wǎng)絡(luò)安全防御體系中的能動(dòng)作用。

　　國(guó)內(nèi)企業(yè)的攻擊面管理體系建設(shè)

　　尚處于初級(jí)階段

　　根據(jù)報(bào)告，攻擊面管理是一種從攻擊者的角度對(duì)企業(yè)數(shù)字資產(chǎn)攻擊面進(jìn)行監(jiān)測(cè)發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的資產(chǎn)安全性管理方法。而攻擊面并不簡(jiǎn)單等同于漏洞，是未經(jīng)授權(quán)即能訪問(wèn)和利用企業(yè)數(shù)字資產(chǎn)的所有潛在入口的總和，即存在可能會(huì)被攻擊者利用并造成損失的潛在風(fēng)險(xiǎn)。

　　吳璇表示，任何安全理念或框架的提出和應(yīng)用，都是順應(yīng)安全形勢(shì)和需求的變化而發(fā)展的。在網(wǎng)安法實(shí)施以前，企業(yè)安全建設(shè)及管理普遍采用被動(dòng)響應(yīng)的方式，以1994年發(fā)布并于2011年修訂的《中華人民共和國(guó)計(jì)算機(jī)系統(tǒng)安全保護(hù)條例》為開(kāi)端，等保1.0及2.0廣泛應(yīng)用于各行業(yè)指導(dǎo)企業(yè)開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)整改、等級(jí)測(cè)評(píng)等工作。

　　隨著數(shù)字化基礎(chǔ)設(shè)施加速發(fā)展，企業(yè)面臨的攻擊面也隨之?dāng)U大，尤其是國(guó)家自2016年以來(lái)舉行大型攻防演練活動(dòng)，推動(dòng)企業(yè)安全建設(shè)從合規(guī)驅(qū)動(dòng)階段逐步過(guò)渡到實(shí)戰(zhàn)驅(qū)動(dòng)階段。攻擊面管理強(qiáng)調(diào)“獲得攻擊者的視角”，在真實(shí)的網(wǎng)絡(luò)空間攻防較量中，成為一種更主動(dòng)、更立體、更貼合現(xiàn)實(shí)需求的有利戰(zhàn)法。

　　攻擊面管理總體框架

　　圖/《中國(guó)攻擊面管理市場(chǎng)研究報(bào)告》

　　遺憾的是，雖然攻擊面管理已逐步獲得認(rèn)可，但大部分企業(yè)仍處于接觸概念的初級(jí)階段。根據(jù)華云安的市場(chǎng)觀察和實(shí)踐，依賴基礎(chǔ)安全設(shè)備開(kāi)展安全防御工作是目前國(guó)內(nèi)企業(yè)的普遍現(xiàn)狀，并未主動(dòng)進(jìn)行暴露面獲取、脆弱點(diǎn)發(fā)現(xiàn)工作，同時(shí)也不具備內(nèi)部和外部攻擊態(tài)勢(shì)以及攻擊影響評(píng)價(jià)能力。少部分企業(yè)具備初步的攻擊面挖掘與定位能力，但可能無(wú)法區(qū)分出弱點(diǎn)的優(yōu)先級(jí)、無(wú)法測(cè)繪完整的攻擊面。

　　吳璇同時(shí)強(qiáng)調(diào)，攻擊面管理體系是一種開(kāi)辟式革新的安全框架，它更像一種新興的方法論，一個(gè)技術(shù)融合的架構(gòu)。底層基礎(chǔ)支撐包含檢測(cè)發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警以及響應(yīng)處置等方面的技術(shù)，可以有效整合為網(wǎng)絡(luò)資產(chǎn)管理、脆弱性評(píng)估、自動(dòng)化滲透測(cè)試、漏洞優(yōu)先級(jí)評(píng)估、擴(kuò)展威脅情報(bào)、擴(kuò)展監(jiān)測(cè)響應(yīng)、業(yè)務(wù)風(fēng)險(xiǎn)管理等安全能力，并組合形成豐富的攻擊面管理產(chǎn)品。

　　因此，許多踐行主動(dòng)防御、以攻促防思想的企業(yè)已經(jīng)在一定程度上積累了相關(guān)安全能力，建設(shè)攻擊面管理體系并非將現(xiàn)有安全體系推翻重來(lái)，而是在天然地融合、盤活已有能力的基礎(chǔ)上，按照攻擊面管理成熟度階梯逐步推進(jìn)，通常是工具先行，再補(bǔ)上平臺(tái)進(jìn)行集中管理，進(jìn)而擴(kuò)展到基于業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)的安全運(yùn)營(yíng)。

　　華云安攻擊面管理：

　　以原子化安全能力平臺(tái)提升安全防御價(jià)值

　　作為報(bào)告選取的代表性廠商，華云安是國(guó)內(nèi)最早提出以攻擊者視角構(gòu)建攻擊面管理產(chǎn)品體系的廠商，吳璇表示，華云安企業(yè)建設(shè)攻擊面管理體系的策略是構(gòu)建了一個(gè)基于云原生架構(gòu)的、彈性、冗余的高性能平臺(tái)，靈活提供能夠適配企業(yè)不同階段、不同需求并不斷迭代的安全能力。

　　吳璇介紹，平臺(tái)具有兩大核心技術(shù)——安全風(fēng)險(xiǎn)庫(kù)和人工智能引擎。安全風(fēng)險(xiǎn)庫(kù)即為一個(gè)基于知識(shí)圖譜的擴(kuò)展威脅情報(bào)（XTI），通過(guò)結(jié)合人工智能和行為模式匹配技術(shù)，不斷地發(fā)現(xiàn)惡意活動(dòng)，為平臺(tái)輸送諸如漏洞信息、暗網(wǎng)信息、威脅情報(bào)、攻擊樣本、武器載荷、惡意組織等等兼具深度和廣度的數(shù)據(jù)與情報(bào)信息。據(jù)了解，該安全風(fēng)險(xiǎn)庫(kù)目前已擁有30+個(gè)漏洞情報(bào)數(shù)據(jù)源，1000+數(shù)據(jù)采集節(jié)點(diǎn)，50億+圖譜化實(shí)體關(guān)系模型，月處理情報(bào)信息10萬(wàn)條，幫助客戶實(shí)現(xiàn)威脅和攻擊面可視化管理。并且隨時(shí)客戶覆蓋越來(lái)越廣泛、數(shù)據(jù)越來(lái)越豐富，將實(shí)時(shí)更新成為平臺(tái)更加豐富、更加強(qiáng)大的底層支撐。

　　人工智能引擎通過(guò)安全風(fēng)險(xiǎn)庫(kù)提供的豐富的數(shù)據(jù)和情報(bào)信息，結(jié)合華云安長(zhǎng)期積累的漏洞挖掘、攻防對(duì)抗能力，將人工智能與攻防對(duì)抗相結(jié)合，實(shí)現(xiàn)集目標(biāo)分析、戰(zhàn)法推演、路徑?jīng)Q策、智能調(diào)度于一體的場(chǎng)景化AI模型。目前已積累100+人工智能模型、4000+公開(kāi)和自研漏洞PoC/Exp、100+面向?qū)崙?zhàn)的單兵工具，可以完成智能目標(biāo)識(shí)別、智能路徑?jīng)Q策、智能戰(zhàn)法推演等功能。相應(yīng)地，通過(guò)安全能力的逐步疊加、AI模型的逐步豐富，平臺(tái)的整體能力也將逐步提升。

　　如此一來(lái)，平臺(tái)可以通過(guò)整合以及拆分，來(lái)提供攻擊面管理體系中通用普適的、滿足最小需求的功能模塊，如網(wǎng)絡(luò)資產(chǎn)管理、脆弱性評(píng)估、自動(dòng)化測(cè)試、漏洞優(yōu)先級(jí)評(píng)估、擴(kuò)展威脅情報(bào)、擴(kuò)展為諧響應(yīng)等等。通過(guò)云原生的微服務(wù)技術(shù)，再結(jié)合不同客戶具體的業(yè)務(wù)需求，靈活組合這些安全能力單元搭建成相適應(yīng)的解決方案。

　　對(duì)于客戶而言，用一個(gè)平臺(tái)就覆蓋了所有安全能力，這里的能力既包括整合既有的、滿足現(xiàn)有的，也涵蓋未來(lái)通過(guò)安全風(fēng)險(xiǎn)庫(kù)不斷增強(qiáng)的共享能力，和通過(guò)人工智能引擎不斷迭代的對(duì)抗能力。吳璇表示，平臺(tái)集成了自適應(yīng)安全防御框架（IACD），因此也可以理解其為一個(gè)跨應(yīng)用場(chǎng)景的統(tǒng)一安全框架，通過(guò)不斷迭代的安全能力和自動(dòng)化的威脅響應(yīng)，來(lái)提升改變網(wǎng)絡(luò)安全防御的及時(shí)性和有效性，敏捷且易用。

　　前面我們談到，華云安通過(guò)該平臺(tái)進(jìn)行整合或拆分，可以提供攻擊面管理體系中多種通用且普適的安全能力，對(duì)應(yīng)著不同的應(yīng)用場(chǎng)景。報(bào)告亦提及，企業(yè)建設(shè)攻擊面管理體系，通常是先推進(jìn)相關(guān)技術(shù)工具。因此，企業(yè)用戶更習(xí)慣站在業(yè)務(wù)場(chǎng)景的角度來(lái)思考攻擊面管理的價(jià)值，吳璇表示，從產(chǎn)品視角來(lái)看攻擊面管理，華云安準(zhǔn)確把握市場(chǎng)需求，重新定義了資產(chǎn)管理、漏洞管理、安全情報(bào)及響應(yīng)處置，打造了面向網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）、外部攻擊面管理（EASM）、入侵和攻擊模擬（BAS）等典型場(chǎng)景的產(chǎn)品解決方案。

　　定位CAASM的靈洞·網(wǎng)絡(luò)資產(chǎn)攻擊面管理系統(tǒng)將企業(yè)網(wǎng)絡(luò)空間攻擊面管理過(guò)程中的攻擊者視角信息和防御者視角信息，通過(guò)安全分析引擎、數(shù)據(jù)分析引擎進(jìn)行統(tǒng)一整合，以主動(dòng)掃描、被動(dòng)監(jiān)測(cè)、情報(bào)預(yù)警和自動(dòng)化評(píng)估等多種手段及時(shí)發(fā)現(xiàn)內(nèi)外部數(shù)字資產(chǎn)攻擊面，并進(jìn)行分析評(píng)估和響應(yīng)處置。可面向集團(tuán)型或多分支的機(jī)構(gòu)收斂網(wǎng)絡(luò)攻擊面，以及面向各行業(yè)物聯(lián)網(wǎng)泛終端管理資產(chǎn)攻擊面，滿足安全監(jiān)管和漏洞管理的需求。

　　定位EASM的靈知·互聯(lián)網(wǎng)情報(bào)監(jiān)測(cè)預(yù)警中心基于華云安安全風(fēng)險(xiǎn)庫(kù)、企業(yè)暴露面數(shù)據(jù)源、托管服務(wù)及安全服務(wù)三類數(shù)據(jù)源，以攻擊者思維定向梳理、發(fā)現(xiàn)企業(yè)未知資產(chǎn)暴露面及脆弱性，通過(guò)“主動(dòng)+被動(dòng)+服務(wù)”形成具有即時(shí)性、可定位性、可追溯性的暴露面測(cè)繪圖，持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)。可面向企業(yè)和組織機(jī)構(gòu)先于攻擊者發(fā)現(xiàn)和收斂外部攻擊面。

　　定位BAS的靈刃·智能滲透與攻擊模擬系統(tǒng)通過(guò)自動(dòng)化和人工智能的技術(shù)，以攻擊者視角，模擬攻擊者可能進(jìn)行的攻擊鏈路，測(cè)試系統(tǒng)的安全性和防御策略的有效性。可滿足企業(yè)和組織常態(tài)化攻防演練的需求，依賴少數(shù)安全專家即可完成對(duì)靶站環(huán)境的模擬攻擊測(cè)試，仿照攻擊者意圖進(jìn)行智能對(duì)抗，基于實(shí)際實(shí)現(xiàn)風(fēng)險(xiǎn)進(jìn)行漏洞影響性評(píng)價(jià)。

　　以上產(chǎn)品的詳細(xì)功能和客戶價(jià)值可以參見(jiàn)安全419報(bào)道《華云安：用攻擊面管理實(shí)現(xiàn)持續(xù)數(shù)字風(fēng)險(xiǎn)管理的最佳實(shí)踐》。

　　未來(lái)的攻擊面管理

　　需要更加智能化、自動(dòng)化

　　在數(shù)字化的進(jìn)程中，網(wǎng)絡(luò)安全技術(shù)體系和應(yīng)用場(chǎng)景都在不停更迭，最明顯的變化是網(wǎng)絡(luò)安全逐步由重視建設(shè)進(jìn)入到重視運(yùn)營(yíng)的階段。攻擊面管理作為安全運(yùn)營(yíng)的創(chuàng)新技術(shù)，承載了安全行業(yè)的部分發(fā)展趨勢(shì)和用戶市場(chǎng)的高度期待。

　　吳璇分析，在攻擊面管理體系建設(shè)中，企業(yè)及機(jī)構(gòu)最迫切的需求是提高對(duì)風(fēng)險(xiǎn)的可見(jiàn)性，并能做出及時(shí)有效的處置。對(duì)應(yīng)的能力要求覆蓋檢測(cè)發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警和響應(yīng)處置各環(huán)節(jié)，但這絕非一日之功，自動(dòng)化、智能化技術(shù)是攻擊面管理發(fā)展的一大趨勢(shì)。

　　以最基礎(chǔ)的發(fā)現(xiàn)、分類和管理所有資產(chǎn)來(lái)舉例，資產(chǎn)的定義和邊界正隨著數(shù)字技術(shù)的普及、虛擬化云場(chǎng)景的應(yīng)用無(wú)限擴(kuò)大，API、數(shù)字暴露面等數(shù)字資產(chǎn)，影子資產(chǎn)、供應(yīng)鏈資產(chǎn)等未知資產(chǎn)成為關(guān)注重點(diǎn)。在資產(chǎn)的發(fā)現(xiàn)和呈現(xiàn)方式上，引入機(jī)器學(xué)習(xí)、自然語(yǔ)言處理NLP等方法將有效縮短探測(cè)時(shí)間并提高識(shí)別準(zhǔn)確性。

　　同理基于知識(shí)圖譜結(jié)合人工智能模型進(jìn)行海量數(shù)據(jù)分析，可以有效提高威脅檢測(cè)和安全風(fēng)險(xiǎn)分析效率，并可根據(jù)結(jié)果通過(guò)SOAR自動(dòng)化技術(shù)進(jìn)行攻擊面的快速收斂和安全響應(yīng)，在顯著提升效率的同時(shí)降低人員成本的投入。

　　也正是因?yàn)閺V大的腰部及中小企業(yè)客戶群體缺少做安全運(yùn)營(yíng)的能力，網(wǎng)絡(luò)安全商業(yè)模式逐漸朝向“安全即服務(wù)”的形式發(fā)展，攻擊面管理體系需要以低門檻、更易用、靈活可配置的方式提供持續(xù)進(jìn)階的安全能力和一致的體驗(yàn)，智能化技術(shù)、自動(dòng)化編排、自適應(yīng)架構(gòu)無(wú)疑是未來(lái)的重要趨勢(shì)。同時(shí)，向跨領(lǐng)域、跨技術(shù)平臺(tái)的新興場(chǎng)景的積極擴(kuò)展，與第三方供應(yīng)鏈安全、業(yè)務(wù)風(fēng)險(xiǎn)管理的持續(xù)融合，將使得攻擊面管理的覆蓋范圍和環(huán)節(jié)更加全面、完整、精確，真正基于真實(shí)的風(fēng)險(xiǎn)和業(yè)務(wù)發(fā)展需求建立起常態(tài)化的安全運(yùn)營(yíng)體系。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<