美國網(wǎng)絡(luò)安全審查委員會(huì)日前發(fā)布報(bào)告稱，2021年年底曝光的Log4j漏洞影響將會(huì)持續(xù)十年之久,。近年來,，越來越嚴(yán)峻的漏洞管理頑疾讓安全團(tuán)隊(duì)意識(shí)到,，企業(yè)對(duì)自身資產(chǎn)暴露情況和潛在風(fēng)險(xiǎn)知之甚少，攻擊面管理成為實(shí)戰(zhàn)驅(qū)動(dòng)階段的新型安全框架,，得到更多關(guān)注和認(rèn)同,。

　　近期，咨詢機(jī)構(gòu)賽迪顧問發(fā)布《中國攻擊面管理市場(chǎng)研究報(bào)告》,，安全419關(guān)注到,，報(bào)告選取華云安等國內(nèi)外攻擊面管理領(lǐng)域代表企業(yè)，分析了中國攻擊面管理市場(chǎng)的現(xiàn)狀和特點(diǎn),。我們邀請(qǐng)到華云安技術(shù)總監(jiān)吳璇,，立足于攻擊面管理的本土化洞察與實(shí)踐，探討攻擊面管理在新一代網(wǎng)絡(luò)安全防御體系中的能動(dòng)作用,。

　　國內(nèi)企業(yè)的攻擊面管理體系建設(shè)

　　尚處于初級(jí)階段

　　根據(jù)報(bào)告,，攻擊面管理是一種從攻擊者的角度對(duì)企業(yè)數(shù)字資產(chǎn)攻擊面進(jìn)行監(jiān)測(cè)發(fā)現(xiàn)、分析研判,、情報(bào)預(yù)警,、響應(yīng)處置和持續(xù)監(jiān)控的資產(chǎn)安全性管理方法。而攻擊面并不簡(jiǎn)單等同于漏洞,，是未經(jīng)授權(quán)即能訪問和利用企業(yè)數(shù)字資產(chǎn)的所有潛在入口的總和,，即存在可能會(huì)被攻擊者利用并造成損失的潛在風(fēng)險(xiǎn)。

　　吳璇表示,，任何安全理念或框架的提出和應(yīng)用,，都是順應(yīng)安全形勢(shì)和需求的變化而發(fā)展的。在網(wǎng)安法實(shí)施以前,，企業(yè)安全建設(shè)及管理普遍采用被動(dòng)響應(yīng)的方式,，以1994年發(fā)布并于2011年修訂的《中華人民共和國計(jì)算機(jī)系統(tǒng)安全保護(hù)條例》為開端，等保1.0及2.0廣泛應(yīng)用于各行業(yè)指導(dǎo)企業(yè)開展信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)整改,、等級(jí)測(cè)評(píng)等工作,。

　　隨著數(shù)字化基礎(chǔ)設(shè)施加速發(fā)展，企業(yè)面臨的攻擊面也隨之?dāng)U大,，尤其是國家自2016年以來舉行大型攻防演練活動(dòng),，推動(dòng)企業(yè)安全建設(shè)從合規(guī)驅(qū)動(dòng)階段逐步過渡到實(shí)戰(zhàn)驅(qū)動(dòng)階段。攻擊面管理強(qiáng)調(diào)“獲得攻擊者的視角”,，在真實(shí)的網(wǎng)絡(luò)空間攻防較量中,，成為一種更主動(dòng)、更立體,、更貼合現(xiàn)實(shí)需求的有利戰(zhàn)法,。

　　攻擊面管理總體框架

　　圖/《中國攻擊面管理市場(chǎng)研究報(bào)告》

　　遺憾的是，雖然攻擊面管理已逐步獲得認(rèn)可，但大部分企業(yè)仍處于接觸概念的初級(jí)階段,。根據(jù)華云安的市場(chǎng)觀察和實(shí)踐,，依賴基礎(chǔ)安全設(shè)備開展安全防御工作是目前國內(nèi)企業(yè)的普遍現(xiàn)狀，并未主動(dòng)進(jìn)行暴露面獲取,、脆弱點(diǎn)發(fā)現(xiàn)工作,，同時(shí)也不具備內(nèi)部和外部攻擊態(tài)勢(shì)以及攻擊影響評(píng)價(jià)能力。少部分企業(yè)具備初步的攻擊面挖掘與定位能力,，但可能無法區(qū)分出弱點(diǎn)的優(yōu)先級(jí),、無法測(cè)繪完整的攻擊面。

　　吳璇同時(shí)強(qiáng)調(diào),，攻擊面管理體系是一種開辟式革新的安全框架,，它更像一種新興的方法論，一個(gè)技術(shù)融合的架構(gòu),。底層基礎(chǔ)支撐包含檢測(cè)發(fā)現(xiàn),、分析研判、情報(bào)預(yù)警以及響應(yīng)處置等方面的技術(shù),，可以有效整合為網(wǎng)絡(luò)資產(chǎn)管理,、脆弱性評(píng)估、自動(dòng)化滲透測(cè)試,、漏洞優(yōu)先級(jí)評(píng)估,、擴(kuò)展威脅情報(bào)、擴(kuò)展監(jiān)測(cè)響應(yīng),、業(yè)務(wù)風(fēng)險(xiǎn)管理等安全能力,，并組合形成豐富的攻擊面管理產(chǎn)品。

　　因此,，許多踐行主動(dòng)防御,、以攻促防思想的企業(yè)已經(jīng)在一定程度上積累了相關(guān)安全能力，建設(shè)攻擊面管理體系并非將現(xiàn)有安全體系推翻重來,，而是在天然地融合,、盤活已有能力的基礎(chǔ)上，按照攻擊面管理成熟度階梯逐步推進(jìn),，通常是工具先行,，再補(bǔ)上平臺(tái)進(jìn)行集中管理，進(jìn)而擴(kuò)展到基于業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)的安全運(yùn)營,。

　　華云安攻擊面管理：

　　以原子化安全能力平臺(tái)提升安全防御價(jià)值

　　作為報(bào)告選取的代表性廠商,，華云安是國內(nèi)最早提出以攻擊者視角構(gòu)建攻擊面管理產(chǎn)品體系的廠商，吳璇表示,，華云安企業(yè)建設(shè)攻擊面管理體系的策略是構(gòu)建了一個(gè)基于云原生架構(gòu)的,、彈性,、冗余的高性能平臺(tái)，靈活提供能夠適配企業(yè)不同階段,、不同需求并不斷迭代的安全能力,。

　　吳璇介紹，平臺(tái)具有兩大核心技術(shù)——安全風(fēng)險(xiǎn)庫和人工智能引擎,。安全風(fēng)險(xiǎn)庫即為一個(gè)基于知識(shí)圖譜的擴(kuò)展威脅情報(bào)（XTI），通過結(jié)合人工智能和行為模式匹配技術(shù),，不斷地發(fā)現(xiàn)惡意活動(dòng),，為平臺(tái)輸送諸如漏洞信息、暗網(wǎng)信息,、威脅情報(bào),、攻擊樣本、武器載荷,、惡意組織等等兼具深度和廣度的數(shù)據(jù)與情報(bào)信息,。據(jù)了解，該安全風(fēng)險(xiǎn)庫目前已擁有30+個(gè)漏洞情報(bào)數(shù)據(jù)源,，1000+數(shù)據(jù)采集節(jié)點(diǎn),，50億+圖譜化實(shí)體關(guān)系模型，月處理情報(bào)信息10萬條,，幫助客戶實(shí)現(xiàn)威脅和攻擊面可視化管理,。并且隨時(shí)客戶覆蓋越來越廣泛、數(shù)據(jù)越來越豐富,，將實(shí)時(shí)更新成為平臺(tái)更加豐富,、更加強(qiáng)大的底層支撐。

　　人工智能引擎通過安全風(fēng)險(xiǎn)庫提供的豐富的數(shù)據(jù)和情報(bào)信息,，結(jié)合華云安長(zhǎng)期積累的漏洞挖掘,、攻防對(duì)抗能力，將人工智能與攻防對(duì)抗相結(jié)合,，實(shí)現(xiàn)集目標(biāo)分析,、戰(zhàn)法推演、路徑?jīng)Q策,、智能調(diào)度于一體的場(chǎng)景化AI模型,。目前已積累100+人工智能模型、4000+公開和自研漏洞PoC/Exp,、100+面向?qū)崙?zhàn)的單兵工具,，可以完成智能目標(biāo)識(shí)別、智能路徑?jīng)Q策,、智能戰(zhàn)法推演等功能,。相應(yīng)地,，通過安全能力的逐步疊加、AI模型的逐步豐富,，平臺(tái)的整體能力也將逐步提升,。

　　如此一來，平臺(tái)可以通過整合以及拆分,，來提供攻擊面管理體系中通用普適的,、滿足最小需求的功能模塊，如網(wǎng)絡(luò)資產(chǎn)管理,、脆弱性評(píng)估,、自動(dòng)化測(cè)試、漏洞優(yōu)先級(jí)評(píng)估,、擴(kuò)展威脅情報(bào),、擴(kuò)展為諧響應(yīng)等等。通過云原生的微服務(wù)技術(shù),，再結(jié)合不同客戶具體的業(yè)務(wù)需求,，靈活組合這些安全能力單元搭建成相適應(yīng)的解決方案。

　　對(duì)于客戶而言,，用一個(gè)平臺(tái)就覆蓋了所有安全能力,，這里的能力既包括整合既有的、滿足現(xiàn)有的,，也涵蓋未來通過安全風(fēng)險(xiǎn)庫不斷增強(qiáng)的共享能力,，和通過人工智能引擎不斷迭代的對(duì)抗能力。吳璇表示,，平臺(tái)集成了自適應(yīng)安全防御框架（IACD）,，因此也可以理解其為一個(gè)跨應(yīng)用場(chǎng)景的統(tǒng)一安全框架，通過不斷迭代的安全能力和自動(dòng)化的威脅響應(yīng),，來提升改變網(wǎng)絡(luò)安全防御的及時(shí)性和有效性,，敏捷且易用。

　　前面我們談到,，華云安通過該平臺(tái)進(jìn)行整合或拆分,，可以提供攻擊面管理體系中多種通用且普適的安全能力，對(duì)應(yīng)著不同的應(yīng)用場(chǎng)景,。報(bào)告亦提及,，企業(yè)建設(shè)攻擊面管理體系，通常是先推進(jìn)相關(guān)技術(shù)工具,。因此,，企業(yè)用戶更習(xí)慣站在業(yè)務(wù)場(chǎng)景的角度來思考攻擊面管理的價(jià)值，吳璇表示,，從產(chǎn)品視角來看攻擊面管理,，華云安準(zhǔn)確把握市場(chǎng)需求,，重新定義了資產(chǎn)管理、漏洞管理,、安全情報(bào)及響應(yīng)處置,，打造了面向網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）、外部攻擊面管理（EASM）,、入侵和攻擊模擬（BAS）等典型場(chǎng)景的產(chǎn)品解決方案,。

　　定位CAASM的靈洞·網(wǎng)絡(luò)資產(chǎn)攻擊面管理系統(tǒng)將企業(yè)網(wǎng)絡(luò)空間攻擊面管理過程中的攻擊者視角信息和防御者視角信息，通過安全分析引擎,、數(shù)據(jù)分析引擎進(jìn)行統(tǒng)一整合,，以主動(dòng)掃描、被動(dòng)監(jiān)測(cè),、情報(bào)預(yù)警和自動(dòng)化評(píng)估等多種手段及時(shí)發(fā)現(xiàn)內(nèi)外部數(shù)字資產(chǎn)攻擊面，并進(jìn)行分析評(píng)估和響應(yīng)處置,?？擅嫦蚣瘓F(tuán)型或多分支的機(jī)構(gòu)收斂網(wǎng)絡(luò)攻擊面，以及面向各行業(yè)物聯(lián)網(wǎng)泛終端管理資產(chǎn)攻擊面,，滿足安全監(jiān)管和漏洞管理的需求,。

　　定位EASM的靈知·互聯(lián)網(wǎng)情報(bào)監(jiān)測(cè)預(yù)警中心基于華云安安全風(fēng)險(xiǎn)庫、企業(yè)暴露面數(shù)據(jù)源,、托管服務(wù)及安全服務(wù)三類數(shù)據(jù)源,，以攻擊者思維定向梳理、發(fā)現(xiàn)企業(yè)未知資產(chǎn)暴露面及脆弱性,，通過“主動(dòng)+被動(dòng)+服務(wù)”形成具有即時(shí)性,、可定位性、可追溯性的暴露面測(cè)繪圖,，持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì),。可面向企業(yè)和組織機(jī)構(gòu)先于攻擊者發(fā)現(xiàn)和收斂外部攻擊面,。

　　定位BAS的靈刃·智能滲透與攻擊模擬系統(tǒng)通過自動(dòng)化和人工智能的技術(shù),，以攻擊者視角，模擬攻擊者可能進(jìn)行的攻擊鏈路,，測(cè)試系統(tǒng)的安全性和防御策略的有效性,。可滿足企業(yè)和組織常態(tài)化攻防演練的需求,，依賴少數(shù)安全專家即可完成對(duì)靶站環(huán)境的模擬攻擊測(cè)試,，仿照攻擊者意圖進(jìn)行智能對(duì)抗，基于實(shí)際實(shí)現(xiàn)風(fēng)險(xiǎn)進(jìn)行漏洞影響性評(píng)價(jià),。

　　以上產(chǎn)品的詳細(xì)功能和客戶價(jià)值可以參見安全419報(bào)道《華云安：用攻擊面管理實(shí)現(xiàn)持續(xù)數(shù)字風(fēng)險(xiǎn)管理的最佳實(shí)踐》,。

　　未來的攻擊面管理

　　需要更加智能化,、自動(dòng)化

　　在數(shù)字化的進(jìn)程中，網(wǎng)絡(luò)安全技術(shù)體系和應(yīng)用場(chǎng)景都在不停更迭,，最明顯的變化是網(wǎng)絡(luò)安全逐步由重視建設(shè)進(jìn)入到重視運(yùn)營的階段,。攻擊面管理作為安全運(yùn)營的創(chuàng)新技術(shù)，承載了安全行業(yè)的部分發(fā)展趨勢(shì)和用戶市場(chǎng)的高度期待,。

　　吳璇分析,，在攻擊面管理體系建設(shè)中，企業(yè)及機(jī)構(gòu)最迫切的需求是提高對(duì)風(fēng)險(xiǎn)的可見性,，并能做出及時(shí)有效的處置,。對(duì)應(yīng)的能力要求覆蓋檢測(cè)發(fā)現(xiàn)、分析研判,、情報(bào)預(yù)警和響應(yīng)處置各環(huán)節(jié),，但這絕非一日之功，自動(dòng)化,、智能化技術(shù)是攻擊面管理發(fā)展的一大趨勢(shì),。

　　以最基礎(chǔ)的發(fā)現(xiàn)、分類和管理所有資產(chǎn)來舉例,，資產(chǎn)的定義和邊界正隨著數(shù)字技術(shù)的普及,、虛擬化云場(chǎng)景的應(yīng)用無限擴(kuò)大，API,、數(shù)字暴露面等數(shù)字資產(chǎn),，影子資產(chǎn)、供應(yīng)鏈資產(chǎn)等未知資產(chǎn)成為關(guān)注重點(diǎn),。在資產(chǎn)的發(fā)現(xiàn)和呈現(xiàn)方式上,，引入機(jī)器學(xué)習(xí)、自然語言處理NLP等方法將有效縮短探測(cè)時(shí)間并提高識(shí)別準(zhǔn)確性,。

　　同理基于知識(shí)圖譜結(jié)合人工智能模型進(jìn)行海量數(shù)據(jù)分析,，可以有效提高威脅檢測(cè)和安全風(fēng)險(xiǎn)分析效率，并可根據(jù)結(jié)果通過SOAR自動(dòng)化技術(shù)進(jìn)行攻擊面的快速收斂和安全響應(yīng),，在顯著提升效率的同時(shí)降低人員成本的投入,。

　　也正是因?yàn)閺V大的腰部及中小企業(yè)客戶群體缺少做安全運(yùn)營的能力，網(wǎng)絡(luò)安全商業(yè)模式逐漸朝向“安全即服務(wù)”的形式發(fā)展,，攻擊面管理體系需要以低門檻,、更易用、靈活可配置的方式提供持續(xù)進(jìn)階的安全能力和一致的體驗(yàn),，智能化技術(shù),、自動(dòng)化編排、自適應(yīng)架構(gòu)無疑是未來的重要趨勢(shì),。同時(shí),，向跨領(lǐng)域,、跨技術(shù)平臺(tái)的新興場(chǎng)景的積極擴(kuò)展，與第三方供應(yīng)鏈安全,、業(yè)務(wù)風(fēng)險(xiǎn)管理的持續(xù)融合,，將使得攻擊面管理的覆蓋范圍和環(huán)節(jié)更加全面、完整,、精確,，真正基于真實(shí)的風(fēng)險(xiǎn)和業(yè)務(wù)發(fā)展需求建立起常態(tài)化的安全運(yùn)營體系。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<