5月23日,2022 ISC 万人元宇宙序幕以云峰会的形式开启,峰会聚焦全球数字化转型之下网络空间的前沿趋势、创新方向、焦点问题。华云安产品总监王超在“实战驱动下的安全运营论坛”就华云安专注的攻击面管理领域研究与实践进行分享。
数字化转型加速,安全运营面临新挑战
近年来,国家正在推动数字化进程。特别是在当前疫情的影响下,数字化转型的进程正在加速,远程的办公、协同正在逐渐成为日常。而数字化转型正在带来新的安全挑战,王超总结出以下几点,一是战场的变化,网络系统随着数字化的建设较之传统网络更加发达、复杂;二是对手的变化,安全问题由以往的窃取信息、电信诈骗等黑客行为,上升为国家级的网络对抗;三是攻击的变化,传统的单点突破正发展成包括勒索软件、APT攻击、供应链攻击等在内的多点开花;最后是目标的变化,除了原有的服务器外,数据、拖库、业务应用等也正转变为攻击目标。
新的安全挑战致使实战化攻防场景中,传统的安全运营不堪一击,针对这一问题,王超做出了以下分析:
1. 数字化转型。数字时代的资产除了传统的IT资产,也包括loT、传感器、网站域名、数字证书、敏感数据等模块,资产类别及资产体量在增加。
2. 漏洞的多样化。数字时代的漏洞不仅是软件缺陷,还包括弱口令、配置缺陷、泄露数据、过期证书、供应链漏洞等,这些也催生了黑客攻击手段的多样化。
3. 攻击者更快。防御者需要完整的安全体系,而攻击者只需要突破一点;防御者需要24小时在线,而攻击者只需要攻其不备。
4. 安全盲区。在数字化背景下,由于数字业务开展的更多,我们并不能监管到所有数字资产,导致安全盲区的出现,而安全盲区诞生出的影子资产容易被攻击者利用。
基于攻击者视角驱动运营决策
随后,针对安全运营的技术变革及其带来的挑战,王超提出,要基于攻击者视角驱动运营决策:
1. 像攻击者一样思考。需要以攻击者视角监测数字资产,分析攻击者可能利用的弱点,并制订对应的防守策略。
2. 关注重要的漏洞。据报告显示,每年攻击者实际利用的漏洞仅占所有漏洞的5%,为避免防守投入冗余,应利用弱点优先级技术重点关注重要资产漏洞和具备可检测性、可利用性的漏洞,以及所有新爆发的1day漏洞等。
3. 检验防御有效性。传统以合规为基础的安全运营,在实战攻防场景下不堪一击,需要以自动化技术和攻击模拟技术,以攻击者视角持续不断的检验现有安全机制的有效性。
4. 更快的响应速度。协同联动各种安全能力,提高安全事件的响应速度,在漏洞被利用前修复漏洞。
攻击面管理框架体系
攻击面管理最早由Gartner在2019年纳入安全运营技术曲线中,并且在2021年首次集成为一个完整的技术栈,提出攻击面管理包括数字资产、网络空间的攻击面管理(简称CAASM)以及外部资产的攻击面管理(简称EASM)。
关于攻击面的定义,王超认为可利用的暴露面加上攻击者制造的攻击向量,等于攻击面。因此,攻击面管理要重点关注两点:一是了解哪些暴露面是可利用的,并且对可利用暴露面进行收敛;二是针对攻击向量的控制。
完整的攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景三层。基础技术为支撑攻击面管理的技术能力集合,多种技术组合形成攻击面管理的能力体系,根据不同的业务场景需求采用不同的能力组合,形成不同的应用场景下的攻击面管理解决方案,为用户提供有针对性的攻击面闭环管理能力。
华云安构建的下一代数字安全防御体系
在分享的最后,王超介绍了华云安正在构建的基于攻击面管理的下一代数字安全防御体系:
1. 资产清点。通过知识图谱技术,进行包括数字资产、业务资产、网络资产在内的全面的资产清点,识别最完整的资产暴露面。
2. 自动化测试。通过多维度的自动化测试,进行全面的漏洞检测以及安全有效性的检测,以攻击者视角绘制完整的资产攻击面。
3. 优先级评估。华云安推出了灵洞这款产品进行基于风险的漏洞管理,将精力聚焦在有价值的漏洞修复上。
4. 情报预警。新一代的扩展威胁情报,先于攻击者发现弱点和漏洞,并做出实时的预警推送。
5. 快速处置。通过简化的工作流集成,缩短漏洞响应时间。
华云安将持续致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。