作者：vivo 互聯(lián)網(wǎng)安全團(tuán)隊(duì)-? PengQiankun

本文結(jié)合CASSM和EASM兩個(gè)新興的攻擊面管理技術(shù)原理對(duì)資產(chǎn)管理，綜合視圖（可視化），風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)修復(fù)流程四個(gè)關(guān)鍵模塊進(jìn)行簡(jiǎn)述，為企業(yè)攻擊面安全風(fēng)險(xiǎn)管理提供可落地的建設(shè)思路參考。

一、攻擊面概述

攻擊面是企業(yè)所有網(wǎng)絡(luò)資產(chǎn)在未授權(quán)的情況下便能被訪問(wèn)和利用的所有可能入口的總和。

隨著物聯(lián)網(wǎng)、5G 、云計(jì)算等技術(shù)發(fā)展和社會(huì)數(shù)字化轉(zhuǎn)型持續(xù)發(fā)展，當(dāng)下的網(wǎng)絡(luò)空間資產(chǎn)的范圍和類型也發(fā)生了巨大變化，同時(shí)未來(lái)將會(huì)有更多的新興資產(chǎn)和服務(wù)出現(xiàn)，如何去建立更加合適高效的安全技術(shù)體系來(lái)管理企業(yè)面臨的攻擊面安全風(fēng)險(xiǎn)將是安全運(yùn)營(yíng)工作面臨的新挑戰(zhàn)。

行業(yè)趨勢(shì)：

Gartner在 2021 年 7 月 14 日發(fā)布《 2021 安全運(yùn)營(yíng)技術(shù)成熟度曲線》中明確提到了攻擊面的兩個(gè)新興技術(shù)：網(wǎng)絡(luò)資產(chǎn)攻擊面管理（ Cyber assetattack surface management）和外部攻擊面管理（ External Attack Surface Management），目標(biāo)是為了讓安全團(tuán)隊(duì)對(duì)暴露資產(chǎn)以及攻擊面進(jìn)行科學(xué)高效的管理，從攻擊者視角審視企業(yè)網(wǎng)絡(luò)資產(chǎn)可能存在的攻擊面及脆弱性，建立對(duì)企業(yè)網(wǎng)絡(luò)攻擊面從檢測(cè)發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的全流程閉環(huán)安全分析管理機(jī)制。

從安全運(yùn)營(yíng)技術(shù)成熟度曲線可以看出，CAASM 和 EASM 還處于啟動(dòng)期，這兩種技術(shù)雖然剛剛誕生，還處于概念階段，卻已經(jīng)引起了外界的廣泛關(guān)注。

• CAASM

CAASM是一項(xiàng)新興技術(shù)，旨在幫助安全團(tuán)隊(duì)解決持續(xù)的資產(chǎn)暴露和漏洞問(wèn)題。它使組織能夠通過(guò)與現(xiàn)有工具的API集成來(lái)查看所有資產(chǎn)(包括內(nèi)部和外部)，查詢合并的數(shù)據(jù)，識(shí)別安全控制中的漏洞和漏洞的范圍，并糾正問(wèn)題。其取代傳統(tǒng)手動(dòng)收集資產(chǎn)信息和繁瑣的流程來(lái)提高資產(chǎn)管理的效率。

另外，CAASM通過(guò)確保整個(gè)環(huán)境中的安全控制、安全態(tài)勢(shì)和資產(chǎn)暴露得到理解和糾正，使安全團(tuán)隊(duì)能夠改善基本的安全能力。部署CAASM的組織減少了對(duì)自產(chǎn)系統(tǒng)和手工收集流程的依賴，并通過(guò)手工或自動(dòng)化工作流來(lái)彌補(bǔ)差距。此外，這些組織可以通過(guò)提高可視化安全工具的覆蓋率來(lái)優(yōu)化可能有陳舊或缺失數(shù)據(jù)的記錄源系統(tǒng)。

綜合來(lái)說(shuō)對(duì)于組織有以下優(yōu)點(diǎn)：

對(duì)組織控制下的所有資產(chǎn)的全面可見性，以了解攻擊表面區(qū)域和任何現(xiàn)有的安全控制缺口。

更快速的合規(guī)審計(jì)報(bào)告通過(guò)更準(zhǔn)確，及時(shí)、全面的資產(chǎn)以及安全控制報(bào)告。

資產(chǎn)綜合視圖，減少人力投入。

• EASM

EASM是指為發(fā)現(xiàn)面向外部提供服務(wù)的企業(yè)資產(chǎn)，系統(tǒng)以及相關(guān)漏洞而部署的集流程，技術(shù)，管理為一體的服務(wù)，比如服務(wù)器，憑證，公共云服務(wù)配置錯(cuò)誤，三方合作伙伴軟件代碼漏洞等。EASM提供的服務(wù)里會(huì)包含DRPS，威脅情報(bào)，三方風(fēng)險(xiǎn)評(píng)估以及脆弱性評(píng)估，以及供應(yīng)商能力評(píng)估等細(xì)分服務(wù)。

EASM主要包含5個(gè)模塊：

監(jiān)控，持續(xù)主動(dòng)掃描互聯(lián)網(wǎng)與領(lǐng)域相關(guān)的環(huán)境（如云服務(wù)，面向外部的內(nèi)部基礎(chǔ)設(shè)施）以及分布式系統(tǒng)。

資產(chǎn)發(fā)現(xiàn)，發(fā)現(xiàn)并測(cè)繪面向外部的資產(chǎn)與系統(tǒng)

分析，分析資產(chǎn)是否存在風(fēng)險(xiǎn)或脆弱點(diǎn)。

優(yōu)先級(jí)評(píng)估，對(duì)風(fēng)險(xiǎn)及脆弱性進(jìn)行優(yōu)先級(jí)評(píng)估并告警。

修復(fù)建議，提供對(duì)應(yīng)風(fēng)險(xiǎn)以及脆弱性的修復(fù)建議。

從行業(yè)趨勢(shì)來(lái)看，攻擊面管理已經(jīng)逐漸走入了各大安全廠商的商業(yè)化戰(zhàn)略里，這不僅體現(xiàn)了這一技術(shù)的市場(chǎng)需求急迫性同時(shí)體現(xiàn)了一定的商業(yè)化實(shí)踐價(jià)值。

從EASM和CAASM的技術(shù)定義中我們不難發(fā)現(xiàn)，其核心內(nèi)容可以歸納為4個(gè)模塊，分別是資產(chǎn)管理，綜合視圖（可視化），風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)修復(fù)流程。

這四個(gè)模塊恰好與我們目前的安全能力建設(shè)思路不謀而合，因此后續(xù)主要圍繞這四個(gè)模塊來(lái)總結(jié)我們?cè)诠裘骘L(fēng)險(xiǎn)管理上的實(shí)踐心得。

二、攻擊面風(fēng)險(xiǎn)管理落地實(shí)踐

行業(yè)內(nèi)通常把攻擊面管理定義為從攻擊者的角度對(duì)企業(yè)網(wǎng)絡(luò)攻擊面進(jìn)行檢測(cè)發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的資產(chǎn)安全管理方法，其最大特性就是以外部視角來(lái)審視企業(yè)網(wǎng)絡(luò)資產(chǎn)可能存在的攻擊面及脆弱性。

攻擊面主要體現(xiàn)在企業(yè)暴露給攻擊者各個(gè)層面的安全弱點(diǎn)，攻擊者可利用不同手段實(shí)現(xiàn)攻擊行為。因此對(duì)攻擊面風(fēng)險(xiǎn)有效管理的“First of all”就是資產(chǎn)管理。

2.1 安全資產(chǎn)管理模塊

做資產(chǎn)管理之前需要先對(duì)全網(wǎng)資產(chǎn)進(jìn)行梳理，確認(rèn)資產(chǎn)范圍和類型框架。

2.1.1 安全資產(chǎn)梳理

資產(chǎn)梳理的思路按照業(yè)務(wù)，系統(tǒng)，主機(jī)以及其他四個(gè)維度來(lái)進(jìn)行梳理。

• 業(yè)務(wù)維度

  包含域名，URL，公網(wǎng)IP，依賴包管理資產(chǎn)以及應(yīng)用資產(chǎn)。

• 系統(tǒng)維度

  包含API接口，公網(wǎng)IP內(nèi)部映射關(guān)系，公網(wǎng)端口內(nèi)部映射關(guān)系，內(nèi)網(wǎng)集群VIP-LVS，內(nèi)網(wǎng)應(yīng)用集群VIP-Nginx，內(nèi)網(wǎng)端口資產(chǎn)，內(nèi)網(wǎng)IP資源狀態(tài)資產(chǎn)。

• 主機(jī)維度

  包含主機(jī)IP資產(chǎn)，容器資產(chǎn)，k8s資產(chǎn)，主機(jī)端口資產(chǎn)，中間件資產(chǎn)，數(shù)據(jù)庫(kù)資產(chǎn)，操作系統(tǒng)資產(chǎn)，賬號(hào)信息資產(chǎn)，進(jìn)程信息資產(chǎn)，其他應(yīng)用服務(wù)資產(chǎn)。

• 其他維度

  包含資產(chǎn)補(bǔ)丁狀態(tài)，資產(chǎn)負(fù)責(zé)人及所屬組織。

由于篇幅問(wèn)題，以上僅包含二級(jí)項(xiàng)目，其實(shí)二級(jí)以下根據(jù)不同的企業(yè)場(chǎng)景還具有更多的分項(xiàng)，例如從vivo互聯(lián)網(wǎng)來(lái)說(shuō)，業(yè)務(wù)維度的域名我們細(xì)分了11項(xiàng)，包括管理后臺(tái)域名，公網(wǎng)埋點(diǎn)域名，埋點(diǎn)SDK域名，DB域名，主機(jī)域名，信管域名，內(nèi)網(wǎng)接口域名，公網(wǎng)接口域名，線上業(yè)務(wù)域名，靜態(tài)資源域名，其他域名等。

資產(chǎn)梳理沒(méi)有一個(gè)萬(wàn)能公式，最佳實(shí)踐是從實(shí)際的基礎(chǔ)架構(gòu)出發(fā)結(jié)合業(yè)務(wù)場(chǎng)景來(lái)對(duì)全網(wǎng)資產(chǎn)定好框架。

2.1.2 構(gòu)建可靠的資產(chǎn)信息來(lái)源庫(kù)

資產(chǎn)庫(kù)主要有三個(gè)數(shù)據(jù)來(lái)源。

• CMDB：主要的資產(chǎn)信息供應(yīng)渠道

• HIDS：補(bǔ)充主機(jī)相關(guān)資產(chǎn)信息，如進(jìn)程，賬號(hào)，網(wǎng)絡(luò)鏈接等資產(chǎn)信息

• VCS：主動(dòng)資產(chǎn)信息采集用以補(bǔ)充資產(chǎn)庫(kù)

通常安全資產(chǎn)庫(kù)的建設(shè)往往會(huì)面臨技術(shù)上的難點(diǎn)，比如資產(chǎn)信息采集工具的適配性，采集工具的穩(wěn)定性，對(duì)生產(chǎn)造成影響的概率最小性，資產(chǎn)完整的可靠性等等，但技術(shù)問(wèn)題往往并不難解決，借助開源工具，商業(yè)化產(chǎn)品甚至自研工具都能解決絕大部分問(wèn)題，而真正難以頭疼的是與資產(chǎn)歸屬方（業(yè)務(wù)方）的大量復(fù)雜的溝通確認(rèn)工作。

從以往的最佳實(shí)踐來(lái)看，從業(yè)務(wù)方的視角來(lái)建設(shè)資產(chǎn)庫(kù)，宣貫業(yè)務(wù)價(jià)值能夠更順暢地開展資產(chǎn)信息采集工作，例如資產(chǎn)管理系統(tǒng)可以繪制整個(gè)企業(yè)內(nèi)多個(gè)團(tuán)隊(duì)的合并資產(chǎn)視圖，其可包括業(yè)務(wù)團(tuán)隊(duì)、運(yùn)維團(tuán)隊(duì)、安全團(tuán)隊(duì)等，大家都可以從這個(gè)視圖中查詢到自己關(guān)心的信息，通過(guò)價(jià)值宣導(dǎo)來(lái)激發(fā)協(xié)作方的支撐意愿。

2.1.3 建設(shè)資產(chǎn)主動(dòng)發(fā)現(xiàn)能力

在資產(chǎn)管理中，往往存在資產(chǎn)主動(dòng)上報(bào)監(jiān)管難，資產(chǎn)變更頻率高而產(chǎn)生的資產(chǎn)信息滯后以及一些非法資產(chǎn)接入的問(wèn)題，因此需要建設(shè)資產(chǎn)主動(dòng)發(fā)現(xiàn)能力來(lái)補(bǔ)全這一塊的資產(chǎn)信息，有條件的話可以以此作為資產(chǎn)變審計(jì)體系的輸入源。

• 流量解析：通過(guò)流量分析識(shí)別隱匿資產(chǎn)、老化資產(chǎn)、影子資產(chǎn)等資產(chǎn)信息。

• 掃描工具：IAST/DAST/SAST，NMAP工具等對(duì)資產(chǎn)進(jìn)行識(shí)別補(bǔ)充以及維持。

• 安全日志及告警：梳理無(wú)標(biāo)資產(chǎn)對(duì)資產(chǎn)庫(kù)進(jìn)行補(bǔ)充。

另外，需要注意的是，在資產(chǎn)主動(dòng)發(fā)現(xiàn)過(guò)程中需要謹(jǐn)慎考慮掃描工具或引擎的工作頻率以及工作時(shí)間段，避免影響生產(chǎn)。

2.2 綜合視圖模塊

建設(shè)綜合視圖并不是為了繪圖而繪圖，它是經(jīng)過(guò)一定的數(shù)據(jù)分析并結(jié)合業(yè)務(wù)場(chǎng)景的資產(chǎn)關(guān)聯(lián)鏈測(cè)繪，具備良好的邏輯性及可讀性的綜合視圖，無(wú)論是直接使用者（安全運(yùn)營(yíng)團(tuán)隊(duì)）還是非直接使用者（業(yè)務(wù)或運(yùn)維）都能夠通過(guò)綜合視圖獲取各自需要的資產(chǎn)信息。

2.2.1 資產(chǎn)關(guān)系鏈測(cè)繪

資產(chǎn)關(guān)聯(lián)能力建設(shè)的目的是去測(cè)繪資產(chǎn)關(guān)系鏈從而將系統(tǒng)各模塊的安全事件進(jìn)行關(guān)聯(lián)，全鏈路分為兩條分別是公網(wǎng)IP/域名到內(nèi)網(wǎng)主機(jī)的關(guān)系映射鏈以及內(nèi)網(wǎng)主機(jī)到內(nèi)網(wǎng)IP/域名以及公網(wǎng)IP/域名的關(guān)系映射鏈。

2.2.2 資產(chǎn)全局視圖

針對(duì)以上兩個(gè)資產(chǎn)強(qiáng)相關(guān)模塊，如果以一年期來(lái)建設(shè)的話，可以參考以下建設(shè)計(jì)劃：

2.3 風(fēng)險(xiǎn)評(píng)估模塊

2.3.1 風(fēng)險(xiǎn)發(fā)現(xiàn)

風(fēng)險(xiǎn)發(fā)現(xiàn)來(lái)源包含兩大塊：

• 縱深防御體系：一體化的縱深防御協(xié)防平臺(tái)提供基礎(chǔ)的告警源數(shù)據(jù)。

• 主動(dòng)掃描：以防守方視角對(duì)全網(wǎng)資產(chǎn)脆弱性進(jìn)行定期掃描，一般搭建自動(dòng)化掃描系統(tǒng)定期持續(xù)對(duì)全網(wǎng)設(shè)施/節(jié)點(diǎn)進(jìn)行漏洞掃描。

• 人工滲透測(cè)試：從攻擊方視角組織人力配合工具從外部對(duì)信息資產(chǎn)進(jìn)行脆弱性測(cè)試。

• 基線合規(guī)掃描：解決內(nèi)部基線合規(guī)問(wèn)題，如弱密碼，root權(quán)限，外發(fā)管控等。

通過(guò)搭建自動(dòng)化漏洞掃描平臺(tái)對(duì)以及掃描任務(wù)進(jìn)行集中管理，相關(guān)的安全人員對(duì)掃描產(chǎn)生的各類風(fēng)險(xiǎn)發(fā)現(xiàn)做進(jìn)一步的確認(rèn)，若確認(rèn)是漏洞的風(fēng)險(xiǎn)就會(huì)通過(guò)自動(dòng)創(chuàng)建漏洞工單，并將創(chuàng)建的漏洞工單同步到漏洞管理系統(tǒng)進(jìn)行后續(xù)漏洞修復(fù)的跟蹤，后續(xù)漏洞的修復(fù)進(jìn)度也會(huì)同步到自動(dòng)化漏洞掃描平臺(tái)進(jìn)行同步跟進(jìn)。

值得一提的是，漏洞掃描平臺(tái)并非只是一味地將掃描工具及掃描結(jié)果集成，一個(gè)能有效解決風(fēng)險(xiǎn)發(fā)現(xiàn)的系統(tǒng)必然是從場(chǎng)景出發(fā)，落地到實(shí)際問(wèn)題上。以下是三個(gè)應(yīng)用場(chǎng)景的舉例：

2.3.2 風(fēng)險(xiǎn)評(píng)估

安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，另外，風(fēng)險(xiǎn)評(píng)估的落地形態(tài)可以是一套評(píng)分規(guī)范或是數(shù)學(xué)模型，其可以從全局視角來(lái)評(píng)估整體安全態(tài)勢(shì)并以具體分值的形式來(lái)呈現(xiàn)。

標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估過(guò)程主要有四塊：

• 資產(chǎn)識(shí)別與賦值：對(duì)評(píng)估范圍內(nèi)的所有資產(chǎn)進(jìn)行識(shí)別，并調(diào)查資產(chǎn)破壞后可能造成的損失大小，根據(jù)危害和損失的大小為資產(chǎn)進(jìn)行相對(duì)賦值。

• 威脅識(shí)別與賦值：即分析資產(chǎn)所面臨的每種威脅發(fā)生的頻率，威脅包括環(huán)境因素和人為因素。

• 脆弱性識(shí)別與賦值：從管理和技術(shù)兩個(gè)方面發(fā)現(xiàn)和識(shí)別脆弱性，根據(jù)被威脅利用時(shí)對(duì)資產(chǎn)造成的損害進(jìn)行賦值。

• 風(fēng)險(xiǎn)值計(jì)算：通過(guò)分析上述測(cè)試數(shù)據(jù)，進(jìn)行風(fēng)險(xiǎn)值計(jì)算，識(shí)別和確認(rèn)高風(fēng)險(xiǎn)，并針對(duì)存在的安全風(fēng)險(xiǎn)提出整改建議。

從落地實(shí)踐來(lái)看，對(duì)各個(gè)信息節(jié)點(diǎn)的評(píng)估賦值需要張弛有度，過(guò)細(xì)的賦值方案會(huì)難以展開，過(guò)粗的賦值方案難以有好的效果，企業(yè)應(yīng)結(jié)合自身發(fā)展現(xiàn)狀，人力，技術(shù)條件以及安全目標(biāo)來(lái)制定賦值方案。

2.4 風(fēng)險(xiǎn)閉環(huán)

針對(duì)于安全運(yùn)營(yíng)工作來(lái)說(shuō)，風(fēng)險(xiǎn)管理的實(shí)際工作本質(zhì)上是漏洞管理，風(fēng)險(xiǎn)閉環(huán)是漏洞從發(fā)現(xiàn)再到消除的一系列管理過(guò)程，即漏洞的生命周期管理。

其實(shí)在實(shí)際的風(fēng)險(xiǎn)管理過(guò)程中，許多風(fēng)險(xiǎn)是沒(méi)有形成閉環(huán)管理的，其原因大多可以歸納為以下幾點(diǎn)：

• 計(jì)劃制定的不切實(shí)際

• 沒(méi)有進(jìn)行原因分析

• 進(jìn)行了原因分析但未實(shí)施對(duì)策

• 未檢查執(zhí)行效果

因此，在制定閉環(huán)策略或流程時(shí)應(yīng)充分考慮以上幾個(gè)問(wèn)題。以下例子是按照漏洞來(lái)源制定的不同的閉環(huán)策略：

三、總結(jié)

企業(yè)攻擊面梳理已變得非常重要，攻擊面不清晰將導(dǎo)致嚴(yán)重后果。攻擊面風(fēng)險(xiǎn)管理一方面需持續(xù)加強(qiáng)企業(yè)攻擊面安全防護(hù)的監(jiān)管指導(dǎo)，強(qiáng)化攻擊面安全管理制度和流程，明確各相關(guān)主體的責(zé)任和管理要求，定期開展攻擊面梳理排查，加強(qiáng)對(duì)企業(yè)攻擊面安全防護(hù)工作的監(jiān)督。建立更健全攻擊面防護(hù)的立健全攻擊面防護(hù)的標(biāo)準(zhǔn)規(guī)范，推動(dòng)政策引導(dǎo)、標(biāo)準(zhǔn)約束等方面的落地實(shí)踐，提升企業(yè)安全防護(hù)能力。

另一方面，需要持續(xù)強(qiáng)化攻擊面安全防護(hù)技術(shù)的研究和應(yīng)用。擴(kuò)展攻擊面分析研究場(chǎng)景，融合大數(shù)據(jù)分析、人工智能等先進(jìn)技術(shù)，全面開展企業(yè)攻擊面風(fēng)險(xiǎn)分析，提高攻擊面檢測(cè)排查能力以及應(yīng)急處置能力。結(jié)合持續(xù)身份認(rèn)證、細(xì)粒度訪問(wèn)控制、數(shù)據(jù)流安全審計(jì)、數(shù)據(jù)隱私保護(hù)等安全機(jī)制賦能攻擊面預(yù)防檢測(cè)工作，提升對(duì)攻擊面利用類安全事件的響應(yīng)能力，還應(yīng)密切關(guān)注當(dāng)下復(fù)雜網(wǎng)絡(luò)安全形勢(shì)下攻擊面攻擊和防御兩方面的技術(shù)發(fā)展趨勢(shì)，從資產(chǎn)管理基礎(chǔ)出發(fā)，建立適應(yīng)各企業(yè)開展攻擊面安全治理的平臺(tái)和工具。

總的來(lái)說(shuō)，攻擊面的應(yīng)對(duì)實(shí)踐方式應(yīng)是從攻擊面梳理著手，落地到資產(chǎn)梳理，同步建設(shè)網(wǎng)絡(luò)空間測(cè)繪及風(fēng)險(xiǎn)掃描能力，配合脆弱性評(píng)估對(duì)風(fēng)險(xiǎn)進(jìn)行整體評(píng)估，建設(shè)統(tǒng)一的風(fēng)險(xiǎn)視圖對(duì)風(fēng)險(xiǎn)進(jìn)行全局的把控，以及結(jié)合風(fēng)險(xiǎn)閉環(huán)工具及流程等最終對(duì)攻擊面進(jìn)行有效收斂。

總結(jié)

以上是生活随笔為你收集整理的攻击面分析及应对实践的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。