攻擊面管理從2021年提出,經歷兩年發展,當前進入產品研發與深化落地階段。有效的攻擊面管理不止需要外部攻擊面的資產納管,同時需要考慮外部攻擊面、網絡空間資產攻擊面的融合實現,兼顧風險管理的兼容和融合導入,在考慮既往建設投入防止重復建設的基礎上,以整體安全保障觀實現綜合攻擊面管理。在攻守雙視角的基礎上,面對日漸消融的安全邊界,通過閉合風險管理與攻擊面管理實現一體化安全運營,成為企業組織未來實現資產、脆弱性、風險聯合管控的一條可行路徑。
Gartner于 2021年提出網絡資產攻擊面管理(Cyber Asset Attack Surface Management)與外部攻擊面管理(External Attack Surface Management),自此有關攻擊面管理(ASM-Attack Surface Management)主題的技術與安全產品開始不斷涌現[1]。2022年與2023年,Gartner持續兩度于其發布的安全運營技術成熟度曲線(Hype Cycle for Security Operations)報告中發布了相關內容。ASM是風險管理、資產管理、漏洞管理、網絡空間測繪相關概念發展后又一深刻影響到資產與漏洞管理模式的技術理念,開啟了依托ASM進行資產和漏洞管理的新的時代[2]。
01、攻擊面管理的內涵
根據美國國家標準與技術研究院(NIST)有關攻擊面的定義,攻擊面是系統、系統元素或環境邊界上的一組攻擊點,攻擊者可以嘗試利用并進入該系統、系統元素或環境,對該系統、系統元素或環境產生負面影響或竊取數據[3]。
Gartner發布的相關報告中直接引用了NIST有關攻擊面的定義,并且明確了ASM 涉及人員、流程、技術和服務的組合,其用于持續發現、清點和管理組織的資產,相關資產涉及內部和外部,并會引發數字風險。ASM通過整合工具和服務,通過增強管理的透明度,從而降低被惡意威脅利用脆弱性的可能性。ASM由三個主要功能支持:網絡資產攻擊面管理 (CAASM)、外部攻擊面管理 (EASM) 和數字風險保護服務 (DRPS)[2]。
此外,第三方機構IDC 認為,傳統漏洞管理技術執行的是內部掃描,ASM 平臺則掃描互聯網,從企業外部視角和攻擊者視角發現可能被網絡攻擊者利用的系統脆弱性。其中,資產發現是所有 ASM 解決方案的共同點,以提供對所有面向互聯網的資產的可見性,包括本地部署的以及云上已知和未知資產。ASM平臺能夠基于風險的評分幫助安全團隊確定行動的優先次序,最大程度降低安全風險[5]。
當前于產品側,國內更傾向于將ASM分為外部攻擊面即EASM和網絡資產攻擊面CAASM。EASM強調外部攻擊者視角,針對暴露在公網的資產,CAASM則強調內外部視角,通過資產主動與被動探測的方式來解決持續的資產可見性和漏洞風險。DRPS于國內進行產品化的進程中,逐漸與EASM融合,涉及的功能包含了暗網泄露監控、對外開放的應用與數據濫用監控、賬戶盜用相關功能。
02、攻擊面管理的價值
攻擊面管理較傳統風險管理,最為獨特的轉變,是其從防守者轉換為攻擊者視角審視組織的資產、脆弱性、威脅,其維度高于資產管理以及網絡空間測繪,同時在風險評估的框架下,通過再度融入威脅和脆弱性,以保護數字資產為目的而進行一系列諸如資產核查、威脅發現相關工作。其不只是從管理范圍上進行了延展,同時也從安全效果上得到了驗證。
我們一般防守視角下的資產、脆弱性、風險管理偏向于二元攻防思維下的對抗,如圖一所示。防守方通過安全建設,實施縱深防御(DID),以保護資產不被攻擊,或被攻擊后損失可控。而與之對抗的攻擊方,是通過突破層層防御體系,實現核心資產的獲取、破壞,圖一所示路徑1是防守視角下對安全攻擊的設想與認知。
圖1 二元攻防思維下的二維攻擊路徑
對于攻擊者,一般需要收集防守側相關信息,通過“踩點”的方式進行不斷試探性嘗試,并最終實現規劃攻擊路徑與攻擊方案的設計。但攻擊者獲得信息以及利用信息的方式遠大于防守視角的范疇,尤其越是需要伏擊等待激活的場景,往往會優先考慮繞過DID,采取迂回、靜默、社工等非正面直接對抗方式進行攻擊,所以突破傳統防守視角而從更綜合的視角認知攻擊非常必要。
以CAASM內網資產為例,攻擊者視角下的資產不但包含硬件設備、云主機、操作系統、應用系統、Web應用,還包含IP 地址、端口、證書、域名、中間件,甚至囊括了組織機構運營和對外發布的公眾號、小程序、App,公開對外共享的API。概括來說,只要是可操作的對象,不管是硬件、軟件,還是實體、屬性,均可以稱為網絡空間資產。所以回歸至NIST對于攻擊面的定義,組織機構所擁有的一切可能被潛在攻擊者利用的設備、信息、應用等數字資產均應當在納管范圍。基于資產范圍的擴大解釋,從組織層面,攻擊面管理既提出了能夠核查識別已經掌握的數字資產信息的能力,還需要具備探測、發現、識別新增資產或是游離資產的能力。
圖2 攻擊與防守視角下資產的差異
圍繞組織未掌握資產的核查與發現,除內網資產,不受組織管控的外部資產、主動公開信息、泄露數據也是攻擊者關注的對象。而這也是EASM專注的領域,如圖2所示,攻擊者會專注關聯信息的廣泛收集,如企業組織架構、人員信息、商務信息、影子資產(Shadow IT)信息,甚至通過暗網交易獲取更多數據,從中識別安全漏洞、供應鏈安全問題,完成諸如鎖定攻擊目標、社工攻擊方案設計等一系列操作。
圖3暴露盲區下的三維攻擊路徑
攻擊者視角下對資產與攻擊路徑的理解,可以通過升維的方式進行解釋。如圖三所示,三維空間下的攻防,防守一側的DID會因為暴露盲區的存在而被繞過徹底失效。而暴露盲區最常見的兩大類資產,一為影子資產,即企業組織本該管理但游離于管控外的資產;二為已經泄露的數字資產,但企業組織還未通過可查信息渠道獲得相關反饋,更無從評估確定應對相關風險的方案。
聚焦在攻擊者視角去審視網絡空間內不同形態種類的資產所組成的攻擊暴露面,其極大地強調了各類資產的可觀測性。雖然國內產品化的進程中,關注了CAASM與EASM的區分,但圍繞ASM不能單獨基于“內、外”的概念強行劃分,尤其是當各類數據、信息涌入,進行安全運營平臺化建設后,如何將相關數據進行關聯運算,是ASM支持實現“可運營”目標的關鍵內容。而保持與既有安全管理、風險管理、態勢感知等平臺和技術的一體化融合,不但利于管理的便利性,防止“依賴采購產品實現安全建設”的片面做法,而且可以真正凸顯ASM于總體安全保障的價值。
03、綜合風險閉合框架
在闡述風險管理閉合框架前,需要理解暴露面管理、脆弱性管理、攻擊面管理的差異。暴露面屬于頂層概念,其包容了攻擊面、脆弱性、安全驗證三項關鍵內容。傳統脆弱性核查的能力不可或缺,尤其是以漏洞掃描和漏洞管理為代表的關鍵基礎性工作,并不因ASM的出現直接被取代,其為ASM的關鍵協同內容,也是網絡安全運營工作的基礎。與此同時不能因為存在漏洞管理能力,直接轉化為ASM,其底層對情報分析挖掘的粒度以及中層劇本、頂層場景需要眾多研發投入。鑒于綜合ASM的必要性,在脆弱性兩端關聯的基礎上,即防守視角下的風險管理與攻擊視角下的攻擊面管理,我們提出了風險閉合框架,如圖四所示。
圖4 風險閉合框架
風險管理的標準場景,是圍繞業務連續性管理(BCM)進行的業務連續性流程(BCP)以及災難恢復流程(DRP)設計,而攻擊面管理的標準場景是CAASM與EASM,通過共享兩者底層能力,在共有的基礎上,我們于底層通過拓展資產范圍、關聯拓展脆弱性核查與情報挖掘,與攻擊面涉及的攻擊觸點實現銜接,實現研發體系、安全體系、運維體系的資產全程識別管控,其要求底層數據、系統的關聯打通,避免重復建設與投資浪費,更重要的是防止多點數據造成的數據孤島現象,無法融合產生價值。而框架中層納入了資產生命周期管理,保證現實業務的兼容性,也提供了靈活的攻擊視角場景化擴展,從而支持頂層一體化安全運營的實現。
閉合框架下的資產管理不但要求納管傳統安全臺賬涉及的IT資產,還需具備終端App、小程序的管理,并能夠持續逐步實現類似API資產,甚至諸如工業網絡、車聯網的新型資產的識別與納管。而傳統資產與漏洞掃描工具以及滲透測試服務均成為輔助實現核查的底層能力,而且需要融合未知資產、影子資產探測的能力,在關聯威脅情報信息的基礎上,保證影子資產與信息泄露發現的有效性。
此外,傳統圍繞諸如CVSS漏洞評級的場景,需逐步向支持漏洞優先級技術(VPT)演進升級,通過關聯業務重要性與場景信息,動態地將需要修復的漏洞排定優先級,進而支持在統一的平臺上進行排序和處理。即閉合后的風險管理與攻擊面管理框架,其兼容調和了風險管理業務,實現了雙視角的融合,通過閉合以彌補視角差缺陷,所提供的能力更利于管理流程的銜接與底層功能的貫通,從而支持安全決策的有效性提升。
04、攻擊面驗證
在正常圍繞暴露面管理的要求中,會明確涉及暴露面驗證的功能。而ASM不能因為屬于暴露面管理的下位概念只聚焦于識別發現、評估通知的功能,同樣應當具備攻擊面驗證核查以及攻擊面收斂的功能。從技術角度,融合驗證收斂能夠提升識別驗證與處置的效果,防止大范圍誤報、海量告警無從處理的情況發生。從管理角度,攻擊面驗證也保證了流程的閉環,避免只告警待整改、不整改的情況發生。與此同時,從集成可行性角度出發,企業組織可以在既有安全建設的基礎上,也可采取模塊化的模式,經裁剪縱向分層次融合ASM的功能,而非從數據采集、清洗分析、關聯計算等,一直到頂層功能全部采購,需要考慮避免重復建設浪費,也需考慮底層安全能力的復用協同。
圖5 攻擊面驗證邏輯
攻擊驗證應當整合平臺自動化驗證以及安全服務涉及的專家驗證,因自動化驗證能夠盡速縮減驗證范圍,提升人員驗證的效率。人員驗證可以基于自動化驗證結果,也可基于專門場景,如國家攻防賽事期間的攻擊面驗證。根據如上驗證結果,可以推進下一步策略下發,進行攻擊面收斂。
05、攻擊面收斂
攻擊面融合驗證與收斂后的示意圖,如圖六所示。經過收斂后的網絡環境與攻擊面能夠,使得風險接受區的邊界更加明確穩定。
圖6 攻擊面收斂
針對內部可控資產,攻擊面收斂涉及漏洞資產及已攻陷資產的確認與下線,但其前提首先需要基于對硬件、系統、應用、中間件等關鍵信息的精確管理與有效更新維護,并且需要基于業務重要程度對以上資產進行標記和常態化監控。在攻擊發生時,使用關鍵信息篩選并迅速定位涉險資產,通過自動化腳本、PoC驗證等進行漏洞的精準匹配,在基于業務優先級的基礎上下發響應策略。同時攻擊面收斂應當聯動管理流程,通過下發通知、工單等方式,實現業務、安全、運維多部門的信息推送與流程協作。
對于外部半可控、不可控資產,需要基于外部資產、數據所處的環境和平臺差異,采取不同的攻擊面收斂策略,且必須匹配實際可行的應急響應方案與管理流程。如針對網絡云盤、網盤等共享平臺類的資產,尤其涉及開發團隊使用的代碼平臺、文檔文庫共享平臺,能夠通過申訴聯系平臺方進行下線處置,并于平日進行安全意識宣貫,對內保證人員對外發代碼、文檔合規性的認知符合組織要求。而商務與關聯平臺服務提供方或CSP簽訂服務級別協議時,明確攻擊下線的流程與響應時效;針對公眾號、小程序、托管程序、托管數據,能夠對接指定機構,啟動業務下線、API 接口關閉、數據封存、調查取證的流程,并且對內具備明確的業務連續性管理流程,保證關聯業務下線后干系人能夠適時獲知并承擔相應責任。
此外,針對暗網交易監控獲得的情報,需要具備驗證泄露的真實性能力,能夠評估泄露的影響,并匹配關聯公共關系維護甚至監管機構對接流程,防止事態的進一步擴大。其次根據組織安全團隊的能力,或采購外部服務的方式,進行泄露的核查與路徑溯源性取證,以針對相關個人進行問責,并支持后續監管機構的質詢。
參考文獻:
[1] Pete Shoard, Shilpi Handa, Hype Cycle for Security Operations 2021, Gartner.
[2] Andrew Davies, Hype Cycle for Security Operations 2022, Gartner
[3] https://csrc.nist.gov/glossary/term/attack_surface
[4] Austin Zhao, IDC Innovators: 中國攻擊面管理(ASM)技術,2023.
