近日,由魔方安全主办的以“深入金融行业,需求驱动技术”为主题的《2023中国金融行业攻击面管理白皮书》发布会成功举办。这次发布会由安全419张毅主持,中国科学技术大学左晓栋教授、CSA大中华区研究院执行院长吕骊啸先后为大会致辞。发布会聚焦攻击面管理技术在金融行业的落地实践,如东方证券安全负责人邬晓磊就在发布会上发表了名为《证劵行业攻击面管理实践》的主题演讲。
网络安全越发向实体化、体系化、常态化发展,企业需要建立主动防御、动态防御、整体防护、纵深防御、精准防护、联防联控疏而不漏的安全防控体系,即“三化六防”要求。邬晓磊在演讲中明确指出,攻击面管理技术的出现,已经成为企业“三化六防”安全建设的基础,即从安全建设转向安全运营为主,而良好的攻击面管理实践更是保证企业网络安全的下限。
对于企业而言,攻击面管理技术的落地,可以解决企业当下诸多的棘手痛点。邬晓磊总结该企业自身攻击面管理痛点问题如下:
第一,信息系统资产数据维度多,从不同管理人员的视角,会有不同的数据,比如基础信息,应用系统信息,包括数据库信息等等。从安全视角来看,还会有漏洞信息,补丁信息,以及一些关键配置信息等等,这些资产的信息以前缺乏比较好的管理手段,管理上分散在不同的人员手中;
第二,数据在传统的管理过程当中,大量依赖于人员的管理,容易造成数据失真,即数据发生了变化,但是由于人员没有及时更新,做统计记录信息的不准确,容易造成管理过程中的疏漏;
第三,信息资产关联度不够高,不同企业的信息化资产结构不同,且应用系统越来越庞大复杂。现在的应用系统对企业来说可能会有几十台,甚至于上百台的主机,或者是各种各样的资产参与在其中,包括像容器,甚至是其他技术参与其中,滤清企业资产之间的关系将非常重要。比如对于证券企业而言,甚至可能会有几百套应用系统,这些应用系统之间也是会有关联的,所以传统的资产之间的关联度不够,也会造成在安全运营当中的问题出现;
第四,信息资产的变更比以前更频繁,应用系统安装越来越多地被像容器化或者说无服务化所替代,资产管理难度更大,这也是新技术革新带给资产管理一个新的挑战。
1
掌握攻击面的资产,特别是暴露在外部的攻击面资产;
2
掌握攻击面资产之间的内部关系,即不仅仅要掌握攻击面资产的入口,同时也要掌握资产之间的关系;
3
掌握攻击面的漏洞以及一些威胁信息;
4
掌握第三方和企业相关的一些包括IP地址,包括一些其他的相关联的一些信息。因为在非常多的场景和案例当中,通过第三方的攻击面,特别是一些城域网专线的攻击面造成影响的事件也不在少数。
邬晓磊强调称,攻击面管理技术在落地实践中最关键的目标是要常态化的去更新数据,以工具化实现高效的安全运营,由技术工具带来的管理能力不再是依靠人的方式,或者说不完全依靠人的方式,去实现自动化的方式去更新和建立关联关系。
从攻击面管理角度来实践内部资产管理方面,则需要每个企业建立一个比较完善的内部资产数据模型,邬晓磊也指出企业可以遵循CMDB框架去建立一个相较完善的数据模型,实现内部资产管理。但他也指出,在企业的具体实践过程中,除了底层信息之外,还需要补足高层次信息之间的关联性。
在东方证券关于攻击面管理实践方面,他们关注的常见的攻击面信息除了基础CMDB,还包括应用、中间件、数据库在内的高阶数据信息,以及域名、IP组成的攻击面之间的关系,且根据大量实践及安全趋势观察,加入了数据流、第三方IP,以及非资产信息的攻击面信息。可以说,东方证券在落地实践攻击面管理技术上已走在行业前列。
对于企业而言,攻击面管理信息的获取手段主要来自外部和内部,外部即由安全厂商提供的第三方服务的方式来实现,或是通过众测、攻防演练等活动,来帮助企业从外部视角获取攻击面信息。再结合企业自身发现的来自内部获取的攻击面信息,从而进行综合的信息关联,形成基于资产的面向攻击面的安全管理台账。
在具体实践时邬晓磊认为,攻击面信息获取之后重点是要对其进行整合,这需要企业建立一套攻击面管理平台,从而解决过去传统处置的低效问题,通过工具类管理平台,能够更容易地帮助企业去管理它的资产,能够建立资产之间的关联关系,并且整合漏洞。
但他也承认不同企业对于攻击面管理平台的要求是不同的,这需要企业根据自身的需求,通过外购或自研的方式,来实现平台的最终构建。
从实践落地的具体应用来谈攻击面管理的未来,将更有话语权,对此邬晓磊总结认为攻击面管理的未来应该是:
1
攻击面管理的自动化。安全运营是未来,而在安全运营的管理过程中,自动化将是未来主旋律。自动化能够使得人的工作进一步减少,不但可以提高效率,还能够提高准确度;
2
攻击面管理的智能化。攻击面管理解决的就是之前由人掌握的关联信息,转变由工具或平台提供,攻击面管理未来需要更加地智能化,更多的取代人工的方式,以更加智能的方式去理解威胁数据和攻击面信息,比如能够理解阅读不同的配置文件,不同的数据流向,这需要技术的不断升级;
3
攻击面管理的开放性和互动性。攻击面管理获得的数据应该更加宽广,希望未来能够提供给其他系统,包括和一些安全设备、安全系统之间产生关联或者互动,从而更好地建立企业的整体的安全自动化运营闭环;
4
以最终攻击面管理落地来看,应对不同企业的管理需求上的痛点,企业需要的攻击面管理产品能力需要进行定制,安全企业也需要对不同企业的攻击面管理进行具体实践和场景优化,最终才能实现成功落地。
攻击表面管理主要技术包含:网络资产攻击表面管理(CAASM)、外部攻击表面管理(EASM)和数字风险保护服务(DRPS)。攻击表面管理可以帮助组织克服持久的资产可见性和脆弱性挑战。攻击表面管理涉及人员、流程、技术和服务的组合,以持续发现、存储和管理组织的资产。攻击面的可见性有助于减少恶意威胁行为者可能利用的资产暴露。
Gartner认为,数字转型导致了大多数组织的网络资产数量和复杂性前所未有的增加。因此,了解网络资产的存在,了解它们的弱点,并发现它们可能被利用的方式是至关重要的。攻击面管理可协助安全管理人员不断识别已知和未知的资产,评估和减少风险,并提供威胁的早期预警。
Forrester此前的用户调研显示,攻击面管理工具已经受到了企业用户的认可,某企业安全工程师就表示:“(ASM 工具)发现的资产比我们想象得多50%。” 另一家企业的网络安全架构师则表示:“(ASM)是必备的安全措施。”随着攻击面管理技术的不断推动,产品和服务的加速落地,其已经迅速成为IT团队的一项必备功能点,甚至是他们的安全核心。
定义攻击面管理的价值方面,此前Gartner发布的《Hype Cycle for Security in China 2022》报告当中指出的新观察也极具代表性,且与我们与攻击面管理厂商沟通观察相一致。那就是国内企业已经认同攻击面管理在全国范围内的“攻防演习”活动中的高价值作用,结合用户侧的实践观察,该技术已得到大规模应用。
在技术发展到实践落地上,市场上的攻击面管理产品还需要不断升级优化,比如我们观察到的其在服务的开放性与落地定制化应用方面,安全厂商实际上是可以给到客户的,但产品和服务的自动化和智能化程度确实存在差距,同时在平台化应用时,其攻击面管理的数据采访包容性和准确率也有待提高。
我们认同安全市场上的技术发展需要以实践落地同步,我们也相信尚处于技术栈早期发展阶段的攻击面管理,会随着安全厂商对技术的理解加深,与用户、场景、上下游联动的增强,在不断提升技术应用度上,逐渐满足技术应用预期,且能在场景应用上不仅仅满足存IT系统上的应用。
闫小川
安全419编辑部
热衷于挖掘网络安全行业的甲方和乙方。
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...