華云安·ASM技術(shù)篇：攻防視角下的攻擊面管理

　　一、前言

　　隨著網(wǎng)絡(luò)數(shù)字化轉(zhuǎn)型速度的加快，企業(yè)運營方式發(fā)生重大變化，網(wǎng)絡(luò)基礎(chǔ)設(shè)施更加復(fù)雜，使得攻擊面的規(guī)模不斷擴大，網(wǎng)絡(luò)空間安全承受多重考驗。為更全面的保障網(wǎng)絡(luò)安全、社會安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全，亟需通過多方協(xié)作的方案，幫助企業(yè)從全局視角提升安全防護(hù)水平和維護(hù)安全運營環(huán)境。

　　二、亦攻亦防——相滲透，共促進(jìn)

　　攻防演練幫助企業(yè)排查和分析攻擊面/風(fēng)險暴露面。攻防演練從排查系統(tǒng)安全隱患和保障網(wǎng)絡(luò)安全的角度出發(fā)，在有監(jiān)督的條件下，運用多種攻防技術(shù)模擬真實的網(wǎng)絡(luò)攻擊，完成對目標(biāo)系統(tǒng)安全性和運營保障有效性的評估。攻防演練也是構(gòu)建完備的安全策略的關(guān)鍵組成部分，能夠幫助組織識別網(wǎng)絡(luò)邊界內(nèi)人員、流程和技術(shù)的弱點，并查明安全漏洞，例如：安全架構(gòu)中可能存在的后門和其他訪問漏洞。

　　在攻防演練實戰(zhàn)中，核心是“攻”、“守”兩方的較量。攻擊方嘗試使用復(fù)雜的攻擊技術(shù)識別和利用網(wǎng)絡(luò)防御中的潛在弱點，是準(zhǔn)確評估公司預(yù)防、檢測和安全事件處置能力的關(guān)鍵組成部分。防守方由事件響應(yīng)人員組成，承擔(dān)識別、評估和響應(yīng)入侵的工作，其專家及團(tuán)隊是受檢方防御體系中的重要組成部分，能夠反映出防守方的安全防御和應(yīng)急響應(yīng)的能力。

　　攻防演練中攻擊方展開從攻擊面分析、邊界突破、橫向滲透到攻破目標(biāo)的攻擊過程，防守方則是從暴露面收斂、邊界防御、區(qū)域控制到強化控制的防守過程。但雙方不是僅一味的攻擊或防御，比如：攻擊方要防御來自防守方的蜜罐欺騙。攻防演練過程實質(zhì)是攻中有防，防中藏攻。在這場激烈的攻防博弈戰(zhàn)中雙方不斷增進(jìn)技術(shù)，改進(jìn)安全策略，聯(lián)合多方視角共同繪制了全面的安全網(wǎng)絡(luò)架構(gòu)圖，切實做到“以攻促防”。

　　三、攻擊面管理的必要性

　　在圍繞目標(biāo)系統(tǒng)制定實戰(zhàn)策略后，開展攻防實戰(zhàn)的首要步驟是攻擊面分析與暴露面收斂。攻擊方試圖通過信息收集獲取目標(biāo)可用的信息，將各攻擊點連接匯成攻擊面，攻擊面越廣意味著發(fā)現(xiàn)潛在漏洞的可能性越大，攻擊成功的概率也就越高。同樣地，防守方關(guān)注自身的暴露面，分析自身可能存在的安全風(fēng)險，然后通過安全方案最小化暴露面，以此降低安全風(fēng)險。當(dāng)防守方通過信息收集獲取的結(jié)果越全面，對自身安全狀況了解就越透徹，對抗的思路也越清晰，進(jìn)而找到降低安全風(fēng)險的最優(yōu)解決方案。攻擊者往往只需要利用目標(biāo)存在的某個脆弱點即可發(fā)動網(wǎng)絡(luò)攻擊，組織欲在攻擊者發(fā)現(xiàn)風(fēng)險之前消除或管理風(fēng)險，需了解自身安全現(xiàn)狀并探知未知風(fēng)險。為了應(yīng)對這些挑戰(zhàn)，組織必須實現(xiàn)完整的可視化和持續(xù)監(jiān)控。及時識別數(shù)字資產(chǎn)是強大威脅情報的重要組成部分，攻擊面管理可快速檢測、映射和分類本地和云IT等資產(chǎn)，大大降低數(shù)據(jù)泄露的風(fēng)險。攻擊面管理有助于預(yù)防和減輕來自以下的風(fēng)險：

　　1、遺留、物聯(lián)網(wǎng)和影子IT資產(chǎn)

　　2、人為錯誤和遺漏，如網(wǎng)絡(luò)釣魚和數(shù)據(jù)泄露

　　3、脆弱和過時的軟件

　　4、未知開源軟件(OSS)

　　5、對您所在行業(yè)的大規(guī)模攻擊

　　6、對您的組織的定向網(wǎng)絡(luò)攻擊

　　7、侵犯知識產(chǎn)權(quán)

　　8、從并購活動中繼承的IT

　　9、供應(yīng)商管理的資產(chǎn)

　　四、攻防視角解讀攻擊面管理

　　從攻擊方角度看，需要盡可能多的獲取攻擊面信息，方便后續(xù)開展武器化的攻擊活動;相反的，防守方則盡可能地隱藏暴露面信息，以便在攻擊初期截斷攻擊者后續(xù)的各類攻擊行為。將攻防演練映射到真實網(wǎng)絡(luò)環(huán)境下，企業(yè)可基于攻擊面管理(ASM)控制平臺，對包含、傳輸或處理敏感數(shù)據(jù)的外部數(shù)字資產(chǎn)的持續(xù)發(fā)現(xiàn)、清點、分類、優(yōu)先排序和安全監(jiān)控，了解資產(chǎn)上存在的風(fēng)險點，可以讓企業(yè)比攻擊者領(lǐng)先一步隱藏暴露的攻擊面。然而單一平臺的監(jiān)管能力具有一定的局限性，不能掌控所有安全事件，難以針對突發(fā)事件做出及時有效的處理。

　　華云安為解決上述安全管理難題，提出了一種“產(chǎn)品➕ 安全服務(wù)”輔助協(xié)作的攻擊面管理(ASM)產(chǎn)品體系，可避免網(wǎng)絡(luò)安全運營成本的過量投入，同時進(jìn)一步提升安全管理運營的有效性，幫助企業(yè)從攻防視角評估自身可能存在的網(wǎng)絡(luò)安全風(fēng)險和脆弱性。

　　產(chǎn)品為基礎(chǔ)

　　華云安擁有靈洞威脅與漏洞管理系統(tǒng)、靈刃智能化滲透攻防系統(tǒng)、靈鑒弱點識別與檢測系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品，為政府、金融、能源、教育、醫(yī)療等行業(yè)，提供集網(wǎng)絡(luò)安全情報采集分析能力、關(guān)鍵信息基礎(chǔ)設(shè)施防御能力、網(wǎng)絡(luò)安全反制能力于一體的新一代云原生安全產(chǎn)品解決方案。

　　服務(wù)為核心

　　華云安以實戰(zhàn)、實網(wǎng)、對抗、常態(tài)為目標(biāo)，從漏洞挖掘、滲透測試、威脅分析、情報預(yù)警、攻擊溯源、應(yīng)急處置、紅藍(lán)對抗、攻防演練、重保支撐、代碼審計、風(fēng)險評估、安全培訓(xùn)等多個維度覆蓋用戶安全場景，實現(xiàn)威脅管理、攻擊模擬、溯源分析、端點防御等一體化安全運營管理能力。華云安安全服務(wù)特色如下：

　　規(guī)范化的安全服務(wù)流程

　　安全服務(wù)流程特點在于全程化服務(wù)，即從前期準(zhǔn)備到結(jié)果輸出的全階段服務(wù)過程。技術(shù)人員會針對客戶的漏洞修補提供專業(yè)的建議和指導(dǎo)，保障發(fā)現(xiàn)漏洞、修補、驗證的全程跟蹤，每一次服務(wù)都會在前一次的基礎(chǔ)上尋找新的突破口，確保應(yīng)急響應(yīng)工作的全面規(guī)范化，力求最大程度地保證測試目標(biāo)的安全。

　　針對用戶不同的業(yè)務(wù)層面存在的安全漏洞及威脅，結(jié)合安全專家的分析經(jīng)驗提供一系列測試方法及流程，提出相應(yīng)的修補建議供用戶參考。

　　快速的安全服務(wù)周期

　　安全服務(wù)流程各環(huán)節(jié)都有固定的項目階段管理辦法，嚴(yán)格按照服務(wù)實施標(biāo)準(zhǔn)和原則，由專門的項目管理人員完成全周期的質(zhì)量監(jiān)控，充分調(diào)用資源，高效地解決項目中的各類問題，保證項目按質(zhì)按量按時地順利完成。

　　安全服務(wù)團(tuán)隊經(jīng)過長期的經(jīng)驗積累與技術(shù)沉淀，目前已具備成熟的服務(wù)運行體系，充分確保安全服務(wù)流程的高效運轉(zhuǎn)。

特別提醒：本網(wǎng)信息來自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。