随着数字化转型的逐渐深入和网络安全形势的愈加严峻,企业对实战型攻防技术的认识也在不断提升,从合规驱动转向对抗驱动成为网络安全行业的趋势。面对这种形势,攻击面管理(ASM)成为符合企业安全需求的重要技术。同时,该技术可以有效助力企业的风险度量,是实现安全风险评估自动化的基础。
安全风险评估自动化
风险评估是国际知名咨询机构Gartner十分看重的一项工作,写过大量的报告和指南。这个概念已经有二十年以上的历史,是安全领域的一个理论基石,但更多是停留在理念、标准、规范层面,ISO27005等国际标准都有专门的论述。很早以前,人们就试图将这个工作标准化,借助系统来自动化实现。
Gartner在2020-2021年度十大安全项目中预测:安全风险评估自动化将成为企业需要重点关注的安全焦点问题之一。Gartner表示,安全风险评估自动化的目标是将定义明确且可重复的风险评估过程的各个要素整合起来,以识别、度量和处置IT风险。风险评估自动化的一个重要价值就在于采用一致和一贯的标准来持续估算风险,使得风险度量结果可比较,风险改进情况可体现。
安全风险评估自动化需要采用一系列技术手段。最典型的一类自动化分析手段就是利用日志分析技术,采集关键数据源的文本信息,基于预定义的风险模型进行计算和分析。但实际上,风险评估时仅仅采集与分析控制措施运行后产生的痕迹信息是远远不够的,还需要对控制措施及其过程进行测试验证,包括采用BAS、配置核查、漏洞扫描、资产测绘,也包括采用诸如SOAR、RPA技术手段将多个重复的测试过程串起来。攻击面管理作为一项较新的技术,也可以有效地助力安全风险评估自动化。
什么是攻击面管理
攻击面管理是一种从攻击者视角对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法。攻击面管理的最大特性就是以外部攻击者视角来审视企业所有资产可被攻击利用的可能性,而这里的所有资产包含已知资产、未知资产、数字品牌、泄露数据等一系列存在可被利用风险的资产内容。
攻击面管理最早由Gartner于2018年提出。2021年7月,Gartner发布了《2021安全运营技术成熟度曲线》,将攻击面管理相关技术定义为网络安全运营的新兴技术,包括外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)。次年发布的《2022安全运营技术成熟度曲线》,再次强调了上述这些技术,并认为攻击面管理相关技术的成熟度得到了提升。
外部攻击面管理 (EASM) 使用已部署的流程、技术和托管服务来发现面向互联网的企业资产、系统和相关漏洞,例如可能被利用的服务器、凭据,公有云服务的错误配置和第三方供应商的软件代码漏洞。
网络资产攻击面管理 (CAASM) 专注于使安全团队能够解决持续存在的资产可见性和漏洞挑战。它使企业能够通过与现有工具的 API 集成查看所有资产(内部和外部),查询合并的数据,识别安全控制中的漏洞范围和差距,并修复问题。
数字风险保护服务 (DRPS) 通过技术和服务的组合提供,以保护关键数字资产和数据免受外部威胁。这些解决方案提供对开放网络、社交媒体、暗网和深层网络资源的可见性,以识别对关键资产的潜在威胁,并提供有关攻击者及其恶意活动的策略和流程的上下文信息。
攻击面管理的必要性
企业的攻击面就是未经授权即能访问和利用企业数字资产所有潜在入口的总和,包括未经授权即可访问的硬件、软件、云资产和数据资产等,同样也包括人员管理、技术管理、业务流程存在的安全弱点和缺陷等,即存在会被攻击者利用并造成损失的潜在风险。如果不加保护,这些风险中的任何一个都可能是攻击者入侵企业网络和窃取业务数据的手段。
2022年3月,Gartner发布了《攻击面管理创新洞察》,报告也指出了企业进行攻击面管理的必要性。通过攻击面管理的产品和技术可以提高安全防御能力,并提高风险态势感知能力。报告指出,随着企业内部和云端的环境变得越来越复杂和分散,组织必须管理不断增长的攻击面,并涉及容器、物联网和网络物理系统。同时,SaaS应用程序和供应链也逐渐呈现出新的攻击面。因此,对于每个企业来讲,需要提高内部任何安全体系漏洞的可见性,这样才能建立和维持强大的安全态势感知能力,而大多数企业缺乏发现、控制风险的有效能力。随着面向公众的数字资产的扩展以及云基础设施和应用程序的增多,企业 IT 变得更加分散,因此需要新的方法来可视化和优先管理组织的攻击面。安全和风险管理领导者可以将资产和风险上下文聚合到一个平台中,通过数据融合分析,提高对攻击面的管理能力。
有效实施攻击面管理助力风险度量
实现风险评估自动化需要通过多种技术,入侵和攻击模拟(BAS)、漏洞优先级排序(VPT)和攻击面管理(ASM)是其中最关键的三种技术。BAS可以验证安全设备有效性、发现纵深防御体系中的风险链路、感知系统的威胁态势。该技术站在攻击者的视角进行类实战的模拟尝试甚至利用,能发现更深层的潜在风险,是风险评估的进阶和提升。VPT可以进行漏洞验证、漏洞排序,并实现基于风险的漏洞管理。ASM可以实现整个攻击面的闭环管理,包括内部攻击面和外部攻击面,以及企业的数字风险保护。这三种技术相互支撑,相互融合,共同构成了风险评估自动化的基础。
Gartner提出的攻击面管理是一个较新的概念,但并不完全是一个新生事物。企业的安全运营工作,基本都会涉及到资产、漏洞和风险等方面。但是伴随数字化转型的深入和攻击面范围的扩大,组织缺乏方法论上的梳理和相应的工具、手段,难以实现有效的攻击面管理。
攻击面管理地有效实施是风险评估自动化得以实现的重要基础。攻击面管理需要考虑到行业的最佳实践,以便实现最大限度地降低安全风险。参考国内外过往的经验和教训,攻击面管理的有效实施应该遵循发现、评估、排序、修复四个步骤来进行。
1、攻击面发现
攻击面管理首先要做到自动化发现和持续监控。为了有效保护整个攻击面,首先企业必须知道自己的完整攻击面是什么。对一些大型企业来说,这可能是数十万规模的服务器、域名、应用程序和凭据,随着数字化的发展,攻击面还需要包括物IOT设备、移动设备、API、容器等。
很多组织还在使用传统的资产管理工具来发现攻击面,比如端口扫描,甚至仅用电子表格来人工维护资产列表。这些工具呈现的信息是孤立的,仅能够提供攻击面的部分可见性,还需要耗时耗力的工作,将资产归属到适当的平台、环境和业务。这种局部的攻击面视图,很可能会遗漏掉监控措施没有覆盖的区域,以及那些根本没有意识到的“影子资产”,导致攻击面管理的效果与原本预期存在巨大差距。据国外攻击面管理厂商的研究,47%的组织认为其攻击面不包含SaaS应用程序,而45%的组织认为其攻击面不包含运行在公有云或第三方供应商中的工作负载。
企业应该从攻击者的角度来看自己的攻击面,像攻击者一样,使用自动化工具监测企业暴露在互联网上的所有资产。自动化的攻击面发现并不局限于监测资产,还需要把外部的暴露资产赋予业务属性,通过关联分析支持测试潜在的安全漏洞,进而绘制出防御体系存在的风险链路。自动化的解决方案不仅需要完整的绘制攻击面,还要具备时间上的优势。发现整个攻击面的速度越快,其漏洞被潜在的攻击者利用的时间就越短。除此之外,攻击面的持续监控也非常关键。随着业务的更新,资产可能需要频繁的上下线,持续监控能确保企业可以看到易受攻击的最新资产。
2、漏洞评估
全面和自动化的漏洞评估,对攻击面管理来说非常重要。确定了攻击面的全部范围,就可以在此基础上进行漏洞评估。
多数企业都使用各种各样的评估工具,如应用程序测试、漏洞扫描、渗透测试和偶尔的红队评估。这些评估是耗时且成本高昂的,并且不同类型的攻击面在评估漏洞时需要采取相应的技术手段,因此企业很少能够对攻击面进行足够的测试,以识别所有漏洞。国外攻击面管理厂商的研究表明,每年只有38%的组织能够对其整个攻击面的半数以上进行测试,而其他62%的组织则对其半数以上攻击面的暴露基本视而不见。
为了保障攻击面管理的效果,在漏洞评估的过程中,需要保证评估的覆盖度,不能仅仅评估一个资产样本,而是尽可能多的覆盖互联网暴露资产。就像“木桶效应”表达的那样,攻击面管理的效果也取决于资产的“最短板”,一个安全漏洞就可以让攻击者突破整个防御体系。
企业不仅需要评估所有资产,还必须能够快速、一致地进行评估。随着攻击面的规模不断增长和内容不断演进,还必须实现自动化和持续地评估,这样才能适应这种变化。更不用说领先于使用自己的自动化工具全天候评估攻击面的攻击者。
3、优先级排序
有效的攻击面管理可以帮助企业发现完整的攻击面,以及存在被利用风险的资产。如果发现了成千上百的问题,但只有时间修复少量问题,应该从何处开始着手?这就需要对风险区分修复优先级,比如企业的互联网支付平台上存在漏洞,并且可以被公开利用,显然是需要立即修复的,而在办公网的OA服务器上发现过期的证书,虽然是风险,但可以排进计划等待。
这说明并非所有的风险都是同等的,通过对风险进行优先级排序,企业可以提升风险处置的效率。为了有效地确定修复优先级,攻击面管理解决方案需要提供一个优先级计算引擎,结合漏洞优先级技术(VPT)用实际的风险因素来计算修复优先级。它需要基于漏洞严重性、漏洞利用热度、资产重要性以及安全控制有效性等综合计算。
1) 漏洞严重性:基于漏洞的CVSS V2和V3基础分
2) 漏洞利用热度:利用热度与漏洞公开的时长密切相关,这个因素是为了弥补CVSS评分的不足,综合考虑了漏洞缓解措施被部署的时间延迟和漏洞利用方法的普及。
3) 资产重要性:可以为不同的资产赋予实际使用场景下的重要性分值,把分值纳入漏洞修复优先级的计算当中,分值的确定需要考虑到资产的用途、负责人和位置等因素。
4) 安全控制有效性:利用攻击与入侵模拟技术(BAS),对已部署的安全设备进行防护有效性验证,从而知道针对攻击面的漏洞利用攻击是否能被有效防护。
优先级排序因素覆盖了风险的潜在影响、可发现性、易利用性、补救复杂性和资产的业务环境。一旦掌握了上述信息,企业就可以进行优先级排序,为各优先级的风险制定SLA,对响应时长和修复时长作出要求,以指导相关人员的修复工作。
有效的攻击面管理不仅可以确定问题的优先级,还可以帮助企业实现既定的安全目标。通过上述信息可以指导团队,应该做什么能产生最有效的影响。优先级评分和分级让技术和业务团队都能够了解要做什么以及什么时候做,消除了关于优先级的反复讨论,同时确保最重要的问题首先得到解决。
4、漏洞修复
对于漏洞修复来说,时间至关重要,因为与此同时,还有不计其数的攻击者在时刻不断的扫描企业的攻击面。安全团队应该防患于未然,在事件发生之前解决相关的问题。
有效的攻击面管理可以帮助企业发现完整的攻击面,分析攻击面的问题、差距、漏洞及其相关风险,并且能够通过大量的背景信息确定优先级排序,然后自动分配给对应的人员,要求在指定的时间内解决。使用一站式自动化的攻击面管理平台来完成所有这些工作,将会大大提升安全团队的效率。
使用传统的方法,将使攻击面管理的效果大打折扣。通过孤立的漏洞扫描工具发现漏洞,再把漏洞问题通知安全团队。经过人工验证后确定风险及其等级,然后确认漏洞负责人分配修复工作。虽然问题最终会得到解决,但是无法确定时间。并且问题是否真的被解决也需要打个问号,可能还需要反复的验证和再修复。
要降低修复周期中反复的大量耗时,攻击面管理平台需要采用自动化的闭环流程,与企业的SOAR或RPA平台集成并协同工作,还需要提供漏洞持续验证功能,以确保达到预期的效果。同样,自动化平台可以帮助企业确认风险问题是否都已得到有效解决,同时统计修复效率是否正在得到改善,从而有助于减少修复过程所需的时间。
灰度安全可以帮助用户有效实施攻击面管理,实现风险评估自动化的目标。作为国内安全风险评估自动化的开创者,灰度安全率先推出了先知·智能风险评估系统这款产品,采用了包括BAS、VPT、ASM在内的多种技术手段,实现了设备有效性验证、纵深防御评估、漏洞验证等功能。
先知·智能风险评估系统定位于聚焦风险度量的专家级平台,通过实战化攻击场景构造和攻击向量编排,帮助企业持续验证防御措施有效性,实战度量安全风险,有效提升主动防御能力,让企业安全价值看得见!