當(dāng)前的攻擊手段層出不窮、應(yīng)急響應(yīng)多以補救措施為主,因此一種新的外部攻擊面管理技術(shù)思路就此誕生:“以情報驅(qū)動構(gòu)建外部攻擊面管理技術(shù),實現(xiàn)先于攻擊者掌握攻擊面”。
依據(jù)《中國攻擊面管理市場研究報告》,外部攻擊面管理是指完全基于攻擊者視角來發(fā)現(xiàn)、監(jiān)測、評估、響應(yīng)、預(yù)警企業(yè)所有攻擊面的技術(shù)。作為攻擊面管理的重要組成,今天我們來探討如何通過靈知·互聯(lián)網(wǎng)威脅監(jiān)測預(yù)警中心(Ai.Radar),基于情報視角進行外部攻擊面管理。
1.企業(yè)四大痛點推動外部攻擊面管理發(fā)展
當(dāng)前企業(yè)已經(jīng)通過各種安全演練提升了安全意識,但是為啥在實戰(zhàn)攻防中還是不堪一擊呢?我們認為有以下幾個問題:
? 安全建設(shè)有盲區(qū)
首先,企業(yè)產(chǎn)生安全事件的原因從來不是防住了什么,而是沒有防住什么。究其根本,目前大多數(shù)企業(yè)受困于人員能力參差不齊、預(yù)算有限等原因,很難做到360度無死角的安全防護。所以在此局限的情況下,最重要的就是防御住攻擊者最可能發(fā)起攻擊的風(fēng)險點。但企業(yè)并不能完全感知到企業(yè)所面臨的攻擊點。
? 企業(yè)無法確認未知資產(chǎn)
上一點說到了企業(yè)需要加強安全建設(shè),才能有提高自身安全的能力。但是加強安全建設(shè)的前提是要清楚了解現(xiàn)在有哪些資產(chǎn),這樣才能知道安全設(shè)備需要架設(shè)在哪些資產(chǎn)前。目前,企業(yè)對于未知資產(chǎn)的防護還是短板。退一步講,企業(yè)想對未知資產(chǎn)進行安全加固,企業(yè)是否能夠準(zhǔn)確而全面的發(fā)現(xiàn)未知資產(chǎn)?如果企業(yè)無法梳理清楚未知資產(chǎn),那就無從談起攻擊面管理。
? 企業(yè)對已經(jīng)存在安全威脅知之甚少
即使客戶已經(jīng)清楚擁有哪些資產(chǎn),也未必清楚了解這些資產(chǎn)面臨哪些安全風(fēng)險。外部攻擊面管理所定義的資產(chǎn)已經(jīng)不僅僅包括IT資產(chǎn)、云資產(chǎn)、軟硬件,還包括企業(yè)人員的社工信息、員工的在網(wǎng)絡(luò)上的博客、github倉庫、企業(yè)軟硬件供應(yīng)鏈等等。過往發(fā)生的安全事件屢屢告訴我們,網(wǎng)絡(luò)安全防護最難的不是系統(tǒng)安全,而是“人”的安全意識。值得警示的是,很多安全事件的背后,都是來源于一個個微不足道的信息泄露。因此,新一代企業(yè)安全解決方案就需要從多維度發(fā)現(xiàn)企業(yè)面臨的威脅。
? 企業(yè)無法做到事前預(yù)警,更多是事后應(yīng)急
通常情況下,企業(yè)都是在某個安全事件爆發(fā)后,進行事后的應(yīng)急響應(yīng)。實際是新爆發(fā)的0day漏洞,都先會在小圈子進行小范圍傳播,傳統(tǒng)的安全建設(shè),其實很難收集到此類漏洞情報信息。當(dāng)企業(yè)感知到有0ady、1day漏洞的時候,往往是攻擊者已經(jīng)利用漏洞對企業(yè)進行了攻擊,已經(jīng)造成了實質(zhì)上的損失。只有在安全事件全面爆發(fā)之前,能夠通過情報實現(xiàn)事前預(yù)警,并積極排查才能有效提升安全建設(shè)能力。
2.外部攻擊面呈現(xiàn)四大特點
華云安認為攻擊面管理具備四大特性:攻擊面的時效性,攻擊面的跨系統(tǒng)性,攻擊面的跨實體性,攻擊態(tài)勢是動態(tài)的。因此攻擊面管理的新思路,是要先于攻擊者掌握攻擊面。
外部攻擊面有幾大特點:
? 攻擊面是有時效性的
外部攻擊面是不斷變化的,例如80%-95%的Ip地址是短暫的,很可能只是短時間的暴露就會使攻擊者拿到他想要的信息和數(shù)據(jù)。
? 攻擊面是跨系統(tǒng)的
隨著時間推移,攻擊者可以嘗試作為攻擊目標(biāo)的環(huán)境不僅限于傳統(tǒng)IT,還可能是代碼、敏感數(shù)據(jù)、移動應(yīng)用、甚至IoT設(shè)備等。
? 攻擊面是跨實體的
數(shù)字時代的攻擊面不僅僅是自身軟件缺陷,還包括弱口令、配置缺陷、泄漏數(shù)據(jù)、過期證書、釣魚網(wǎng)站、供應(yīng)鏈漏洞等多種類型。
? 攻擊態(tài)勢是動態(tài)的
管理者還需要以攻擊者的視角了解每天外部攻擊態(tài)勢的變化情況,第一時間掌握新爆發(fā)的漏洞、惡意的文件標(biāo)識、流行的攻擊手法等。
3.靈知,以情報驅(qū)動的外部攻擊面管理
安全的本質(zhì)是持續(xù)對抗。知己知彼才能百戰(zhàn)百勝。以往安全建設(shè)是基于防守者的角度,盡可能的防守住攻擊;而經(jīng)過實戰(zhàn)驗證:基于攻擊者視角的主動防守才能真正發(fā)現(xiàn)企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險,進而實現(xiàn)先于攻擊者掌握攻擊面,在這一過程中情報搜集便是首要的。
這里所指的情報并非是傳統(tǒng)的“威脅情報”,而是“擴展情報”。在靈知·互聯(lián)網(wǎng)威脅監(jiān)測預(yù)警中心(Ai.Radar)所定義的情報不僅包含傳統(tǒng)的“威脅情報”,更包括漏洞情報(例如漏洞的流行度、可利用性、可檢測性、漏洞利用成功率等)、數(shù)據(jù)泄露情報(例如企業(yè)的某些敏感信息、配置文件被人公開在了github等)、安全事件情報(例如某0day漏洞爆發(fā))、以及被攻擊者大范圍使用的情報。因此靈知定義的“擴展情報”已突破了IT層的邊界,一切可能影響企業(yè)網(wǎng)絡(luò)安全和政策安全的信息,都被稱之為“擴展情報”。
華云安的靈知·互聯(lián)網(wǎng)威脅監(jiān)測預(yù)警中心(Ai.Radar),依托海量數(shù)據(jù)情報構(gòu)建的互聯(lián)網(wǎng)威脅監(jiān)測平臺,基于自然語言處理(NLP)和知識圖譜(KG)技術(shù)對30多個數(shù)據(jù)源進行大數(shù)據(jù)處理捕獲情報數(shù)據(jù),靈知從發(fā)現(xiàn)情報到華云安情報庫可查詢,精準(zhǔn)定位情報來源可以做到分鐘級的情報響應(yīng)。在情報分析方面,華云安將VPT技術(shù)融入其中,從CVSS、發(fā)布時間長度、可修復(fù)性、漏洞影響范圍、漏洞利用條件等10+個維度對攻擊態(tài)勢進行評估,實現(xiàn)精準(zhǔn)、全面、及時的發(fā)現(xiàn)外部攻擊面。目前,靈知已支持定向情報訂閱服務(wù)。
靈知是以黑盒視角模擬攻擊者對企業(yè)進行過安全評估,將收集所有企業(yè)相關(guān)的“擴展情報”,按照實體類型和實體間關(guān)系,繪制企業(yè)暴露面,構(gòu)建基于攻擊者視角的企業(yè)資產(chǎn)知識圖譜,同時基于企業(yè)暴露面,將自動化滲透測試與安全服務(wù)團隊結(jié)合,繪制企業(yè)攻擊面。同時將暴露面與攻擊面進行關(guān)聯(lián)分析,形成基于攻擊者視角的企業(yè)暴露面與攻擊面交錯的全景圖。
