正文

真的没有人,能把攻击面讲得如SAFE这般清晰!

admin
admin V管理员 /0 评论 /94 阅读
0927
此篇文章发布距今已超过57天,您需要注意文章的内容或图片是否可用!

如果加星标,可以及时收到推送

《安全到底》第195篇,锐安全总第274篇原创,

本文1351字,阅读时长4分钟

上篇文章,讲思科推出了“SAFE架构”,但这样说不太准确,我想纠正一下。

SAFE的全称是“Secure Architecture for Everyone”,即“万能防护架构”,如果你把SAFE当成一个“活物”来看的话,思科又对“SAFE”定义了四种形态:

  • SAFE安全模型(SAFE Security Model)

  • SAFE安全参考模型(SAFE Security Reference Model)

  • SAFE方法(SAFE Method)

  • SAFE架构(SAFE Architecture)

上篇文章里的那个“万能钥匙图”,其实就是“SAFE安全模型”。

在思科的语境里,模型是理论层面的概念,而架构是实践层面的概念。

上篇文章里,我们其实只解决了一个问题:SAFE是什么?

其实我们内心中更想问的问题是:

1SAFE到底有什么用?

思科给出的答案是:攻击面保护(Securing the Attack Surface)。

在咱们的印象里,攻击面是国际知名咨询公司Gartner提出的,至少是它让“攻击面管理”成为中国热得最快的一个安全赛道的。

但是,我想说但是,Gartner虽然炒热了攻击面,但是没有把攻击面这件事儿说清楚。

2Gartner的攻击面管理

Gartner在2022年发布了《攻击面管理洞察》报告,里面先定义了“暴露面”:

图:Gartner定义的暴露面要素

暴露面就是攻击面、漏洞和验证的集合。

而攻击面则授引了NIST的定义:系统、系统元素或环境[资产]边界上的一组点,攻击者可以在这些点上尝试进入、影响该系统、系统元素或环境或从中提取数据。

原文:The set of points on the boundary of a system, a system element, or an environment [the assets] where an attacker can try to enter, cause an effect on, or extract data from, that system, system element, or environment

然后Gartner就把攻击面分成了三大场景:内部攻击面、外面攻击面和数字风险攻击面。

图:Gartner定义的攻击面三大场景

对这三个场景又分别起了三个好听的名字:内部攻击面叫“网络资产攻击面管理(CAASM)”,外部攻击面叫“外部攻击面管理(EASM)”,数字风险攻击面叫“数字风险保护服务(DRPS)”。

比如说,网络资产攻击面管理(CAASM)包括审计/合规报告、差距分析可视化、资产概况整合等;外部攻击面管理(EASM)包括资产盘点、漏洞管理、云安全治理、辅助安全监测等;数字风险保护服务(DRPS)包括品牌保护、账户接管检测等。

怎么样?看完这些,是不是除了记住“攻击面管理跟资产有关”和CAASM、EASM、DRPS三个缩写外,其实对攻击面到底是什么?到底有什么?依然是模糊的?

不瞒你说,其实我本人就是这种感觉,直到看到了SAFE对攻击面的理解才豁然开朗!

3】SAFE的攻击面定义

在SAFE模型里,对攻击面是这样定义的:公司的攻击面是任何可能成为目标的人或事物。任何人,使用任何设备,在任何网络上,访问任何应用程序都可能受到攻击。

所以攻击面有四个要素:人、设备、网络、应用。

图:攻击面要素与描述

所以攻击面管理,其实就是解决四个问题:

  • 谁在你的网络?

  • 哪些设备被感染?

  • 网络是否有威胁?

  • 服务是否被利用?

4SAFE的攻击面保护

然后,你就能看到这张图:

图:需要保护的攻击面

在这里,SAFE把四个要素扩展成了用户、终端、有线、无线、分析、广域网、云、服务等8个“攻击点。”

并对每个攻击点面临的威胁进行了描述,比如欺诈、病毒感染、未授权访问等。

然后针对这些攻击点所面临的威胁提供相应的安全防护能力:

图:攻击面保护

比如客户端安全、防火墙、入侵保护等。

这时候你会发现,Gartner更像一个艺术家,向你展示的东西高雅但晦涩,需要你自己去领悟、去分析、去解释。

而思科的SAFE则更像一个工程师,以一种极精准的方式,为你缓缓展开一幅安全建设的蓝图。

每一根线条都是异常清晰的,几乎没有理解成本,所见即所得。

真的从来没有人,能把攻击面讲得如SAFE这样清晰!

恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见!

如果对我描述的安全世界感兴趣,可以翻“没有名人作序和题词”的我为你写的一本“纯粹的安全认知之书”:

欢迎来到安全的大航海时代!

点击文末【阅读原文】,看到一个完整的安全系统

end

您的“安全架构航海之旅到了这里:

如果你对本文有任何建议,

欢迎联系我改进;

如果本文对你有任何帮助,

欢迎分享、点赞和在看

如果心生欢喜,不如做个长期朋友:)

参考资料:

[1]晓兵Jason.世界最牛安全架构SAFE,它来了!,2024年09月19日.https://mp.weixin.qq.com/s/1EBBOylC0_AzKeSMpXMaKw

[2]Gartner.Innovation Insight for Attack Surface Management,2022-03-24

[3]CISO.Easy-to-use security reference architecture.https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/landing_safe.html

题图:SAFE手表

题图创作者:晓兵与AI小助手

算法提供:FLUX


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下