2021年7月,全球权威IT研究顾问机构Gartner发布了《2021安全运营技术成熟度曲线》(《Hype Cycle for Security Operations, 2021》),将攻击面管理(Attack Surface Management, ASM)相关技术定义为新兴技术。早在2018年Gartner就已经提出攻击面的概念,并将攻击面纳为整体网络安全风险管理计划的一部分。
从最初提出概念到当下的重要新兴技术,攻击面管理已经经历三年多的概念演进。但是到目前为止,攻击面并无统一定义,业内一般认为,攻击面(Attack Surface)也称为攻击表面、外部攻击面(External Attack Surface)或数字攻击面(Digital Attack Surface),是所有网络资产中外部可利用性的总和。
从过去的实践来看,企业网络资产安全的攻击面可以简单理解为可被利用的漏洞总和,更准确的说法是「未经授权即能访问和利用企业资产的所有可能入口的总和」,包括未经授权的可访问的硬件、软件和云等IT系统,同样也包括人、业务流程等。随着信息化、云化的发展,以及不断深入的数字化进程,企业网络攻击面管理已是新一代网络安全防御体系的必然选择。
攻击面管理的核心是攻击者视角
随着国家级攻防演练活动的深入,在攻防博弈中,攻击面往往成为攻守易势的关键。在Gartner报告中,网络资产攻击面管理 (Cyber Assets Attack Surface Management, CAASM)用于解决持续资产可见性和漏洞问题。外部攻击面管理 (External Attack Surface Management, EASM)是从外部攻击者视角对组织的攻击面进行持续发现、清点、分类、优先级排序和监控的整个过程。无论是CAASM还是EASM,当下的攻击面管理已经不仅仅关注已知的资产漏洞,也包括未知资产(隐匿资产、老化资产、影子资产)、泄漏数据、流氓资产(钓鱼、仿冒网站)和供应商(包括开源组件等)资产等。
攻击面管理(ASM)是一种从攻击者的角度对企业网络攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法,其最大特性就是以外部视角来审视企业网络资产可能存在的攻击面及脆弱性,重点关注边界处存在可被利用的攻击可能性,强调整个企业资产可能存在的脆弱性,而不仅仅是已知资产和已知漏洞。通过外部攻击者视角来审视资产安全性的方式,安全团队更易于发现资产存在可能被攻击的弱点,从而根据资产的重要性和风险的优先级对资产进行修复。通过攻击面管理的持续监控能力,可以持续发现资产漏洞和潜在风险。
由于ASM的独特视角而体现出的系统风险的管控能力,已经越来越受到安全团队的重视。尤其是近年来,随着越来越多的勒索软件 (Ransomware) 和供应链攻击(Supply Chain Attack, SCA)的出现,传统的资产漏洞管理方式难以起到真正的作用,而更加全面的攻击面管理已经成为新一代的资产漏洞完整应对方案,所以 Gartner 等分析机构都建议将ASM作为安全团队的网络安全防御体系的优先事项。
攻击面管理不仅仅关注已知资产
网络资产漏洞管理是已经成为企业安全管理的核心内容。传统的资产漏洞安全管理通过对网络资产进行清点、分析、监视等相应的安全行动,保证企业网络资产的安全。然而,目前主流的资产漏洞管理方法普遍针对已知资产进行管理,管理的范围和内容是相对明确的。
事实上,一般企业的网络资产不仅有已知资产,还包括未知资产、流氓资产和供应商资产,它们组成了完整的企业网络资产,相互联系作用、共同影响和决定企业的资产安全性。
因此,传统的资产漏洞管理方式局限性在于对于未知资产、流氓资产和供应商资产缺少系统有效的监控和管理,难以避免上述资产对企业整体网络安全性造成的影响,也就无法形成对企业资产的全面保护。根据历年的攻防演习的成果来看,真正造成影响的网络攻击,恰恰是由上述资产造成的。ASM的提出与发展正是对当前情况的思考和探索,解决的核心痛点就是对未知风险管制,尤其是未知攻击面的全面发现、实时监视与及时预警。
举例来说,在未知资产中,影子资产是备受关注的一项内容。根据Gartner分析师Simon Mingay定义,影子资产包括“在正式IT组织的正式控制之外对IT解决方案进行收购、开发或运营的资产”。影子资产危险在于未知和不可预见的威胁。近年来,影子资产已经被视为主要的安全风险,越来越多的安全团队对影子资产的重视程度不断提高,消除这些未知资产对于降低威胁甚至更加重要。传统的渗透测试和红队测试虽然可以洞察攻击者的角度,但侦察和攻击通常是在受控环境中或针对IT环境的特定方面发起,所以大多数环境的变化和扩展性使漏洞不易被注意,而当漏洞和漏洞利用被披露时,安全团队必须比攻击者行动得更快,而这只有持续绘制攻击面才有可能被实现。所以,企业借助ASM可以快速关闭影子IT资产、未知和孤立的应用程序、暴露的数据库和API,以及其他潜在的入口,以缓解出现的任何威胁。
攻击面管理更关注持续监控的能力
一般来说,常规的漏洞评估方法主要通过检测、分析、预警、处置这样的方法对资产漏洞进行安全管理。ASM更强调在此之后的持续监控,从而形成了完整资产漏洞安全管理闭环。华云安认为,ASM持续监控的本质,是对具有风险的攻击面进行特别关注,持续跟踪,并对数据进行分析对比,从而保证企业资产的长期安全可靠。
由于现实中的网络攻击往往是连续的、持久的、体系化的,所以少量的漏洞封堵无法从根本上规避企业资产的网络风险,况且漏洞并不是全部的攻击面:
1)漏洞直接作用的攻击面,漏洞直接作用的攻击面往往是传统管理方法的重点,通过补丁更新、版本升级等方式修改系统漏洞;
2)与漏洞相关的攻击面,由于漏洞作用的攻击面通常不止漏洞本身,往往与漏洞相关攻击面也会受到牵连,因此对漏洞相关面的持续监控是ASM的主要监控内容;
3)与攻击面相关的资产,受漏洞影响的攻击面相关资产,往往是黑客攻击的主要目标,需要通过持续跟踪实现对资产的安全保护。
ASM通过强调持续跟踪,实现资产安全的闭环管理,为企业提供了更加有力的安全保障。
结语
综上撰述,攻击面管理将安全思维从被动防御重新调整为主动攻击,这使安全团队能够更好地确定攻击面的优先级,从而进一步有效地提高企业安全防御能力。
攻击面管理作为网络安全未来发展的重要方向之一,越来越受到安全团队的重视。攻击面管理的核心内容是以外部视角对企业的资产进行风险管控,从而实现对攻击面的全面管理,降低企业在各类活动中的受到攻击的几率。
因为“难攻”,所以部署后必然“易守”。