作者：vivo 互聯(lián)網(wǎng)安全團(tuán)隊(duì)-? PengQiankun

本文結(jié)合CASSM和EASM兩個新興的攻擊面管理技術(shù)原理對資產(chǎn)管理，綜合視圖（可視化），風(fēng)險(xiǎn)評估，風(fēng)險(xiǎn)修復(fù)流程四個關(guān)鍵模塊進(jìn)行簡述，為企業(yè)攻擊面安全風(fēng)險(xiǎn)管理提供可落地的建設(shè)思路參考。

一、攻擊面概述

攻擊面是企業(yè)所有網(wǎng)絡(luò)資產(chǎn)在未授權(quán)的情況下便能被訪問和利用的所有可能入口的總和。

隨著物聯(lián)網(wǎng)、5G 、云計(jì)算等技術(shù)發(fā)展和社會數(shù)字化轉(zhuǎn)型持續(xù)發(fā)展，當(dāng)下的網(wǎng)絡(luò)空間資產(chǎn)的范圍和類型也發(fā)生了巨大變化，同時未來將會有更多的新興資產(chǎn)和服務(wù)出現(xiàn)，如何去建立更加合適高效的安全技術(shù)體系來管理企業(yè)面臨的攻擊面安全風(fēng)險(xiǎn)將是安全運(yùn)營工作面臨的新挑戰(zhàn)。

行業(yè)趨勢：

Gartner在 2021 年 7 月 14 日發(fā)布《 2021 安全運(yùn)營技術(shù)成熟度曲線》中明確提到了攻擊面的兩個新興技術(shù)：網(wǎng)絡(luò)資產(chǎn)攻擊面管理（ Cyber assetattack surface management）和外部攻擊面管理（ External Attack Surface Management），目標(biāo)是為了讓安全團(tuán)隊(duì)對暴露資產(chǎn)以及攻擊面進(jìn)行科學(xué)高效的管理，從攻擊者視角審視企業(yè)網(wǎng)絡(luò)資產(chǎn)可能存在的攻擊面及脆弱性，建立對企業(yè)網(wǎng)絡(luò)攻擊面從檢測發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的全流程閉環(huán)安全分析管理機(jī)制。

從安全運(yùn)營技術(shù)成熟度曲線可以看出，CAASM 和 EASM 還處于啟動期，這兩種技術(shù)雖然剛剛誕生，還處于概念階段，卻已經(jīng)引起了外界的廣泛關(guān)注。

• CAASM

CAASM是一項(xiàng)新興技術(shù)，旨在幫助安全團(tuán)隊(duì)解決持續(xù)的資產(chǎn)暴露和漏洞問題。它使組織能夠通過與現(xiàn)有工具的API集成來查看所有資產(chǎn)(包括內(nèi)部和外部)，查詢合并的數(shù)據(jù)，識別安全控制中的漏洞和漏洞的范圍，并糾正問題。其取代傳統(tǒng)手動收集資產(chǎn)信息和繁瑣的流程來提高資產(chǎn)管理的效率。

另外，CAASM通過確保整個環(huán)境中的安全控制、安全態(tài)勢和資產(chǎn)暴露得到理解和糾正，使安全團(tuán)隊(duì)能夠改善基本的安全能力。部署CAASM的組織減少了對自產(chǎn)系統(tǒng)和手工收集流程的依賴，并通過手工或自動化工作流來彌補(bǔ)差距。此外，這些組織可以通過提高可視化安全工具的覆蓋率來優(yōu)化可能有陳舊或缺失數(shù)據(jù)的記錄源系統(tǒng)。

綜合來說對于組織有以下優(yōu)點(diǎn)：

對組織控制下的所有資產(chǎn)的全面可見性，以了解攻擊表面區(qū)域和任何現(xiàn)有的安全控制缺口。

更快速的合規(guī)審計(jì)報(bào)告通過更準(zhǔn)確，及時、全面的資產(chǎn)以及安全控制報(bào)告。

資產(chǎn)綜合視圖，減少人力投入。

• EASM

EASM是指為發(fā)現(xiàn)面向外部提供服務(wù)的企業(yè)資產(chǎn)，系統(tǒng)以及相關(guān)漏洞而部署的集流程，技術(shù)，管理為一體的服務(wù)，比如服務(wù)器，憑證，公共云服務(wù)配置錯誤，三方合作伙伴軟件代碼漏洞等。EASM提供的服務(wù)里會包含DRPS，威脅情報(bào)，三方風(fēng)險(xiǎn)評估以及脆弱性評估，以及供應(yīng)商能力評估等細(xì)分服務(wù)。

EASM主要包含5個模塊：

監(jiān)控，持續(xù)主動掃描互聯(lián)網(wǎng)與領(lǐng)域相關(guān)的環(huán)境（如云服務(wù)，面向外部的內(nèi)部基礎(chǔ)設(shè)施）以及分布式系統(tǒng)。

資產(chǎn)發(fā)現(xiàn)，發(fā)現(xiàn)并測繪面向外部的資產(chǎn)與系統(tǒng)

分析，分析資產(chǎn)是否存在風(fēng)險(xiǎn)或脆弱點(diǎn)。

優(yōu)先級評估，對風(fēng)險(xiǎn)及脆弱性進(jìn)行優(yōu)先級評估并告警。

修復(fù)建議，提供對應(yīng)風(fēng)險(xiǎn)以及脆弱性的修復(fù)建議。

從行業(yè)趨勢來看，攻擊面管理已經(jīng)逐漸走入了各大安全廠商的商業(yè)化戰(zhàn)略里，這不僅體現(xiàn)了這一技術(shù)的市場需求急迫性同時體現(xiàn)了一定的商業(yè)化實(shí)踐價(jià)值。

從EASM和CAASM的技術(shù)定義中我們不難發(fā)現(xiàn)，其核心內(nèi)容可以歸納為4個模塊，分別是資產(chǎn)管理，綜合視圖（可視化），風(fēng)險(xiǎn)評估，風(fēng)險(xiǎn)修復(fù)流程。

這四個模塊恰好與我們目前的安全能力建設(shè)思路不謀而合，因此后續(xù)主要圍繞這四個模塊來總結(jié)我們在攻擊面風(fēng)險(xiǎn)管理上的實(shí)踐心得。

二、攻擊面風(fēng)險(xiǎn)管理落地實(shí)踐

行業(yè)內(nèi)通常把攻擊面管理定義為從攻擊者的角度對企業(yè)網(wǎng)絡(luò)攻擊面進(jìn)行檢測發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的資產(chǎn)安全管理方法，其最大特性就是以外部視角來審視企業(yè)網(wǎng)絡(luò)資產(chǎn)可能存在的攻擊面及脆弱性。

攻擊面主要體現(xiàn)在企業(yè)暴露給攻擊者各個層面的安全弱點(diǎn)，攻擊者可利用不同手段實(shí)現(xiàn)攻擊行為。因此對攻擊面風(fēng)險(xiǎn)有效管理的“First of all”就是資產(chǎn)管理。

2.1 安全資產(chǎn)管理模塊

做資產(chǎn)管理之前需要先對全網(wǎng)資產(chǎn)進(jìn)行梳理，確認(rèn)資產(chǎn)范圍和類型框架。

2.1.1 安全資產(chǎn)梳理

資產(chǎn)梳理的思路按照業(yè)務(wù)，系統(tǒng)，主機(jī)以及其他四個維度來進(jìn)行梳理。

• 業(yè)務(wù)維度

  包含域名，URL，公網(wǎng)IP，依賴包管理資產(chǎn)以及應(yīng)用資產(chǎn)。

• 系統(tǒng)維度

  包含API接口，公網(wǎng)IP內(nèi)部映射關(guān)系，公網(wǎng)端口內(nèi)部映射關(guān)系，內(nèi)網(wǎng)集群VIP-LVS，內(nèi)網(wǎng)應(yīng)用集群VIP-Nginx，內(nèi)網(wǎng)端口資產(chǎn)，內(nèi)網(wǎng)IP資源狀態(tài)資產(chǎn)。

• 主機(jī)維度

  包含主機(jī)IP資產(chǎn)，容器資產(chǎn)，k8s資產(chǎn)，主機(jī)端口資產(chǎn)，中間件資產(chǎn)，數(shù)據(jù)庫資產(chǎn)，操作系統(tǒng)資產(chǎn)，賬號信息資產(chǎn)，進(jìn)程信息資產(chǎn)，其他應(yīng)用服務(wù)資產(chǎn)。

• 其他維度

  包含資產(chǎn)補(bǔ)丁狀態(tài)，資產(chǎn)負(fù)責(zé)人及所屬組織。

由于篇幅問題，以上僅包含二級項(xiàng)目，其實(shí)二級以下根據(jù)不同的企業(yè)場景還具有更多的分項(xiàng)，例如從vivo互聯(lián)網(wǎng)來說，業(yè)務(wù)維度的域名我們細(xì)分了11項(xiàng)，包括管理后臺域名，公網(wǎng)埋點(diǎn)域名，埋點(diǎn)SDK域名，DB域名，主機(jī)域名，信管域名，內(nèi)網(wǎng)接口域名，公網(wǎng)接口域名，線上業(yè)務(wù)域名，靜態(tài)資源域名，其他域名等。

資產(chǎn)梳理沒有一個萬能公式，最佳實(shí)踐是從實(shí)際的基礎(chǔ)架構(gòu)出發(fā)結(jié)合業(yè)務(wù)場景來對全網(wǎng)資產(chǎn)定好框架。

2.1.2 構(gòu)建可靠的資產(chǎn)信息來源庫

資產(chǎn)庫主要有三個數(shù)據(jù)來源。

• CMDB：主要的資產(chǎn)信息供應(yīng)渠道

• HIDS：補(bǔ)充主機(jī)相關(guān)資產(chǎn)信息，如進(jìn)程，賬號，網(wǎng)絡(luò)鏈接等資產(chǎn)信息

• VCS：主動資產(chǎn)信息采集用以補(bǔ)充資產(chǎn)庫

通常安全資產(chǎn)庫的建設(shè)往往會面臨技術(shù)上的難點(diǎn)，比如資產(chǎn)信息采集工具的適配性，采集工具的穩(wěn)定性，對生產(chǎn)造成影響的概率最小性，資產(chǎn)完整的可靠性等等，但技術(shù)問題往往并不難解決，借助開源工具，商業(yè)化產(chǎn)品甚至自研工具都能解決絕大部分問題，而真正難以頭疼的是與資產(chǎn)歸屬方（業(yè)務(wù)方）的大量復(fù)雜的溝通確認(rèn)工作。

從以往的最佳實(shí)踐來看，從業(yè)務(wù)方的視角來建設(shè)資產(chǎn)庫，宣貫業(yè)務(wù)價(jià)值能夠更順暢地開展資產(chǎn)信息采集工作，例如資產(chǎn)管理系統(tǒng)可以繪制整個企業(yè)內(nèi)多個團(tuán)隊(duì)的合并資產(chǎn)視圖，其可包括業(yè)務(wù)團(tuán)隊(duì)、運(yùn)維團(tuán)隊(duì)、安全團(tuán)隊(duì)等，大家都可以從這個視圖中查詢到自己關(guān)心的信息，通過價(jià)值宣導(dǎo)來激發(fā)協(xié)作方的支撐意愿。

2.1.3 建設(shè)資產(chǎn)主動發(fā)現(xiàn)能力

在資產(chǎn)管理中，往往存在資產(chǎn)主動上報(bào)監(jiān)管難，資產(chǎn)變更頻率高而產(chǎn)生的資產(chǎn)信息滯后以及一些非法資產(chǎn)接入的問題，因此需要建設(shè)資產(chǎn)主動發(fā)現(xiàn)能力來補(bǔ)全這一塊的資產(chǎn)信息，有條件的話可以以此作為資產(chǎn)變審計(jì)體系的輸入源。

• 流量解析：通過流量分析識別隱匿資產(chǎn)、老化資產(chǎn)、影子資產(chǎn)等資產(chǎn)信息。

• 掃描工具：IAST/DAST/SAST，NMAP工具等對資產(chǎn)進(jìn)行識別補(bǔ)充以及維持。

• 安全日志及告警：梳理無標(biāo)資產(chǎn)對資產(chǎn)庫進(jìn)行補(bǔ)充。

另外，需要注意的是，在資產(chǎn)主動發(fā)現(xiàn)過程中需要謹(jǐn)慎考慮掃描工具或引擎的工作頻率以及工作時間段，避免影響生產(chǎn)。

2.2 綜合視圖模塊

建設(shè)綜合視圖并不是為了繪圖而繪圖，它是經(jīng)過一定的數(shù)據(jù)分析并結(jié)合業(yè)務(wù)場景的資產(chǎn)關(guān)聯(lián)鏈測繪，具備良好的邏輯性及可讀性的綜合視圖，無論是直接使用者（安全運(yùn)營團(tuán)隊(duì)）還是非直接使用者（業(yè)務(wù)或運(yùn)維）都能夠通過綜合視圖獲取各自需要的資產(chǎn)信息。

2.2.1 資產(chǎn)關(guān)系鏈測繪

資產(chǎn)關(guān)聯(lián)能力建設(shè)的目的是去測繪資產(chǎn)關(guān)系鏈從而將系統(tǒng)各模塊的安全事件進(jìn)行關(guān)聯(lián)，全鏈路分為兩條分別是公網(wǎng)IP/域名到內(nèi)網(wǎng)主機(jī)的關(guān)系映射鏈以及內(nèi)網(wǎng)主機(jī)到內(nèi)網(wǎng)IP/域名以及公網(wǎng)IP/域名的關(guān)系映射鏈。

2.2.2 資產(chǎn)全局視圖

針對以上兩個資產(chǎn)強(qiáng)相關(guān)模塊，如果以一年期來建設(shè)的話，可以參考以下建設(shè)計(jì)劃：

2.3 風(fēng)險(xiǎn)評估模塊

2.3.1 風(fēng)險(xiǎn)發(fā)現(xiàn)

風(fēng)險(xiǎn)發(fā)現(xiàn)來源包含兩大塊：

• 縱深防御體系：一體化的縱深防御協(xié)防平臺提供基礎(chǔ)的告警源數(shù)據(jù)。

• 主動掃描：以防守方視角對全網(wǎng)資產(chǎn)脆弱性進(jìn)行定期掃描，一般搭建自動化掃描系統(tǒng)定期持續(xù)對全網(wǎng)設(shè)施/節(jié)點(diǎn)進(jìn)行漏洞掃描。

• 人工滲透測試：從攻擊方視角組織人力配合工具從外部對信息資產(chǎn)進(jìn)行脆弱性測試。

• 基線合規(guī)掃描：解決內(nèi)部基線合規(guī)問題，如弱密碼，root權(quán)限，外發(fā)管控等。

通過搭建自動化漏洞掃描平臺對以及掃描任務(wù)進(jìn)行集中管理，相關(guān)的安全人員對掃描產(chǎn)生的各類風(fēng)險(xiǎn)發(fā)現(xiàn)做進(jìn)一步的確認(rèn)，若確認(rèn)是漏洞的風(fēng)險(xiǎn)就會通過自動創(chuàng)建漏洞工單，并將創(chuàng)建的漏洞工單同步到漏洞管理系統(tǒng)進(jìn)行后續(xù)漏洞修復(fù)的跟蹤，后續(xù)漏洞的修復(fù)進(jìn)度也會同步到自動化漏洞掃描平臺進(jìn)行同步跟進(jìn)。

值得一提的是，漏洞掃描平臺并非只是一味地將掃描工具及掃描結(jié)果集成，一個能有效解決風(fēng)險(xiǎn)發(fā)現(xiàn)的系統(tǒng)必然是從場景出發(fā)，落地到實(shí)際問題上。以下是三個應(yīng)用場景的舉例：

2.3.2 風(fēng)險(xiǎn)評估

安全風(fēng)險(xiǎn)評估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施，另外，風(fēng)險(xiǎn)評估的落地形態(tài)可以是一套評分規(guī)范或是數(shù)學(xué)模型，其可以從全局視角來評估整體安全態(tài)勢并以具體分值的形式來呈現(xiàn)。

標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評估過程主要有四塊：

• 資產(chǎn)識別與賦值：對評估范圍內(nèi)的所有資產(chǎn)進(jìn)行識別，并調(diào)查資產(chǎn)破壞后可能造成的損失大小，根據(jù)危害和損失的大小為資產(chǎn)進(jìn)行相對賦值。

• 威脅識別與賦值：即分析資產(chǎn)所面臨的每種威脅發(fā)生的頻率，威脅包括環(huán)境因素和人為因素。

• 脆弱性識別與賦值：從管理和技術(shù)兩個方面發(fā)現(xiàn)和識別脆弱性，根據(jù)被威脅利用時對資產(chǎn)造成的損害進(jìn)行賦值。

• 風(fēng)險(xiǎn)值計(jì)算：通過分析上述測試數(shù)據(jù)，進(jìn)行風(fēng)險(xiǎn)值計(jì)算，識別和確認(rèn)高風(fēng)險(xiǎn)，并針對存在的安全風(fēng)險(xiǎn)提出整改建議。

從落地實(shí)踐來看，對各個信息節(jié)點(diǎn)的評估賦值需要張弛有度，過細(xì)的賦值方案會難以展開，過粗的賦值方案難以有好的效果，企業(yè)應(yīng)結(jié)合自身發(fā)展現(xiàn)狀，人力，技術(shù)條件以及安全目標(biāo)來制定賦值方案。

2.4 風(fēng)險(xiǎn)閉環(huán)

針對于安全運(yùn)營工作來說，風(fēng)險(xiǎn)管理的實(shí)際工作本質(zhì)上是漏洞管理，風(fēng)險(xiǎn)閉環(huán)是漏洞從發(fā)現(xiàn)再到消除的一系列管理過程，即漏洞的生命周期管理。

其實(shí)在實(shí)際的風(fēng)險(xiǎn)管理過程中，許多風(fēng)險(xiǎn)是沒有形成閉環(huán)管理的，其原因大多可以歸納為以下幾點(diǎn)：

• 計(jì)劃制定的不切實(shí)際

• 沒有進(jìn)行原因分析

• 進(jìn)行了原因分析但未實(shí)施對策

• 未檢查執(zhí)行效果

因此，在制定閉環(huán)策略或流程時應(yīng)充分考慮以上幾個問題。以下例子是按照漏洞來源制定的不同的閉環(huán)策略：

三、總結(jié)

企業(yè)攻擊面梳理已變得非常重要，攻擊面不清晰將導(dǎo)致嚴(yán)重后果。攻擊面風(fēng)險(xiǎn)管理一方面需持續(xù)加強(qiáng)企業(yè)攻擊面安全防護(hù)的監(jiān)管指導(dǎo)，強(qiáng)化攻擊面安全管理制度和流程，明確各相關(guān)主體的責(zé)任和管理要求，定期開展攻擊面梳理排查，加強(qiáng)對企業(yè)攻擊面安全防護(hù)工作的監(jiān)督。建立更健全攻擊面防護(hù)的立健全攻擊面防護(hù)的標(biāo)準(zhǔn)規(guī)范，推動政策引導(dǎo)、標(biāo)準(zhǔn)約束等方面的落地實(shí)踐，提升企業(yè)安全防護(hù)能力。

另一方面，需要持續(xù)強(qiáng)化攻擊面安全防護(hù)技術(shù)的研究和應(yīng)用。擴(kuò)展攻擊面分析研究場景，融合大數(shù)據(jù)分析、人工智能等先進(jìn)技術(shù)，全面開展企業(yè)攻擊面風(fēng)險(xiǎn)分析，提高攻擊面檢測排查能力以及應(yīng)急處置能力。結(jié)合持續(xù)身份認(rèn)證、細(xì)粒度訪問控制、數(shù)據(jù)流安全審計(jì)、數(shù)據(jù)隱私保護(hù)等安全機(jī)制賦能攻擊面預(yù)防檢測工作，提升對攻擊面利用類安全事件的響應(yīng)能力，還應(yīng)密切關(guān)注當(dāng)下復(fù)雜網(wǎng)絡(luò)安全形勢下攻擊面攻擊和防御兩方面的技術(shù)發(fā)展趨勢，從資產(chǎn)管理基礎(chǔ)出發(fā)，建立適應(yīng)各企業(yè)開展攻擊面安全治理的平臺和工具。

總的來說，攻擊面的應(yīng)對實(shí)踐方式應(yīng)是從攻擊面梳理著手，落地到資產(chǎn)梳理，同步建設(shè)網(wǎng)絡(luò)空間測繪及風(fēng)險(xiǎn)掃描能力，配合脆弱性評估對風(fēng)險(xiǎn)進(jìn)行整體評估，建設(shè)統(tǒng)一的風(fēng)險(xiǎn)視圖對風(fēng)險(xiǎn)進(jìn)行全局的把控，以及結(jié)合風(fēng)險(xiǎn)閉環(huán)工具及流程等最終對攻擊面進(jìn)行有效收斂。

總結(jié)

以上是生活随笔為你收集整理的攻击面分析及应对实践的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。