攻击者视角资产防护——云原生化攻击面管理实践

攻击面管理的必要性

现代数字基础设施加速发展，容器化、云原生化应用以及混合工作环境急速增长，企业面临的攻击面也在随之扩大。其中公有云上的业务更加灵活，云资产的变化更加频繁，互联网资产暴露面资产盲区和攻击利用点逐步增加，防御者纷繁复杂的工作缺少针对性。为降低攻击风险，许多机构都在努力发现、分类和管理面向互联网的资产。2023年，全球权威IT研究顾问机构Gartner发布了《2023中国安全技术成熟度曲线》，将攻击面管理(Attack Surface Management, ASM)相关技术定义为高期望值发展阶段的安全技术。

传统“以防守方视角，以漏洞为中心”的漏洞扫描管理系统在日渐复杂的网络环境中暴露出诸多不足：一、传统脆弱性管理模式，忽视了资产的差异性，全量资产采取无差别化扫描，未能有效建立资产视图，无法针对不同资产类型、不同组件采取与之相符的脆弱性检测。二、资产暴露面梳理不清，面对海量资产时脆弱性管理覆盖度不够，安全管理人员疲于漏洞的修复工作。三、传统镜像化部署或本地化部署方式无法根据需求实现弹性扩缩容。

针对这些痛点，移动云安全面向云上业务场景，提出了以“攻击者视角资产防护”的总体思路，打造了云原生化攻击面管理平台，实现了五大核心能力落地——异地多活分布式容器化部署架构（Cloud Native）、资产攻击面全方位管理（ASM）、运营商特色威胁情报库（TI）、漏洞优先级与全生命周期管理（VPT）。实现了针对全网资产的智能化、自动化、常态化脆弱性管理。

云原生化攻击面管理实践

核心能力一异地多活分布式容器化部署架构（Cloud Native）

本实践采用中心化分布式架构，根据移动云多AZ容灾的资源池架构进行设计，通过苏州、无锡、汾湖3AZ节点实现云原生化攻击面管理平台的高可用部署。平台及扫描引擎均采用K8s容器化的部署模式，与云原生架构无缝融合，扫描引擎按需拉取，需检立检，按照云上云下环境的统一安全标准，对云内进行全量资产扫描以及脆弱性排查。通过集中管理平台实时监控各扫描引擎状态，可通过节点扩缩容的方式实现按需调度，最大可支持100+扫描引擎同时检测，极大的提升了脆弱性扫描评估的效率和可靠性，打造了面向全网资产的扫描测绘能力。在严格的应用逻辑、数据权限隔离基础上，实现对多租户资产的全面采集与管理。为移动云用户提供了即开即用的安全能力，实现了安全服务化（SecaaS），降低了用户用云成本。

核心能力二资产攻击面全方位管理（ASM）

本实践基于行业领先的35万+指纹规则库，能够识别215种常用协议，资产指纹超过26万个；采用ElasticSearch、ClickHouse海量异构数据的全文检索技术，为云上租户提供精准的资产指纹发现能力和强大的云资产检索能力，能够识别215种常用协议，支持资产ip、属地、协议等信息快速更新和查询。通过爬虫引擎构建互联网大数据资产库，可通过关键字快速查询互联网上暴露的资产信息并认领，实现快速的资产认领和盘点。

核心能力三运营商特色威胁情报库（TI）

移动云攻击面管理全面接入移动集团威胁情报源，基于多源渠道动态感知漏洞情报，感知渠道覆盖暗网、Exploit-DB、开源代码社区、公开漏洞数据库等，其中漏洞情报数据26万+，PoC规则库4000+，位于业内领先位置。针对0Day漏洞，提供应急漏洞预警能力，帮助云上用户及时发现潜在威胁，做到快人一步，打造运营商特色差异化能力。

核心能力四漏洞优先级与全生命周期管理（VPT）

本实践具有基于智能动态评估的漏洞优先级技术和脆弱性全生命周期管理能力。根据综合评估漏洞是否可被远程利用、漏洞所影响业务组件的重要程度、漏洞是否在外网大面积公布POC/EXP（验证程序/利用程序）以及漏洞的CVSS评分等，结合可靠的优先级算法，最终识别构成最大风险的安全漏洞。提供漏洞一键核验能力，检测与复核任务自动化周期执行，评估结果配套提供详细漏洞利用原理以及攻击载荷Payload，相较于传统黑盒检测更加直观清晰、透明可见，可查看漏洞探测中包含的所有关键请求与响应的报文，为进一步手工验证提供基础，有效提高漏洞检出的准确率。极大的减少了漏洞的误报和安全管理人员复核漏洞的成本消耗。

应用成效

移动云攻击面管理提供了云原生化、以攻击者视角的资产脆弱性管理的实践，基于云原生架构、专业的资产攻击面管理能力、运营商特色威胁情报优势、智能化漏洞优先级评估技术四大核心能力打造了具备全网资产的全天候、全方位监测管理能力的统一平台，帮助用户实时防护云上资产。在未来的工作中，移动云安全将持续创新网络安全管理理念，积极探索网络安全新技术的应用和落地，为保障国家安全、网络安全贡献力量。

近期活动