您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
攻擊面管理(ASM)技術(shù)詳解和實(shí)現(xiàn)
文 | 零零信安 王宇
攻擊面管理(Attack Surface Management)的概念已經(jīng)出現(xiàn)三年以上,但是在過(guò)去的2021年,整個(gè)安全行業(yè)突然迅速接納了它。一方面,這表示行業(yè)對(duì)實(shí)戰(zhàn)型攻防技術(shù)的認(rèn)知有了快速提升,另一方面,這意味著攻擊面管理(ASM)技術(shù)理念是符合當(dāng)前場(chǎng)景化剛需的。
一、什么是攻擊面管理
首先,從理論層面對(duì)攻擊面管理進(jìn)行說(shuō)明。Gartner在《Hype Cycle for Security Operations,2021》中共有5個(gè)相關(guān)技術(shù)點(diǎn):外部攻擊面管理(EASM)、網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)、數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS)、漏洞評(píng)估(VA)、弱點(diǎn)/漏洞優(yōu)先級(jí)技術(shù)(VPT)。
這是一個(gè)神奇的事情,為什么攻擊面管理會(huì)涉及到這么多技術(shù)領(lǐng)域?以Gartner推薦廠(chǎng)商Cyberint和RiskIQ為例,他們都強(qiáng)調(diào)了一件重要的事:獲得攻擊者的視角?,F(xiàn)代化網(wǎng)絡(luò)攻擊的最大特點(diǎn)之一就是基于大量數(shù)據(jù)的立體化攻擊。
對(duì)于功能堆疊的剛性防御體系來(lái)說(shuō),立體化攻擊就如同降維打擊的存在。所以需要獲得攻擊者的視角,進(jìn)行動(dòng)態(tài)的主動(dòng)防御。
這就是攻擊面管理誕生的初衷。
繼《2021安全運(yùn)營(yíng)技術(shù)成熟度曲線(xiàn)》之后,Gartner又在《新興技術(shù):外部攻擊面管理關(guān)鍵洞察》中進(jìn)行了一系列詳細(xì)的描述:
? 資產(chǎn)的識(shí)別及清點(diǎn):識(shí)別未知的(影子)數(shù)字資產(chǎn)(如網(wǎng)站、IP、域名、SSL證書(shū)和云服務(wù)),并實(shí)時(shí)維護(hù)資產(chǎn)列表;
? 漏洞修復(fù)及暴露面管控:將錯(cuò)誤配置、開(kāi)放端口和未修復(fù)漏洞根據(jù)緊急程度、嚴(yán)重性來(lái)進(jìn)行風(fēng)險(xiǎn)等級(jí)分析以確定優(yōu)先級(jí);
? 云安全與治理:識(shí)別組織的公共資產(chǎn),跨云供應(yīng)商,以改善云安全和治理,EASM可以提供全面的云資產(chǎn)清單,補(bǔ)充現(xiàn)有的云安全工具;
? 數(shù)據(jù)泄漏檢測(cè):監(jiān)測(cè)數(shù)據(jù)泄漏情況,如憑證泄漏或敏感數(shù)據(jù);
? 子公司風(fēng)險(xiǎn)評(píng)估:進(jìn)行公司數(shù)字資產(chǎn)可視化能力建設(shè),以便更全面地了解和評(píng)估風(fēng)險(xiǎn);
? 供應(yīng)鏈/第三方風(fēng)險(xiǎn)評(píng)估:評(píng)估組織的供應(yīng)鏈和第三方有關(guān)的脆弱性及可見(jiàn)性,以支持評(píng)估組織的暴露風(fēng)險(xiǎn);
? 并購(gòu)(M&A)風(fēng)險(xiǎn)評(píng)估:了解待并購(gòu)公司數(shù)字資產(chǎn)和相關(guān)風(fēng)險(xiǎn)。
網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)則傾向于以智能化的手段更高效的識(shí)別組織內(nèi)部的資產(chǎn)和漏洞。CAASM是一種新興的技術(shù),專(zhuān)注于使安全團(tuán)隊(duì)能夠解決持久的資產(chǎn)可見(jiàn)性和漏洞的挑戰(zhàn)。它使組織能夠通過(guò)API與現(xiàn)有工具的集成、對(duì)合并后的數(shù)據(jù)進(jìn)行查詢(xún)、識(shí)別安全控制中的漏洞和差距的范圍,以及修復(fù)問(wèn)題,來(lái)查看所有資產(chǎn)(包括內(nèi)部和外部)的風(fēng)險(xiǎn)。(以上是Gartner的定義,從筆者的角度來(lái)看,這更像是一個(gè)更強(qiáng)大的、進(jìn)行智能化拓展后的漏洞管理系統(tǒng),也許未來(lái)漏洞管理系統(tǒng)的功能模型就將是CAASM。)
需要特別指出的地方是,Gartner認(rèn)為“攻擊面管理能力可跨越到其他現(xiàn)有的安全領(lǐng)域,主要是數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS)”。甚至在2021年10月25日其發(fā)布的《Competitive Landscape: Digital Risk Protection Services》中預(yù)言:
到2023年底,超過(guò)50%的DRPS供應(yīng)商將增加EASM功能,作為其數(shù)字足跡功能的自然擴(kuò)展。
由于國(guó)內(nèi)某些概念的誤導(dǎo),DRPS的技術(shù)綱要并沒(méi)有正確的被傳達(dá),為了更有效的說(shuō)明ASM應(yīng)該包含的技術(shù)點(diǎn),有必要對(duì)它進(jìn)行技術(shù)點(diǎn)說(shuō)明。
Gartner:通過(guò)提供技術(shù)與服務(wù),保護(hù)組織的關(guān)鍵數(shù)字資產(chǎn)和數(shù)據(jù)免受外部威脅。這些解決方案提供了對(duì)開(kāi)放(表面)網(wǎng)絡(luò)、社交媒體、暗網(wǎng)和深網(wǎng)的可視性,以識(shí)別關(guān)鍵資產(chǎn)的潛在威脅,并提供有關(guān)威脅參與者、其進(jìn)行惡意活動(dòng)的策略和流程的背景信息。
識(shí)別暴露的有風(fēng)險(xiǎn)的數(shù)字資產(chǎn),具體包含:
? 組織的數(shù)字足跡(云存儲(chǔ)服務(wù)、打開(kāi)的端口和未修補(bǔ)過(guò)的漏洞等);
? 品牌保護(hù)(域名搶注和冒充高管等);
? 組織的賬戶(hù)接管風(fēng)險(xiǎn)(電子憑證、組織的賬戶(hù)信息被盜等);
? 詐騙活動(dòng)(網(wǎng)絡(luò)釣魚(yú)檢測(cè)、信用卡泄露、客戶(hù)資料泄露等);
? 泄露數(shù)據(jù)(具有知識(shí)產(chǎn)權(quán)的數(shù)據(jù)、資料、代碼等)。
至此,可以看出,ASM(攻擊面管理)包含EASM(外部攻擊面管理)和CAASM(網(wǎng)絡(luò)資產(chǎn)攻擊面管理),EASM與DRPS(數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù))有拓展和重疊之處,它們都需要VA(漏洞評(píng)估)和VPT(弱點(diǎn)/漏洞優(yōu)先級(jí)技術(shù))的功能和技術(shù)支持。
二、攻擊面管理產(chǎn)品的實(shí)現(xiàn)
以上雖然對(duì)攻擊面管理進(jìn)行了理論構(gòu)架和其構(gòu)成要素分析,但作為產(chǎn)品實(shí)現(xiàn)仍然過(guò)于抽象。接下來(lái)以產(chǎn)品設(shè)計(jì)的角度來(lái)分析攻擊面管理應(yīng)該具備的功能模型。
首先需要明確的是,一個(gè)完整的攻擊面管理產(chǎn)品,其產(chǎn)品形態(tài)應(yīng)該是:
云端數(shù)據(jù)+私有化部署
攻擊面管理產(chǎn)品應(yīng)具備以下功能:
1.攻擊面管理(ASM)功能組
? 網(wǎng)絡(luò)空間測(cè)繪(CAM)
網(wǎng)絡(luò)空間測(cè)繪技術(shù)誕生已有10年歷史,技術(shù)成熟,這里不再進(jìn)行詳細(xì)說(shuō)明,需要說(shuō)明的是,它必須從全互聯(lián)網(wǎng)角度進(jìn)行測(cè)繪,以保證不會(huì)遺漏組織的外部IT資產(chǎn)和影子資產(chǎn)。
? 組織架構(gòu)和關(guān)聯(lián)組織的識(shí)別
為了保證組織對(duì)應(yīng)IT資產(chǎn)的全面和準(zhǔn)確(尤其是對(duì)于影子資產(chǎn)),以及為子公司和有關(guān)聯(lián)(M&A)的企業(yè)進(jìn)行評(píng)估,必須優(yōu)先進(jìn)行組織架構(gòu)的識(shí)別和映射。
? 數(shù)字足跡的映射
這個(gè)概念很好理解,就是要將相關(guān)組織、子公司、關(guān)聯(lián)組織等與IT資產(chǎn)進(jìn)行映射。但是從實(shí)踐的角度出發(fā),傳統(tǒng)的網(wǎng)絡(luò)空間測(cè)繪的引擎設(shè)計(jì)邏輯需要進(jìn)行調(diào)整,以目前先進(jìn)行盲測(cè)再使用關(guān)鍵字識(shí)別、icon識(shí)別和標(biāo)簽等方法,很難做到全面和準(zhǔn)確的映射。
? 供應(yīng)鏈的識(shí)別和風(fēng)險(xiǎn)暴露面
供應(yīng)鏈攻擊在最近一年對(duì)全球造成了很大影響,需要對(duì)組織使用的產(chǎn)品、第三方組件,供應(yīng)商進(jìn)行盡可能的探測(cè)、識(shí)別和風(fēng)險(xiǎn)暴露面的發(fā)現(xiàn)。
2.威脅情報(bào)(TI)功能組
這里提到的威脅情報(bào),并非狹義上定義的“僵木蠕威脅情報(bào)”,而是更廣義的,會(huì)對(duì)業(yè)務(wù)和數(shù)據(jù)造成直接影響的情報(bào)源的探測(cè)和主動(dòng)情報(bào)收集。隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的頒布和執(zhí)行,該部分既涉及到組織自身的業(yè)務(wù)影響,也涉及到合法合規(guī)問(wèn)題,所以本章僅列出內(nèi)容,在下述章節(jié)詳細(xì)討論。這里特別說(shuō)明的是,該部分必須包含“對(duì)暗網(wǎng)的可視性”。
? 業(yè)務(wù)數(shù)據(jù)和數(shù)字資產(chǎn)泄露情報(bào)
? 隱私數(shù)據(jù)泄露和內(nèi)部人員數(shù)據(jù)泄露情報(bào)
3.漏洞優(yōu)先級(jí)技術(shù)(VPT)功能組
漏洞優(yōu)先級(jí)技術(shù)(VPT)至少應(yīng)該包含4個(gè)主要功能和一些輔助功能,具體包括:
? 全面、快速的資產(chǎn)發(fā)現(xiàn)能力
? 多類(lèi)型掃描器調(diào)度和多維度漏洞評(píng)估
? 漏洞情報(bào)和智能優(yōu)先級(jí)排序
? 漏洞全生命周期管理流程和自動(dòng)編排
基于以上功能說(shuō)明,對(duì)攻擊面管理產(chǎn)品的定位和功能模型就很清晰了,其可以描述為:
攻擊面管理系統(tǒng)(產(chǎn)品):
將組織與其不斷發(fā)展的外部和內(nèi)部IT系統(tǒng)及數(shù)字足跡進(jìn)行映射、與漏洞情報(bào)數(shù)據(jù)進(jìn)行關(guān)聯(lián),并持續(xù)發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)和代碼泄露、組織和人員信息的泄露、以及對(duì)供應(yīng)鏈的攻擊面進(jìn)行檢測(cè),通過(guò)對(duì)全球開(kāi)放網(wǎng)絡(luò)和非公開(kāi)網(wǎng)絡(luò)的情報(bào)源、組織自身業(yè)務(wù)上下文等進(jìn)行大量數(shù)據(jù)采集和弱點(diǎn)優(yōu)先級(jí)分析,為組織輸出攻擊面情報(bào),以提供給組織更高級(jí)別的主動(dòng)防御。
三、業(yè)務(wù)數(shù)據(jù)泄露與數(shù)字資產(chǎn)泄露
該部分將闡述組織業(yè)務(wù)數(shù)據(jù)泄露、內(nèi)部文件或與組織相關(guān)的文檔和文案在外部暴露、組織相關(guān)的業(yè)務(wù)系統(tǒng)和軟件的代碼和配置泄露等情況下,對(duì)組織帶來(lái)的風(fēng)險(xiǎn)、以及應(yīng)該如何發(fā)現(xiàn)和如何進(jìn)行智能優(yōu)先級(jí)排序建議。
1. 風(fēng)險(xiǎn)
組織的業(yè)務(wù)數(shù)據(jù)、內(nèi)部文件、項(xiàng)目信息、財(cái)務(wù)數(shù)據(jù)、核心圖紙、軟件代碼、業(yè)務(wù)系統(tǒng)配置等等,有可能因?yàn)閮?nèi)部人員的工作習(xí)慣(例如將文件上傳到某些互聯(lián)網(wǎng)服務(wù)器或者網(wǎng)盤(pán)上),也有可能因?yàn)殚_(kāi)發(fā)人員的誤操作(例如Github權(quán)限設(shè)置不當(dāng)),或者被惡意竊取(例如黑客通過(guò)技術(shù)手段獲得、或者某些未授權(quán)人員通過(guò)其他違規(guī)手段獲得)等,傳播在互聯(lián)網(wǎng)或者暗網(wǎng)上。這可能導(dǎo)致組織內(nèi)部機(jī)密外泄,或者導(dǎo)致黑客利用獲取的代碼和配置文件獲知業(yè)務(wù)系統(tǒng)漏洞等。其帶來(lái)的風(fēng)險(xiǎn)通常是直接且隱蔽的。
以往,由于網(wǎng)絡(luò)攻擊導(dǎo)致的安全事件,從數(shù)據(jù)泄露到組織發(fā)現(xiàn)的間隔時(shí)間,平均在87天,而由于人員誤操作導(dǎo)致的安全事件的時(shí)間間隔,平均在207天。在此期間,組織相關(guān)的泄露數(shù)據(jù)都面臨著極高的被他人利用的風(fēng)險(xiǎn),越早發(fā)現(xiàn),風(fēng)險(xiǎn)暴露窗口越短,風(fēng)險(xiǎn)才會(huì)大幅度降低。
2. 發(fā)現(xiàn)
進(jìn)行業(yè)務(wù)數(shù)據(jù)泄露和數(shù)字資產(chǎn)泄露情報(bào)的獲取,應(yīng)該遵循3個(gè)方法:
1) 數(shù)據(jù)必須進(jìn)行組織的映射,并且由組織向關(guān)鍵信息進(jìn)行輻射。
具體來(lái)說(shuō),應(yīng)該由組織名稱(chēng)拓展到子組織和相關(guān)組織,然后對(duì)各級(jí)組織相關(guān)業(yè)務(wù)、系統(tǒng)、數(shù)據(jù)、產(chǎn)品、項(xiàng)目等進(jìn)行智能關(guān)鍵信息獲取。、
2) 盡可能覆蓋全面的公開(kāi)威脅源。
數(shù)據(jù)泄露的重要泄露源就是公開(kāi)網(wǎng)絡(luò)上的威脅源,其可能包含來(lái)自天眼查、企查查、Gitlib、Github、CSDN、百度網(wǎng)盤(pán)、百度文庫(kù)、微博等等,對(duì)各個(gè)威脅源、社交媒體、云存儲(chǔ)的覆蓋面越廣,查找到的數(shù)據(jù)越多,才能越全面的發(fā)現(xiàn)風(fēng)險(xiǎn)。
3) 具備非公開(kāi)網(wǎng)絡(luò)的可視性
非公開(kāi)網(wǎng)絡(luò)主要是深網(wǎng)和暗網(wǎng),數(shù)據(jù)泄露的重要傳播源是暗網(wǎng)交易市場(chǎng),其特點(diǎn)是數(shù)量龐大、活躍度差異大、獲取方式隱秘、交易完全匿名等,對(duì)其進(jìn)行實(shí)時(shí)更新與監(jiān)控的難度較大,但極其重要。
3. 優(yōu)先級(jí)排序
對(duì)于越大的組織,進(jìn)行越全面的監(jiān)控,其數(shù)據(jù)量越龐大,一個(gè)具備一定規(guī)模的組織獲取到的公共網(wǎng)絡(luò)數(shù)據(jù)可能達(dá)到數(shù)萬(wàn)條以上。以往通過(guò)人工逐一篩查其風(fēng)險(xiǎn)性,效率極低且有可能遺漏本就不多的關(guān)鍵信息。所以對(duì)大量數(shù)據(jù)進(jìn)行智能化的優(yōu)先級(jí)排序就顯得尤為重要。通過(guò)合理的算法和規(guī)則不斷優(yōu)化數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)的賦值,以及抽取關(guān)鍵信息,以供安全運(yùn)維人員和安全專(zhuān)家進(jìn)行高效研判,才能取得有效的成果和價(jià)值。
四、隱私數(shù)據(jù)泄露與組織員工數(shù)據(jù)泄露
無(wú)論是組織存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)中的個(gè)人隱私數(shù)據(jù),還是組織員工(尤其是組織的重要角色)的個(gè)人隱私數(shù)據(jù)泄露,都是非常嚴(yán)重的事情。它不僅會(huì)對(duì)組織帶來(lái)業(yè)務(wù)上的風(fēng)險(xiǎn),還會(huì)引來(lái)品牌和名譽(yù)的損失,更重要的是這可能會(huì)觸犯《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》。
與組織的業(yè)務(wù)數(shù)據(jù)等泄露不同,個(gè)人隱私數(shù)據(jù)有3個(gè)很重要的特點(diǎn):
1. 利用難度低、命中率高、其風(fēng)險(xiǎn)極高。
個(gè)人隱私數(shù)據(jù)一旦泄露,尤其是手機(jī)號(hào)、郵箱、密碼、卡號(hào)等信息的泄露,極易成為黑客利用的首選手段,可能會(huì)導(dǎo)致釣魚(yú)或其他社會(huì)工程學(xué)攻擊;
2. 直接損失大、間接損失影響深遠(yuǎn)。
如果組織員工的個(gè)人隱私數(shù)據(jù),尤其是組織VIP的個(gè)人隱私數(shù)據(jù)泄露,攻擊者很有可能直接通過(guò)登陸其郵箱、CRM系統(tǒng)、OA系統(tǒng)、業(yè)務(wù)系統(tǒng)、釘釘、VPN等,獲取組織敏感信息甚至核心數(shù)據(jù)(在不進(jìn)行其他技術(shù)攻擊和滲透的情況下即可完成)。攻擊者還可以進(jìn)行其他擴(kuò)展性攻擊,比如對(duì)個(gè)人賬單、銀行流水、消費(fèi)記錄、住宿記錄等進(jìn)行查詢(xún)和其他處置,它的影響是極其深遠(yuǎn)的;
3. 告警和處置難度高。
相對(duì)于其獲取難度而言,個(gè)人隱私數(shù)據(jù)泄露的告警難度極高。在暗網(wǎng)中,流傳著大量個(gè)人隱私數(shù)據(jù)(其聚合數(shù)據(jù)也被稱(chēng)為“社工庫(kù)”),對(duì)于專(zhuān)業(yè)的攻擊者來(lái)說(shuō),獲得它們的難度和成本并不高。但是對(duì)于防御者來(lái)說(shuō),受制于法律法規(guī)的限制、因引起當(dāng)事人不悅而導(dǎo)致無(wú)法授權(quán)、以及避免數(shù)據(jù)被惡意使用等情況的考慮,具備此能力的情報(bào)廠(chǎng)商很難將此類(lèi)情報(bào)完整的提供給相關(guān)組織。而相關(guān)組織的安全管理員無(wú)論是否獲得了完整的情報(bào)信息,在設(shè)法通知隱私數(shù)據(jù)被泄露的本人進(jìn)行處置時(shí),往往溝通過(guò)程會(huì)受到諸多質(zhì)疑、不悅、無(wú)視、挑戰(zhàn)等態(tài)度,導(dǎo)致處置起來(lái)比系統(tǒng)漏洞的難度更高。
隱私數(shù)據(jù)泄露面臨的是利用簡(jiǎn)單、命中率高、損失大、影響深遠(yuǎn),風(fēng)險(xiǎn)極大,卻難以告警和處置的局面。
情報(bào)觸達(dá)率低、使用率低,并不代表它們不存在。事實(shí)上,大量個(gè)人信息和隱私數(shù)據(jù)正在暗網(wǎng)中長(zhǎng)期流傳。根據(jù)Identity Theft Resource Center (ITRC)2021提供的數(shù)據(jù),僅在2021年泄露的個(gè)人隱私數(shù)據(jù),影響人員已高達(dá)18億以上,造成的直接損失在265至270億美元,而它們從泄露到發(fā)現(xiàn)的平均時(shí)間長(zhǎng)達(dá)112天。對(duì)此,歐盟根據(jù)《通用數(shù)據(jù)保護(hù)條例》(GDPR)在2021年第三季度開(kāi)出的罰單就超過(guò)了2020年全年的3倍以上,達(dá)到11.4億美元。
目前我國(guó)對(duì)于數(shù)據(jù)安全、個(gè)人信息保護(hù)等方面的治理力度大幅加強(qiáng),已出臺(tái)和執(zhí)行相關(guān)法律法規(guī)。但在相關(guān)從業(yè)者認(rèn)知的提升、管理責(zé)任的落實(shí)、情報(bào)的合理使用等方面,尚需要加強(qiáng)和時(shí)間的沉淀。
注:本文僅為作者個(gè)人觀(guān)點(diǎn),與本刊立場(chǎng)無(wú)關(guān)。
文章來(lái)源:中國(guó)信息安全