当前的攻击手段层出不穷、应急响应多以补救措施为主,因此一种新的外部攻击面管理技术思路就此诞生:“以情报驱动构建外部攻击面管理技术,实现先于攻击者掌握攻击面”。
依据《中国攻击面管理市场研究报告》,外部攻击面管理是指完全基于攻击者视角来发现、监测、评估、响应、预警企业所有攻击面的技术。作为攻击面管理的重要组成,今天我们来探讨如何通过灵知·互联网威胁监测预警中心(Ai.Radar),基于情报视角进行外部攻击面管理。
1. 企业四大痛点推动外部攻击面管理发展
当前企业已经通过各种安全演练提升了安全意识,但是为啥在实战攻防中还是不堪一击呢?我们认为有以下几个问题:
l 安全建设有盲区
首先,企业产生安全事件的原因从来不是防住了什么,而是没有防住什么。究其根本,目前大多数企业受困于人员能力参差不齐、预算有限等原因,很难做到360度无死角的安全防护。所以在此局限的情况下,最重要的就是防御住攻击者最可能发起攻击的风险点。但企业并不能完全感知到企业所面临的攻击点。
l 企业无法确认未知资产
上一点说到了企业需要加强安全建设,才能有提高自身安全的能力。但是加强安全建设的前提是要清楚了解现在有哪些资产,这样才能知道安全设备需要架设在哪些资产前。目前,企业对于未知资产的防护还是短板。退一步讲,企业想对未知资产进行安全加固,企业是否能够准确而全面的发现未知资产?如果企业无法梳理清楚未知资产,那就无从谈起攻击面管理。
l 企业对已经存在安全威胁知之甚少
即使客户已经清楚拥有哪些资产,也未必清楚了解这些资产面临哪些安全风险。外部攻击面管理所定义的资产已经不仅仅包括IT资产、云资产、软硬件,还包括企业人员的社工信息、员工的在网络上的博客、github仓库、企业软硬件供应链等等。过往发生的安全事件屡屡告诉我们,网络安全防护最难的不是系统安全,而是“人”的安全意识。值得警示的是,很多安全事件的背后,都是来源于一个个微不足道的信息泄露。因此,新一代企业安全解决方案就需要从多维度发现企业面临的威胁。
l 企业无法做到事前预警,更多是事后应急
通常情况下,企业都是在某个安全事件爆发后,进行事后的应急响应。实际是新爆发的0day漏洞,都先会在小圈子进行小范围传播,传统的安全建设,其实很难收集到此类漏洞情报信息。当企业感知到有0ady、1day漏洞的时候,往往是攻击者已经利用漏洞对企业进行了攻击,已经造成了实质上的损失。只有在安全事件全面爆发之前,能够通过情报实现事前预警,并积极排查才能有效提升安全建设能力。
2. 外部攻击面呈现四大特点
华云安认为攻击面管理具备四大特性:攻击面的时效性,攻击面的跨系统性,攻击面的跨实体性,攻击态势是动态的。因此攻击面管理的新思路,是要先于攻击者掌握攻击面。
外部攻击面有几大特点:
l 攻击面是有时效性的
外部攻击面是不断变化的,例如80%-95%的Ip地址是短暂的,很可能只是短时间的暴露就会使攻击者拿到他想要的信息和数据。
l 攻击面是跨系统的
随着时间推移,攻击者可以尝试作为攻击目标的环境不仅限于传统IT,还可能是代码、敏感数据、移动应用、甚至IoT设备等。
l 攻击面是跨实体的
数字时代的攻击面不仅仅是自身软件缺陷,还包括弱口令、配置缺陷、泄漏数据、过期证书、钓鱼网站、供应链漏洞等多种类型。
l 攻击态势是动态的
管理者还需要以攻击者的视角了解每天外部攻击态势的变化情况,第一时间掌握新爆发的漏洞、恶意的文件标识、流行的攻击手法等。
3. 灵知,以情报驱动的外部攻击面管理
安全的本质是持续对抗。知己知彼才能百战百胜。以往安全建设是基于防守者的角度,尽可能的防守住攻击;而经过实战验证:基于攻击者视角的主动防守才能真正发现企业面临的网络安全风险,进而实现先于攻击者掌握攻击面,在这一过程中情报搜集便是首要的。
这里所指的情报并非是传统的“威胁情报”,而是“扩展情报”。在灵知·互联网威胁监测预警中心(Ai.Radar)所定义的情报不仅包含传统的“威胁情报”,更包括漏洞情报(例如漏洞的流行度、可利用性、可检测性、漏洞利用成功率等)、数据泄露情报(例如企业的某些敏感信息、配置文件被人公开在了github等)、安全事件情报(例如某0day漏洞爆发)、以及被攻击者大范围使用的情报。因此灵知定义的“扩展情报”已突破了IT层的边界,一切可能影响企业网络安全和政策安全的信息,都被称之为“扩展情报”。
华云安的灵知·互联网威胁监测预警中心(Ai.Radar),依托海量数据情报构建的互联网威胁监测平台,基于自然语言处理(NLP)和知识图谱(KG)技术对30多个数据源进行大数据处理捕获情报数据,灵知从发现情报到华云安情报库可查询,精准定位情报来源可以做到分钟级的情报响应。在情报分析方面,华云安将VPT技术融入其中,从CVSS、发布时间长度、可修复性、漏洞影响范围、漏洞利用条件等10+个维度对攻击态势进行评估,实现精准、全面、及时的发现外部攻击面。目前,灵知已支持定向情报订阅服务。
灵知是以黑盒视角模拟攻击者对企业进行过安全评估,将收集所有企业相关的“扩展情报”,按照实体类型和实体间关系,绘制企业暴露面,构建基于攻击者视角的企业资产知识图谱,同时基于企业暴露面,将自动化渗透测试与安全服务团队结合,绘制企业攻击面。同时将暴露面与攻击面进行关联分析,形成基于攻击者视角的企业暴露面与攻击面交错的全景图。