欢迎访问必发888官网进入

  1. 1
  2. 2

联系我们

必发888官网进入

联系人:
余先生
QQ:
476480588
电话:
15185147777
企业:
必发888官网进入
地址:
贵州省贵阳市南明区花果园彭家湾花果园项目C区第9栋(贵阳国际中心3号)2单元22层8号

必发888官网进入

必发88官方网站:攻击面管理(ASM)技术详解和实现

发布时间:2022-06-27 05:05:14 来源:必发bf88唯一官网登录 作者:必发88官方网站

  攻击面管理(Attack Surface Management)的概念已经出现三年以上,但是在过去的 2021 年,整个安全行业突然迅速接纳了它。一方面,这表示行业对实战型攻防技术的认知有了快速提升,另一方面,这意味着攻击面管理(ASM)技术理念是符合当前场景化刚需的。

  首先,从理论层面对攻击面管理进行说明。Gartner 在《Hype Cycle for Security Operations,2021》中共有 5 个相关技术点:外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)、漏洞评估(VA)、弱点 / 漏洞优先级技术(VPT)。

  对于功能堆叠的刚性防御体系来说,立体化攻击就如同降维打击的存在。所以需要获得攻击者的视角,进行动态的主动防御。

  继《2021 安全运营技术成熟度曲线》之后,Gartner 又在《新兴技术:外部攻击面管理关键洞察》中进行了一系列详细的描述:

  资产的识别及清点:识别未知的(影子)数字资产(如网站、IP、域名、SSL 证书和云服务),并实时维护资产列表;

  漏洞修复及暴露面管控:将错误配置、开放端口和未修复漏洞根据紧急程度、严重性来进行风险等级分析以确定优先级;

  云安全与治理:识别组织的公共资产,跨云供应商,以改善云安全和治理,EASM 可以提供全面的云资产清单,补充现有的云安全工具;

  供应链 / 第三方风险评估:评估组织的供应链和第三方有关的脆弱性及可见性,以支持评估组织的暴露风险;

  网络资产攻击面管理(CAASM)则倾向于以智能化的手段更高效地识别组织内部的资产和漏洞。CAASM 是一种新兴的技术,专注于使安全团队能够解决持久的资产可见性和漏洞的挑战。它使组织能够通过 API 与现有工具的集成、对合并后的数据进行查询、识别安全控制中的漏洞和差距的范围,以及修复问题,来查看所有资产(包括内部和外部)的风险。(以上是 Gartner 的定义,从笔者的角度来看,这更像是一个更强大的、进行智能化拓展后的漏洞管理系统,也许未来漏洞管理系统的功能模型就将是 CAASM。)

  到 2023 年底,超过 50% 的 DRPS 供应商将增加 EASM 功能,作为其数字足迹功能的自然扩展。

  由于国内某些概念的误导,DRPS 的技术纲要并没有正确的被传达,为了更有效的说明 ASM 应该包含的技术点,有必要对它进行技术点说明。

  Gartner:通过提供技术与服务,保护组织的关键数字资产和数据免受外部威胁。这些解决方案提供了对开放(表面)网络、社交媒体、暗网和深网的可视性,以识别关键资产的潜在威胁,并提供有关威胁参与者、其进行恶意活动的策略和流程的背景信息。

  至此,可以看出,ASM(攻击面管理)包含 EASM(外部攻击面管理)和 CAASM(网络资产攻击面管理),EASM 与 DRPS(数字风险保护服务)有拓展和重叠之处,它们都需要 VA(漏洞评估)和 VPT(弱点 / 漏洞优先级技术)的功能和技术支持。

  以上虽然对攻击面管理进行了理论构架和其构成要素分析,但作为产品实现仍然过于抽象。接下来以产品设计的角度来分析攻击面管理应该具备的功能模型。

  网络空间测绘技术诞生已有 10 年历史,技术成熟,这里不再进行详细说明,需要说明的是,它必须从全互联网角度进行测绘,以保证不会遗漏组织的外部 IT 资产和影子资产。

  为了保证组织对应 IT 资产的全面和准确(尤其是对于影子资产),以及为子公司和有关联(M&A)的企业进行评估,必须优先进行组织架构的识别和映射。

  这个概念很好理解,就是要将相关组织、子公司、关联组织等与 IT 资产进行映射。但是从实践的角度出发,传统的网络空间测绘的引擎设计逻辑需要进行调整,以目前先进行盲测再使用关键字识别、icon 识别和标签等方法,很难做到全面和准确的映射。

  供应链攻击在最近一年对全球造成了很大影响,需要对组织使用的产品、第三方组件,供应商进行尽可能的探测、识别和风险暴露面的发现。

  这里提到的威胁情报,并非狭义上定义的 僵木蠕威胁情报 ,而是更广义的,会对业务和数据造成直接影响的情报源的探测和主动情报收集。随着《数据安全法》和《个人信息保护法》的颁布和执行,该部分既涉及到组织自身的业务影响,也涉及到合法合规问题,所以本章仅列出内容,在下述章节详细讨论。这里特别说明的是,该部分必须包含 对暗网的可视性 。

  将组织与其不断发展的外部和内部 IT 系统及数字足迹进行映射、与漏洞情报数据进行关联,并持续发现业务数据和代码泄露、组织和人员信息的泄露、以及对供应链的攻击面进行检测,通过对全球开放网络和非公开网络的情报源、组织自身业务上下文等进行大量数据采集和弱点优先级分析,为组织输出攻击面情报,以提供给组织更高级别的主动防御。

  该部分将阐述组织业务数据泄露、内部文件或与组织相关的文档和文案在外部暴露、组织相关的业务系统和软件的代码和配置泄露等情况下,对组织带来的风险、以及应该如何发现和如何进行智能优先级排序建议。

  组织的业务数据、内部文件、项目信息、财务数据、核心图纸、软件代码、业务系统配置等等,有可能因为内部人员的工作习惯(例如将文件上传到某些互联网服务器或者网盘上),也有可能因为开发人员的误操作(例如 Github 权限设置不当),或者被恶意窃取(例如黑客通过技术手段获得、或者某些未授权人员通过其他违规手段获得)等,传播在互联网或者暗网上。这可能导致组织内部机密外泄,或者导致黑客利用获取的代码和配置文件获知业务系统漏洞等。其带来的风险通常是直接且隐蔽的。

  以往,由于网络攻击导致的安全事件,从数据泄露到组织发现的间隔时间,平均在 87 天,而由于人员误操作导致的安全事件的时间间隔,平均在 207 天。在此期间,组织相关的泄露数据都面临着极高的被他人利用的风险,越早发现,风险暴露窗口越短,风险才会大幅度降低。

  具体来说,应该由组织名称拓展到子组织和相关组织,然后对各级组织相关业务、系统、数据、产品、项目等进行智能关键信息获取。

  数据泄露的重要泄露源就是公开网络上的威胁源,其可能包含来自天眼查、企查查、Gitlib、Github、CSDN、百度网盘、、微博等等,对各个威胁源、社交媒体、云存储的覆盖面越广,查找到的数据越多,才能越全面地发现风险。

  非公开网络主要是深网和暗网,数据泄露的重要传播源是暗网交易市场,其特点是数量庞大、活跃度差异大、获取方式隐秘、交易完全匿名等,对其进行实时更新与监控的难度较大,但极其重要。

  无论是组织存储的业务数据中的个人隐私数据,还是组织员工(尤其是组织的重要角色)的个人隐私数据泄露,都是非常严重的事情。它不仅会对组织带来业务上的风险,还会引来品牌和名誉的损失,更重要的是这可能会触犯《网络安全法》《数据安全法》和《个人信息保护法》。

  个人隐私数据一旦泄露,尤其是手机号、邮箱、密码、卡号等信息的泄露,极易成为黑客利用的首选手段,可能会导致钓鱼或其他社会工程学攻击;

  如果组织员工的个人隐私数据,尤其是组织 VIP 的个人隐私数据泄露,攻击者很有可能直接通过登录其邮箱、CRM 系统、OA 系统、业务系统、钉钉、VPN 等,获取组织敏感信息甚至核心数据(在不进行其他技术攻击和渗透的情况下即可完成)。攻击者还可以进行其他扩展性攻击,比如对个人账单、银行流水、消费记录、住宿记录等进行查询和其他处置,它的影响是极其深远的;

  相对于其获取难度而言,个人隐私数据泄露的告警难度极高。在暗网中,流传着大量个人隐私数据(其聚合数据也被称为 社工库 ),对于专业的攻击者来说,获得它们的难度和成本并不高。但是对于防御者来说,受制于法律法规的限制、因引起当事人不悦而导致无法授权、以及避免数据被恶意使用等情况的考虑,具备此能力的情报厂商很难将此类情报完整地提供给相关组织。而相关组织的安全管理员无论是否获得了完整的情报信息,在设法通知隐私数据被泄露的本人进行处置时,往往沟通过程会受到诸多质疑、不悦、无视、挑战等态度,导致处置起来比系统漏洞的难度更高。

  情报触达率低、使用率低,并不代表它们不存在。事实上,大量个人信息和隐私数据正在暗网中长期流传。根据 Identity Theft Resource Center (ITRC)2021 提供的数据,仅在 2021 年泄露的个人隐私数据,影响人员已高达 18 亿以上,造成的直接损失在 265 至 270 亿美元,而它们从泄露到发现的平均时间长达 112 天。对此,欧盟根据《通用数据保护条例》(GDPR)在 2021 年第三季度开出的罚单就超过了 2020 年全年的 3 倍以上,达到 11.4 亿美元。