灵知：以情报驱动的外部攻击面管理

当前的攻击手段层出不穷、应急响应多以补救措施为主，因此一种新的外部攻击面管理技术思路就此诞生：“以情报驱动构建外部攻击面管理技术，实现先于攻击者掌握攻击面”。

依据《中国攻击面管理市场研究报告》，外部攻击面管理是指完全基于攻击者视角来发现、监测、评估、响应、预警企业所有攻击面的技术。作为攻击面管理的重要组成，今天我们来探讨如何通过灵知·互联网威胁监测预警中心（Ai.Radar），基于情报视角进行外部攻击面管理。

当前企业已经通过各种安全演练提升了安全意识，但是为啥在实战攻防中还是不堪一击呢？我们认为有以下几个问题：

• 安全建设有盲区

首先，企业产生安全事件的原因从来不是防住了什么，而是没有防住什么。究其根本，目前大多数企业受困于人员能力参差不齐、预算有限等原因，很难做到360度无死角的安全防护。所以在此局限的情况下，最重要的就是防御住攻击者最可能发起攻击的风险点。但企业并不能完全感知到企业所面临的攻击点。

• 企业无法确认未知资产

上一点说到了企业需要加强安全建设，才能有提高自身安全的能力。但是加强安全建设的前提是要清楚了解现在有哪些资产，这样才能知道安全设备需要架设在哪些资产前。目前，企业对于未知资产的防护还是短板。退一步讲，企业想对未知资产进行安全加固，企业是否能够准确而全面的发现未知资产？如果企业无法梳理清楚未知资产，那就无从谈起攻击面管理。

• 企业对已经存在安全威胁知之甚少

即使客户已经清楚拥有哪些资产，也未必清楚了解这些资产面临哪些安全风险。外部攻击面管理所定义的资产已经不仅仅包括IT资产、云资产、软硬件，还包括企业人员的社工信息、员工的在网络上的博客、github仓库、企业软硬件供应链等等。过往发生的安全事件屡屡告诉我们，网络安全防护最难的不是系统安全，而是“人”的安全意识。值得警示的是，很多安全事件的背后，都是来源于一个个微不足道的信息泄露。因此，新一代企业安全解决方案就需要从多维度发现企业面临的威胁。

• 企业无法做到事前预警，更多是事后应急

通常情况下，企业都是在某个安全事件爆发后，进行事后的应急响应。实际是新爆发的0day漏洞，都先会在小圈子进行小范围传播，传统的安全建设，其实很难收集到此类漏洞情报信息。当企业感知到有0ady、1day漏洞的时候，往往是攻击者已经利用漏洞对企业进行了攻击，已经造成了实质上的损失。只有在安全事件全面爆发之前，能够通过情报实现事前预警，并积极排查才能有效提升安全建设能力。

华云安认为攻击面管理具备四大特性：攻击面的时效性，攻击面的跨系统性，攻击面的跨实体性，攻击态势是动态的。因此攻击面管理的新思路，是要先于攻击者掌握攻击面。

外部攻击面有几大特点：

安全的本质是持续对抗。知己知彼才能百战百胜。以往安全建设是基于防守者的角度，尽可能的防守住攻击；而经过实战验证：基于攻击者视角的主动防守才能真正发现企业面临的网络安全风险，进而实现先于攻击者掌握攻击面，在这一过程中情报搜集便是首要的。

这里所指的情报并非是传统的“威胁情报”，而是“扩展情报”。在灵知·互联网威胁监测预警中心（Ai.Radar）所定义的情报不仅包含传统的“威胁情报”，更包括漏洞情报（例如漏洞的流行度、可利用性、可检测性、漏洞利用成功率等）、数据泄露情报（例如企业的某些敏感信息、配置文件被人公开在了github等）、安全事件情报（例如某0day漏洞爆发）、以及被攻击者大范围使用的情报。因此灵知定义的“扩展情报”已突破了IT层的边界，一切可能影响企业网络安全和政策安全的信息，都被称之为“扩展情报”。

华云安的灵知·互联网威胁监测预警中心（Ai.Radar），依托海量数据情报构建的互联网威胁监测平台，基于自然语言处理（NLP）和知识图谱（KG）技术对30多个数据源进行大数据处理捕获情报数据，灵知从发现情报到华云安情报库可查询，精准定位情报来源可以做到分钟级的情报响应。在情报分析方面，华云安将VPT技术融入其中，从CVSS、发布时间长度、可修复性、漏洞影响范围、漏洞利用条件等10+个维度对攻击态势进行评估，实现精准、全面、及时的发现外部攻击面。目前，灵知已支持定向情报订阅服务。

灵知是以黑盒视角模拟攻击者对企业进行过安全评估，将收集所有企业相关的“扩展情报”，按照实体类型和实体间关系，绘制企业暴露面，构建基于攻击者视角的企业资产知识图谱，同时基于企业暴露面，将自动化渗透测试与安全服务团队结合，绘制企业攻击面。同时将暴露面与攻击面进行关联分析，形成基于攻击者视角的企业暴露面与攻击面交错的全景图。