攻击面管理从2021年提出,经历两年发展,当前进入产品研发与深化落地阶段。有效的攻击面管理不止需要外部攻击面的资产纳管,同时需要考虑外部攻击面、网络空间资产攻击面的融合实现,兼顾风险管理的兼容和融合导入,在考虑既往建设投入防止重复建设的基础上,以整体安全保障观实现综合攻击面管理。在攻守双视角的基础上,面对日渐消融的安全边界,通过闭合风险管理与攻击面管理实现一体化安全运营,成为企业组织未来实现资产、脆弱性、风险联合管控的一条可行路径。
Gartner于 2021年提出网络资产攻击面管理(Cyber Asset Attack Surface Management)与外部攻击面管理(External Attack Surface Management),自此有关攻击面管理(ASM-Attack Surface Management)主题的技术与安全产品开始不断涌现[1]。2022年与2023年,Gartner持续两度于其发布的安全运营技术成熟度曲线(Hype Cycle for Security Operations)报告中发布了相关内容。ASM是风险管理、资产管理、漏洞管理、网络空间测绘相关概念发展后又一深刻影响到资产与漏洞管理模式的技术理念,开启了依托ASM进行资产和漏洞管理的新的时代[2]。
01、攻击面管理的内涵
根据美国国家标准与技术研究院(NIST)有关攻击面的定义,攻击面是系统、系统元素或环境边界上的一组攻击点,攻击者可以尝试利用并进入该系统、系统元素或环境,对该系统、系统元素或环境产生负面影响或窃取数据[3]。
Gartner发布的相关报告中直接引用了NIST有关攻击面的定义,并且明确了ASM 涉及人员、流程、技术和服务的组合,其用于持续发现、清点和管理组织的资产,相关资产涉及内部和外部,并会引发数字风险。ASM通过整合工具和服务,通过增强管理的透明度,从而降低被恶意威胁利用脆弱性的可能性。ASM由三个主要功能支持:网络资产攻击面管理 (CAASM)、外部攻击面管理 (EASM) 和数字风险保护服务 (DRPS)[2]。
此外,第三方机构IDC 认为,传统漏洞管理技术执行的是内部扫描,ASM 平台则扫描互联网,从企业外部视角和攻击者视角发现可能被网络攻击者利用的系统脆弱性。其中,资产发现是所有 ASM 解决方案的共同点,以提供对所有面向互联网的资产的可见性,包括本地部署的以及云上已知和未知资产。ASM平台能够基于风险的评分帮助安全团队确定行动的优先次序,最大程度降低安全风险[5]。
当前于产品侧,国内更倾向于将ASM分为外部攻击面即EASM和网络资产攻击面CAASM。EASM强调外部攻击者视角,针对暴露在公网的资产,CAASM则强调内外部视角,通过资产主动与被动探测的方式来解决持续的资产可见性和漏洞风险。DRPS于国内进行产品化的进程中,逐渐与EASM融合,涉及的功能包含了暗网泄露监控、对外开放的应用与数据滥用监控、账户盗用相关功能。
02、攻击面管理的价值
攻击面管理较传统风险管理,最为独特的转变,是其从防守者转换为攻击者视角审视组织的资产、脆弱性、威胁,其维度高于资产管理以及网络空间测绘,同时在风险评估的框架下,通过再度融入威胁和脆弱性,以保护数字资产为目的而进行一系列诸如资产核查、威胁发现相关工作。其不只是从管理范围上进行了延展,同时也从安全效果上得到了验证。
我们一般防守视角下的资产、脆弱性、风险管理偏向于二元攻防思维下的对抗,如图一所示。防守方通过安全建设,实施纵深防御(DID),以保护资产不被攻击,或被攻击后损失可控。而与之对抗的攻击方,是通过突破层层防御体系,实现核心资产的获取、破坏,图一所示路径1是防守视角下对安全攻击的设想与认知。
图1 二元攻防思维下的二维攻击路径
对于攻击者,一般需要收集防守侧相关信息,通过“踩点”的方式进行不断试探性尝试,并最终实现规划攻击路径与攻击方案的设计。但攻击者获得信息以及利用信息的方式远大于防守视角的范畴,尤其越是需要伏击等待激活的场景,往往会优先考虑绕过DID,采取迂回、静默、社工等非正面直接对抗方式进行攻击,所以突破传统防守视角而从更综合的视角认知攻击非常必要。
以CAASM内网资产为例,攻击者视角下的资产不但包含硬件设备、云主机、操作系统、应用系统、Web应用,还包含IP 地址、端口、证书、域名、中间件,甚至囊括了组织机构运营和对外发布的公众号、小程序、App,公开对外共享的API。概括来说,只要是可操作的对象,不管是硬件、软件,还是实体、属性,均可以称为网络空间资产。所以回归至NIST对于攻击面的定义,组织机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产均应当在纳管范围。基于资产范围的扩大解释,从组织层面,攻击面管理既提出了能够核查识别已经掌握的数字资产信息的能力,还需要具备探测、发现、识别新增资产或是游离资产的能力。
图2 攻击与防守视角下资产的差异
围绕组织未掌握资产的核查与发现,除内网资产,不受组织管控的外部资产、主动公开信息、泄露数据也是攻击者关注的对象。而这也是EASM专注的领域,如图2所示,攻击者会专注关联信息的广泛收集,如企业组织架构、人员信息、商务信息、影子资产(Shadow IT)信息,甚至通过暗网交易获取更多数据,从中识别安全漏洞、供应链安全问题,完成诸如锁定攻击目标、社工攻击方案设计等一系列操作。
图3暴露盲区下的三维攻击路径
攻击者视角下对资产与攻击路径的理解,可以通过升维的方式进行解释。如图三所示,三维空间下的攻防,防守一侧的DID会因为暴露盲区的存在而被绕过彻底失效。而暴露盲区最常见的两大类资产,一为影子资产,即企业组织本该管理但游离于管控外的资产;二为已经泄露的数字资产,但企业组织还未通过可查信息渠道获得相关反馈,更无从评估确定应对相关风险的方案。
聚焦在攻击者视角去审视网络空间内不同形态种类的资产所组成的攻击暴露面,其极大地强调了各类资产的可观测性。虽然国内产品化的进程中,关注了CAASM与EASM的区分,但围绕ASM不能单独基于“内、外”的概念强行划分,尤其是当各类数据、信息涌入,进行安全运营平台化建设后,如何将相关数据进行关联运算,是ASM支持实现“可运营”目标的关键内容。而保持与既有安全管理、风险管理、态势感知等平台和技术的一体化融合,不但利于管理的便利性,防止“依赖采购产品实现安全建设”的片面做法,而且可以真正凸显ASM于总体安全保障的价值。
03、综合风险闭合框架
在阐述风险管理闭合框架前,需要理解暴露面管理、脆弱性管理、攻击面管理的差异。暴露面属于顶层概念,其包容了攻击面、脆弱性、安全验证三项关键内容。传统脆弱性核查的能力不可或缺,尤其是以漏洞扫描和漏洞管理为代表的关键基础性工作,并不因ASM的出现直接被取代,其为ASM的关键协同内容,也是网络安全运营工作的基础。与此同时不能因为存在漏洞管理能力,直接转化为ASM,其底层对情报分析挖掘的粒度以及中层剧本、顶层场景需要众多研发投入。鉴于综合ASM的必要性,在脆弱性两端关联的基础上,即防守视角下的风险管理与攻击视角下的攻击面管理,我们提出了风险闭合框架,如图四所示。
图4 风险闭合框架
风险管理的标准场景,是围绕业务连续性管理(BCM)进行的业务连续性流程(BCP)以及灾难恢复流程(DRP)设计,而攻击面管理的标准场景是CAASM与EASM,通过共享两者底层能力,在共有的基础上,我们于底层通过拓展资产范围、关联拓展脆弱性核查与情报挖掘,与攻击面涉及的攻击触点实现衔接,实现研发体系、安全体系、运维体系的资产全程识别管控,其要求底层数据、系统的关联打通,避免重复建设与投资浪费,更重要的是防止多点数据造成的数据孤岛现象,无法融合产生价值。而框架中层纳入了资产生命周期管理,保证现实业务的兼容性,也提供了灵活的攻击视角场景化扩展,从而支持顶层一体化安全运营的实现。
闭合框架下的资产管理不但要求纳管传统安全台账涉及的IT资产,还需具备终端App、小程序的管理,并能够持续逐步实现类似API资产,甚至诸如工业网络、车联网的新型资产的识别与纳管。而传统资产与漏洞扫描工具以及渗透测试服务均成为辅助实现核查的底层能力,而且需要融合未知资产、影子资产探测的能力,在关联威胁情报信息的基础上,保证影子资产与信息泄露发现的有效性。
此外,传统围绕诸如CVSS漏洞评级的场景,需逐步向支持漏洞优先级技术(VPT)演进升级,通过关联业务重要性与场景信息,动态地将需要修复的漏洞排定优先级,进而支持在统一的平台上进行排序和处理。即闭合后的风险管理与攻击面管理框架,其兼容调和了风险管理业务,实现了双视角的融合,通过闭合以弥补视角差缺陷,所提供的能力更利于管理流程的衔接与底层功能的贯通,从而支持安全决策的有效性提升。
04、攻击面验证
在正常围绕暴露面管理的要求中,会明确涉及暴露面验证的功能。而ASM不能因为属于暴露面管理的下位概念只聚焦于识别发现、评估通知的功能,同样应当具备攻击面验证核查以及攻击面收敛的功能。从技术角度,融合验证收敛能够提升识别验证与处置的效果,防止大范围误报、海量告警无从处理的情况发生。从管理角度,攻击面验证也保证了流程的闭环,避免只告警待整改、不整改的情况发生。与此同时,从集成可行性角度出发,企业组织可以在既有安全建设的基础上,也可采取模块化的模式,经裁剪纵向分层次融合ASM的功能,而非从数据采集、清洗分析、关联计算等,一直到顶层功能全部采购,需要考虑避免重复建设浪费,也需考虑底层安全能力的复用协同。
图5 攻击面验证逻辑
攻击验证应当整合平台自动化验证以及安全服务涉及的专家验证,因自动化验证能够尽速缩减验证范围,提升人员验证的效率。人员验证可以基于自动化验证结果,也可基于专门场景,如国家攻防赛事期间的攻击面验证。根据如上验证结果,可以推进下一步策略下发,进行攻击面收敛。
05、攻击面收敛
攻击面融合验证与收敛后的示意图,如图六所示。经过收敛后的网络环境与攻击面能够,使得风险接受区的边界更加明确稳定。
图6 攻击面收敛
针对内部可控资产,攻击面收敛涉及漏洞资产及已攻陷资产的确认与下线,但其前提首先需要基于对硬件、系统、应用、中间件等关键信息的精确管理与有效更新维护,并且需要基于业务重要程度对以上资产进行标记和常态化监控。在攻击发生时,使用关键信息筛选并迅速定位涉险资产,通过自动化脚本、PoC验证等进行漏洞的精准匹配,在基于业务优先级的基础上下发响应策略。同时攻击面收敛应当联动管理流程,通过下发通知、工单等方式,实现业务、安全、运维多部门的信息推送与流程协作。
对于外部半可控、不可控资产,需要基于外部资产、数据所处的环境和平台差异,采取不同的攻击面收敛策略,且必须匹配实际可行的应急响应方案与管理流程。如针对网络云盘、网盘等共享平台类的资产,尤其涉及开发团队使用的代码平台、文档文库共享平台,能够通过申诉联系平台方进行下线处置,并于平日进行安全意识宣贯,对内保证人员对外发代码、文档合规性的认知符合组织要求。而商务与关联平台服务提供方或CSP签订服务级别协议时,明确攻击下线的流程与响应时效;针对公众号、小程序、托管程序、托管数据,能够对接指定机构,启动业务下线、API 接口关闭、数据封存、调查取证的流程,并且对内具备明确的业务连续性管理流程,保证关联业务下线后干系人能够适时获知并承担相应责任。
此外,针对暗网交易监控获得的情报,需要具备验证泄露的真实性能力,能够评估泄露的影响,并匹配关联公共关系维护甚至监管机构对接流程,防止事态的进一步扩大。其次根据组织安全团队的能力,或采购外部服务的方式,进行泄露的核查与路径溯源性取证,以针对相关个人进行问责,并支持后续监管机构的质询。
参考文献:
[1] Pete Shoard, Shilpi Handa, Hype Cycle for Security Operations 2021, Gartner.
[2] Andrew Davies, Hype Cycle for Security Operations 2022, Gartner
[3] https://csrc.nist.gov/glossary/term/attack_surface
[4] Austin Zhao,IDC Innovators: 中国攻击面管理(ASM)技术,2023.