金融行业具有关键基础设施属性,是国家与社会生活正常运转的基础与核心。金融行业具有领先的科技属性,AI、区块链、云计算、大数据、5G等新技术都能在金融行业中找到优秀的最佳实践。同时,金融行业还具有极高的安全属性,从信息安全到网络安全再到数据安全,金融行业的安全需求始终以“强合规、高要求”走在各行业前列,由这些新需求带来的供给侧安全技术创新,也具有很强的示范性与可复制性。
在关基属性、科技属性、安全属性等三个属性背景下,金融行业安全建设与运营,最首要场景需求是梳理潜在的攻击暴露面并有效缩小这个攻击面,使其收敛至可视、可查、可控的程度。这成为了金融行业中安全从业者要面对的第一个,也是最基本的一个问题。
面对这一需求,供给侧情况如何呢?我们先看国外,继“网络空间测绘”、“资产管理”等概念之后,Gartner于2021、2022连续两年在HypeCycleforSecurityOperations中提出了CAASM(网络资产攻击面管理),开启了“攻击面管理”时代。我们用以色列安全公司Axonius为例,作为一家专门从事网络安全资产管理的安全企业,它夺得了2019年RSAC创新沙盒的冠军,在夺冠当年,它的slogan是这样说的:
Youcan’tsecurewhatyoucan’tsee.
三年后,它则明确提出了:
Fromassetsmanagementtoassetsintelligence:crossingtheCAASM
此为一证。国内的安全供应商也是如此,无论较早成立的以“资产测绘”或“资产安全管理”为主要技术路线的企业,还是近两年如雨后春笋般新成立的定位“攻击面管理“的初创团队,都在积极向攻击面管理ASM这个赛道靠拢。
然而与国外环境不同的是,国内金融行业虽然相比其他行业已经大多设立了首席安全官CSO或有专门的安全团队,但话语权普遍不高。近年来国内安全市场很大一部分驱动力,来自于监管机构的合规要求和逐渐常态化的实网攻防演练,导致在应对潜在的攻击暴露面时,有很多不同于国外的“独特”管理手段,例如,发现风险资产后收敛的难度更大,常常需要借助安全重保与攻防演练的机会,对其进行收敛。
综上所述,数世咨询认为在突出的现实需求与供给能力之间,始终缺少一个以行业用户访谈为基础,以金融行业为代表的“攻击面管理”报告对其做出梳理与阐述。鉴于此,我们协同国内攻击面管理领域安全厂商魔方安全对银行、证券、基金、资管及互联网金融等数几十家金融行业典型客户开展了为期一个多月的调研工作,并在保护用户隐私不泄露任何调研原始数据的基础上,将调研成果整理成为各位读者看到的《2022中国金融行业攻击面管理白皮书》。
关键发现
●金融行业攻击面管理“同业参考”是一个伪命题。
●金融行业业务变化快,攻击面管理更加注重资产生命周期的多标签动态管理。
●金融行业的收敛响应时效要求更高,攻击面管理平台应具备较强的可观测(可视、可查、可控、可度量)能力。
●攻击面管理作为行业共识,将成为安全运营必选项。
●金融行业攻击面管理将向“大集中”靠拢。
●金融行业攻击面管理方案的交付形态,以“平台+服务”相结合的方式为主。
1定义及描述
1.1攻击暴露面
本报告中的“攻击暴露面”指潜在攻击者对金融行业用户机构开展网络安全攻击时可能利用的所有数字资产、外部信息、脆弱性风险等数据的集合,称为该用户机构的攻击暴露面。
资产的定义:首先明确网络空间资产的定义,这里的资产是指赛博空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体对象包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等。概括来说,只要是可操作的对象,不管是实体还是属性。都可以称之为“网络空间资产”。
图例1:常见攻击暴露面数据纬度(本图例由魔方安全提供)
1.2攻击面管理
如无特别说明,本报告中的“攻击面管理”特指金融行业用户依托攻击面管理平台,结合安全运营服务,对机构自身及下属分支机构的攻击暴露面进行发现、判别、确认,并协调内、外部第三方对攻击面进行持续收敛的解决方案。
图例2:金融行业攻击面管理示意简图
1.3EASM与CAASM
攻击面管理分为外部攻击面(ExternalAttackSurfaceManagement,缩写为EASM)和网络资产攻击面(CyberAssetAttackSurfaceManagement,缩写为CAASM)。EASM强调外部攻击者视角,针对暴露在公网的资产(包括互联网、云、物联网、智慧城市等环境下的资产与风险),主要通过黑客探测的手法与情报来进行分析。CAASM则强调内外部全局视角,通过API与其他系统集成的方式来解决持续的资产可见性和漏洞风险。
1.4与现有安全解决方案的区别
图例3:与现有解决方案的区别
攻击面管理与传统漏洞扫描及渗透测试服务的对比
漏洞扫描和漏洞管理是网络安全运营工作的基础,从防御者视角出发,聚焦现有的IP资产台账,进行常规的巡检与通报。但金融行业的业务具有多样复杂、快速迭代的属性,与之相伴的是企业的网络边界变得模糊,大量开源组件被广泛应用,并衍生出App、小程序和API等数字资产新形态,这些变化让安全管理员遭遇巨大的挑战,传统的漏扫工具和专项渗透测试均不能很好地应对,从而出现更多的影子资产(ShadowIT)。
综上所述,快照式、长间歇的工作方式无法满足数字化业务和资产不断变化的要求。相对传统的渗透测试等安全服务手段,攻击面管理在广度、频度和数据驱动响应与运营方面的实践更优,也避免了高度依赖于人而导致的产出质量不稳定、资源投入大等问题。
攻击面管理与资产测绘及资产安全管理的区别
“网络空间测绘”的定义:针对赛博空间中的数字化资产,通过扫描探测、流量监听、主机代理、特征匹配等方式,动态发现、汇集资产数据,并进行关联分析与展现,以快速感知安全风险,把握安全态势,从而辅助用户进行指挥决策,支撑预测、保护、检测、响应等安全体系的能力,即为网络空间资产测绘(CAM)。测绘是一种技术手段,用于获取空间的数据实体,基本面向IP对象,端口与服务。
对比网络空间测绘,资产安全管理更进一步:更聚焦资产全生命周期安全管理,包括资产梳理、登记和上下线管理,强化工单与流程(登记、变更、资源分配、审核、通报),借助资产测绘等技术手段,建立风险治理机制和形成联动管控模式。清晰完整的资产台账、分类分级、边界和责任、资产多维属性关联分析、风险管理、资产全景态势可视化分析,满足不同角色使用的(高层领导、信息化、安全管理、安全分析、安全运营、业务部门)的统一视角,让资产数据可管理、可运营。资产测绘是基础手段,全面且清晰的资产台账,是安全建设的必答题,也是迈向高水平安全运营的必经之路。
攻击面管理聚焦在攻击者视角,是一种比网络空间测绘和资产安全管理更高维的资产安全管理的方法,融入了更多威胁因素,以保护组织数字资产安全为出发点,聚焦在攻击者视角去审视网络空间内不同形态种类的资产所组成的攻击暴露面,同时特别强调“可观测性”、“可运营”,这意味着资产的全面性可度量、风险可度量、响应处置可度量。
2金融行业攻击面管理需求现状分析
在调研访谈中,我们与多位金融行业安全团队负责人进行了沟通,梳理出金融行业攻击面管理需求现状的以下八大特点:
2.1安全强合规,但缺少可落地的指导细则
《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》等“三法一条例”中都对“金融”行业有明确的安全合规要求,银保监会、证监会等行业监管机构出具了多项行业规定及要求,对行业机构提出更为具体的安全要求。不仅如此,《证券公司分类监管规定》(俗称证券机构分类评级)中,更是将“网络安全”列入“重大负面事项”,上升到“一票否决”的高度。因此相比其他行业,金融行业在强合规驱动下有较高的安全投入。
对于安全预算较少的用户,安全团队倾向于优先满足有明确条文的合规要求,间接降低了攻击面管理的建设优先级,因此很多机构仍然以excel表格作为资产台账的管理手段;对于为数不多的安全预算较为充足的用户,专门为攻击面管理设立了专项预算;剩余大部分安全团队为满足这方面需求,往往需要参考年度整体安全规划,结合其它安全需求,将攻击面管理的建设一并落地。
2.2金融机构安全团队往往面临多个监管方的扫描与通报
金融机构行业主体往往受到多个行业监管单位的交叉辖制。除了网信办、工信部、公安部等网络安全监管机构外,银保监会、证监会等金融行业监管机构也会对下辖行业机构进行攻击暴露面的扫描与通报。除此以外,个别央国企下属的银行,还会同时面临国资委的安全监管要求。
多个监管方的合规要求不尽相同,监管手段也有差异,有的是从合规角度,以行政手段提出要求,有的是从攻击者角度以技术手段进行扫描通报。在这样的监管态势下,各金融行业机构的安全团队,随时会有被多家监管单位通报的几率,因此就需要先行自发进行攻击暴露面的梳理排查与收敛。一旦被通报,也需要及时做出响应,形成整改说明材料进行上报。
2.3攻击面管理的建设与运营,仍然需要事件驱动和推动
虽然攻击面管理在金融行业中已经得到了大范围的普及和接受,但具体到安全建设与安全运营中,仍然需要借助各级实网攻防演练或是偶然发生的安全事件的“帮助”。
2.4业务变化快,更注重资产生命周期的多标签动态管理
金融行业始终走在业务创新的前沿,业务创新带动信息基础设施环境的变化,金融机构的资产数量、资产属性、资产状态等攻击暴露面始终处在动态多变之中,因此金融行业的攻击面管理解决方案不能简单被动“拴”在CMDB的人工维护上,而是要将有限的人力资源投入到资产的分类分级和多标签管理等动态管理工作中,好钢用在刀刃上。
2.5业务属性差异大,要完全实现“同业参考”是一个伪命题
在调研中我们发现,即便金融业务和规模都很相近的两家机构,攻击暴露面存在如:组织架构、IT架构、业务层级等多种不同的业务属性,而这些业务属性又是“收敛”的重要依据,必须梳理清楚。业务部门的参与度决定了属性梳理工作的效率、完整性与准确性,这就导致两家机构各自梳理后的资产业务属性差异很大。
因此,攻击面管理的业务属性很难参考复制,甚至可以说,要想完全实现攻击面管理的“同业参考”是一个伪命题。
2.6响应时效要求高,需要兼顾可观测性与安全有效性
相比其他行业,金融行业要求更高的业务连续性、数据完整性、安全保密性,因此在发现潜在的攻击暴露面后,其收敛的应急响应时效要求也更高。这就要求金融行业攻击面管理解决方案要具备较高的可观测性。
2.7攻击面收敛难,需要专业技术与服务意识相结合
访谈中我们发现,处在不同安全建设阶段的各类金融机构安全团队,手里多少都具备一定的攻击面管理工具或平台产品。但在漏洞修复等收敛环节,经常会遇到研发部门不配合、个别领导不重视等现实问题。针对这一情况,安全团队除了要具备适用于本机构的技术工具,还需要在与其他部门沟通过程中具备主动服务的意识,两者结合,才有可能做好攻击面管理。
调研中我们看到,在这方面做的较好的安全团队,其统一的攻击面视图甚至成为了网络部门、运维部门甚至业务部门经常会来“求助”的重要资产台账。如此通过专业技术与服务意识的结合,既能提升攻击面收敛的时效,还能体现出安全团队的工作价值。
2.8共同成长,金融机构与安全厂商形成攻击面管理的共生互助关系
在调研中我们还看到一种值得欣慰的现状,多个金融机构的攻击面管理经过几年的建设后,与攻击面管理安全企业形成了共同成长的局面。一方面用户的新需求,通过安全企业的人工服务得到解决和验证,之后这些新需求转化为安全企业产品中的新功能;另一方面不断升级迭代的安全产品和服务又帮助用户覆盖着越来越多的资产维度和攻击面,提升攻击面管理的水平与时效。总体来看,双方不断磨合,一起提升着攻击面管理的自动化、可视化、智能化程度。
这一需求现状,主要取决于攻击面管理与用户业务的强关联性。少了任何一方,攻击暴露面的梳理排查和收敛,都难以顺畅的落地,因此双方才会形成攻击面管理的共生互助关系,后续随着合规要求的进一步细化与技术发展,这一需求现状还会持续下去。
3行业用户场景
经调研,金融行业用户在采用攻击面管理解决方案时,有分支机构资产纳管、实网攻防演练、数据泄露溯源取证、安全运营基础设施、后疫情时代攻击面管理等五个典型场景。
3.1分支机构资产纳管
金融行业监管机构对辖区内所有单位组成的攻击暴露面开展管理工作,就是第一个典型场景——分支机构资产纳管。
金融行业监管机构明确要求分支机构上报关键信息基础设施资产,然而分支机构上报的资产信息普遍存在漏报、错报或信息滞后的情况,因此,如银保监会、证监会以及各金融业务机构的集团总部通过攻击面管理解决方案将分支机构的潜在攻击暴露面资产纳入管辖范围。
具体到不同的使用主体:监管机构对下辖被监管各单位上报的资产进行核查、补充,以满足后续的合规评级、安全通报、应急响应等需求;集团总部对各地分子公司、营业网点等分支机构的资产进行全面排查,掌握集团整体攻击暴露面情况;当然,分支机构也可以自行采购或建设攻击面管理解决方案进行自查,然后将收敛后的资产信息上报给监管或集团总部,从而掌握主动权。
3.2实网攻防演练
近年来,随着国家级、地市级、行业级实网攻防演练活动逐步趋于常态化,作为重点关键基础设施行业之一的金融行业,需要在各级攻防演练活动开始前对自身潜在的攻击暴露面进行提前发现和收敛。
常见的可能被攻击者利用的暴露在互联网上的新型数字资产有GitHub、网盘文库、公众号小程序等;此外可以帮助防守方发现软件供应链、合作伙伴等更深层次的攻击暴露面,例如开源组件、合作商API接口等。
3.3数据泄露溯源取证
3.4安全运营基础设施
相比其他行业,金融行业具备更高的安全投入和安全建设水平,建有数量更多、成熟度更高的安全运营平台或安全运营中心。自动化、接口化、可视化的攻击暴露面发现与管理能力,是安全运营最重要的基础设施。
安全运营建设初期,自动化的攻击面管理能力是安全运营的基础能力之一,同时全面准确的攻击暴露面也是其他各项安全投入的依据;安全运营建设过程中,接口化的攻击面管理平台能够成为SOC、SIEM等平台的底座;安全运营能力形成后的安全有效性验证阶段,攻击面管理更是必不可少的基础设施,安全团队对设备、工具、人员、以及管理流程等内容进行安全有效性验证和量化评估时,都需要用到可视化的攻击面管理能力。
3.5后疫情时代的攻击面管理
新冠疫情给全球经济和金融行业带来的影响是显著的,为了支撑远程办公,金融互联网攻击面不断增加,更多的业务系统需要对互联网开放,无论是通过端口映射将业务系统直接开放公网访问,还是使用VPN打通远程网络通道,都是在原本脆弱的网络防护边界增加更多暴露面。接入网络的人员、设备、系统、应用的多样性呈指数型增加,企业的业务数据在复杂的人员、设备、系统、应用间频繁流动,数据流动的复杂性、数据泄露和滥用的风险均大幅增加。
4关键能力
针对金融行业的关基属性、科技属性、安全属性等行业特点,数世咨询认为,其攻击面管理关键能力主要包括攻击暴露面发现、攻击面数据融合、攻击面管理平台、攻击面专项收敛等四大能力。
4.1攻击暴露面发现能力
如前文定义部分所述,攻击暴露面的发现要以攻击者视角为主,涵盖网络资产、外部信息、脆弱性风险等维度,下面针对这三个维度分别阐述其能力要点。
4.1.1外部信息攻击面覆盖
源代码监测(如Github、码云等)
代码共享平台存在隐匿的攻击暴露面,例如管理后台URL、VPN账户密码等,开发运维人员因缺乏安全意识,无意中将此类敏感信息上传至GitHub、Gitee等代码共享平台,为信息安全事故埋下导火索。攻击者主要是以用户机构的业务关键字、品牌名称、公司名称、IT人员的个人GitHub账户等渠道搜集这类信息,因此安全团队应以技术监测手段与内部行政管理相结合的方式,对此类攻击暴露面进行持续发现、收敛。
外部接口(如API、公众号、小程序接口等)
暗网监测(社工库、泄漏数据)
4.1.2网络资产攻击面覆盖
主动扫描探测
对于存在总部和分支机构的场景,特别是营业网点众多的银行、证券等用户,主动扫描测绘是部署成本相对较低、效果明显的管理工具与手段,可以获取绝大部分在互联网侧对外提供服务的资产信息,维度主要包括:IP地址、DNS、域名、URL、端口服务、Web应用等。在实网攻防演练等场景中,可以帮助集团安全团队发现分支机构私自上线的网络资产。
被动流量发现
在用户机构的出入口网关、内部核心路由等关键部位,旁路部署流量分析设备,实现被动的资产发现需求。
被动流量发现的资产指纹信息相比主动扫描探测,可发现资产的种类数量相对少一些,但指纹匹配的准确度相对更高。即便对于加密流量而言,仍然可以通过资产指纹加密流量建模等方式,做到部分资产的准确发现。
此外,被动流量发现可以不受业务时段限制,在金融行业交易等不便于使用主动扫描探测方式的时段持续提供资产发现能力;此外还可以发现主动扫描测绘不易发现的台账外资产,例如主动扫描节点触达不到的内网资产、相对偶发的测试资产等。
云资产发现
金融行业科技属性加持下,业务的云化始终走在前列,但云的敏捷、灵活反而成为攻击面管理中的难题:弹性公网IP临时分配必然会引发“资产漂移”的现象,应用动态水平扩展会导致暴露面无法采用静态评估的方式有效完成,多云异构也进一步考验攻击面管理平台的兼容能力。
因此,云资产的发现,可以通过对接云管平台API,对虚拟化实例、域名解析记录、弹性公网IP、负载均衡、WAF防护目标等实例对象进行高频同步,实现跨供应商的云端资产纳管,从云端视角提高攻击暴露面的可见性。
影子资产发现
大部分安全隐患与风险来自于未知,ShadowIT(影子资产),一般是指在IT组织所有权之外的IT设备、系统和应用。它是相对于上述“主动扫描探测”、“被动流量发现”、“云资产发现”之外的资产来说的。例如分子机构私自上线的接口或站点、“碰瓷”式的合作伙伴站点、钓鱼网站等仿冒站点,都属于这类资产。
因此,对于影子资产,攻击面管理的解决方案,将在上述三种资产覆盖的基础上,通过“资产线索”(关键字线索、logo图形线索)持续检索整个互联网空间或第三方数据仓库,逐一比对现在有的台账记录,从而发现台账中未被记录的疑似资产数据,实现对ShadowIT(影子资产)的持续发现。用户进行内部核查,研判后,最后再行决定是纳管或是沟通、举报、甚至诉诸法律等其他手段将其下线。
4.1.3脆弱性风险评估
弱口令
弱口令(weakpassword)没有严格和准确的定义,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等。
漏洞风险
以金融行业机构为目标的潜在攻击者,往往更加依赖于新爆出的0day或1day漏洞。这就决定了在新的漏洞威胁出现后,安全团队需要抢在攻击者之前,更快、更全、更准地定位潜在受漏洞威胁的风险资产。近几年无论是心脏滴血、永恒之蓝还是Log4j2等漏洞的大范围爆发,都让金融机构的安全团队度过一个又一个不眠之夜。
安全团队需要通过工单、OA等流程系统将该漏洞信息推送至业务及IT运维等部门,之后定期或不定期对包含漏洞风险的资产进行精准复测。此外,还需要对漏洞响应之后新加入台账的资产进行漏洞PoC测试,杜绝“新资产、老漏洞”的情况发生。以此实现漏洞风险的攻击面持续收敛。
软件供应链风险
经过近几年的攻防对抗演练,行业单位安全运营能力普遍得到提升,常规的攻击路径得到有效的暴露与封堵。攻击者开始转换思路,将目光瞄准了上游——供应链。例如金融机构所使用的办公软件、有合作的软件应用开发商、可能用到的开源代码,甚至是金融行业经常使用的安全产品等等。
对此,攻击面管理解决方案可通过持续应用安全(CAS)等“安全左移”的方式,将上游的攻击暴露面也纳入收敛范围。
持续应用安全(CAS)是基于我国软件供应链安全现状所诞生的一种理念,主要解决软件供应链中数字化应用的开发以及运行方面的安全问题,覆盖应用的源代码开发、构建部署、上线运行等多个阶段,保障数字化应用的全流程安全状态,是安全能力原子化(离散式制造、集中式交付、统一式管理、智能式应用)在软件供应链安全上的应用。因此在应用的开发阶段,攻击面管理能够与CAS形成资产数据的关联和融合,并经由统一调度管理形成体系化的解决方案,以达到帮助用户整合资产数据、提升攻击面管理效率的目的。
4.2攻击面数据融合能力
4.2.1多源资产数据接入
从2019年的RSAC创新沙盒冠军Axonius,到今年(2022年)的RSAC创新沙盒十强SevcoSecurity,这两家都是从事网络资产管理的优秀创新企业,他们有一个共同点——对接多源资产数据并进行交叉比对融合。由此可见,无论用户的单独一个部门亦或是单独某一家供应商,不可能覆盖所有资产,因此,攻击面管理解决方案一定要具备的能力是“多源资产数据接入”能力。
要做到这一点并不容易,需要攻击面管理供应商在金融行业有多年积累,既熟悉金融业务特点,又熟悉金融IT环境、软件应用供应商,才可能在产品或解决方案的后端始终做好资产对接接口的适配,跟上用户的需求迭代速度。
4.2.2数据融合与分析
多源资产数据接入汇总后,并非简单的叠加,而是要进行持续的交叉验证、去重/扩充、属性补全、标记等操作。
类似这种情况,需要结合业务数据流、网络流量、访问拓扑等多个维度,综合描绘出资产之间的关系链。回到例子中,攻击面管理产品或解决方案,要能够描绘出从域名/公网IP到内网主机,再从内网主机到内网IP/域名的资产关系链。如此将原本不同部门的资产台账融合为统一的资产视图,在面对新爆发漏洞或攻击溯源时,可以对该资产进行一体响应,避免习惯上的“先外网后内网”导致的潜在风险。
4.3攻击面管理平台能力
经过网络资产发现、外部信息搜集、多源资产对接后的各类资产数据,最终统一聚合到攻击面管理平台。管理平台应当至少具备以下三个能力:一是信息完善与关联,二是可观测性管理、三是数据输出。
4.3.1基于业务视角的资产属性
对安全团队来说,管理平台还应当具备一定程度智能化的“标签”能力。所谓智能化,是指管理平台支持以业务、部门、IP范围等维度,给资产批量化自动化打标签,目的是减少平台自身的数据维护工作量,提高安全运营效率。
4.3.2可观测性
攻击面管理平台的“可观测性”是指经过海量数据聚合后,根据专业经验对数据进行消化解析,多维分析呈现的一种洞察能力。当攻击者在突破边界时,执行突破的动作可被观测;攻击者开始横向移动时,活动范围、细节过程可被观测;攻击者获得靶标后,整个行动过程和细节可被重放,所有攻击向量和路径均可被观测。
在差集数据中,检索“CMDB尚未覆盖的无主资产”、“DMZ中未部署HIDS探针的脱管资产”、“下线未下架的僵尸资产”,“主动测绘发现的影子资产”等等。以上罗列的场景,便是安全管理覆盖面的间隙,在求证暴露面可见性时,体现的“可观测性”。
图例4:资产可见性示意简图(本图例由魔方安全网络资产安全管理平台提供)
此外,结合业务权重、告警可信度、漏洞优先级等维度,对整体视图进行呈现,方便安全团队负责人在把握整体资产安全态势的同时,迅速发现攻击暴露面中需要优先收敛的部分。
可视化资产信息在持续完善关联的过程中,数据复杂度也在增加。目前业内通行的做法是以知识图谱的方式进行可视化呈现。每个图谱节点即是一个资产单元,每个资产单元可以以颜色深浅、节点大小等可视化方式进行区分,表明该资产的不同属性与状态。可视化视图应当支持属性筛选、无限下钻等功能,以满足风险资产快速定位、攻击路径溯源等场景。
最后,对上述所有资产数据以及工单中的修复时长、跟进复测次数等,还应当具备量化统计功能,以实现对攻击面收敛的可度量能力。
4.3.3资产数据输出
经过交叉融合、信息完善、聚类关联后的资产数据,能够对外输出提供数据支持。
最后,资产数据还可以作为后续长期安全建设的基础性数据,输出给安全运营中心等大型项目或平台,为其提供丰富且精准的资产数据支撑。
4.4攻击面专项收敛能力
4.4.1互联网风险资产快速定位与下线
在实网攻防演练和日常安全运营中,最常见的“收敛”场景是为应对1day漏洞而进行的风险资产快速定位与下线。此专项收敛需要具备漏洞预警、攻击面管理平台两个基本能力。
接下来在攻击面管理平台中,使用这些关键信息筛选定位出所有潜在威胁的风险资产,然后根据资产的业务优先级、所属部门,下发不同的响应策略。在不影响业务连续性的前提下,确定漏洞修复方案前,也可通过工单系统,协调业务、运维等部门,对部分资产做临时下线处理。最后一小部分受业务连续性要求,既不能下线又不能修复的资产,则通过“虚拟补丁/透明补丁”的方式临时加固,待将来允许时,再行修复。
4.4.2外部信息攻击面收敛
对于外部信息攻击暴露面,针对外部信息所在平台不同,需要采取不同的收敛策略。
4.4.3办公网资产整体收敛
这一方法有效将办公网等互联网业务以外的资产隐藏在零信任安全网关后面,实现“批量”收敛内网资产的效果。在调研中,有证券行业用户就是采用的这种方式。当然,这一方法也有其局限性,例如对原有网络架构的改动较大,对钓鱼攻击的防护效果也很有限,需要结合其他收敛方式以及安全意识教育等手段,以达到更好的立体收敛效果。
4.5能力建设建议:阶梯式建设
以上各项能力,并不要求一蹴而就一步完成,建议有能力的用户分阶段完成:
最后阶段增强“可观测性”。在对资产安全治理与运营的基础上,“从实战中来,往实战中去”,通过网络仿真、知识图谱与攻击预测算法,实现攻击面的可视化管理,完成“平战一体化”的理念升维,以支撑各类常态化的攻防演练活动。
国内数字化领域独立的第三方服务机构,提供数字安全行业的调查、研究与咨询服务。