華云安·概念篇：從漏洞管理到攻擊面管理

漏洞管理的本質(zhì)是，對于隨企業(yè)業(yè)務(wù)發(fā)展而不斷產(chǎn)生的各類漏洞采用一系列措施進行從發(fā)現(xiàn)到解決閉環(huán)管理，以避免因漏洞被利用并演變?yōu)榘踩录?。隨著IT體系和各類系統(tǒng)日漸復(fù)雜化，攻擊逐漸走向多源化，因而在網(wǎng)絡(luò)安全事件頻發(fā)的時代，僅僅對漏洞進行管理是遠遠不夠的，網(wǎng)絡(luò)安全風(fēng)險和脆弱性需要用“攻擊面管理”技術(shù)增強其“反脆弱性”，建立以各類資產(chǎn)發(fā)現(xiàn)為基點的整體網(wǎng)絡(luò)安全風(fēng)險管理體系。

從漏洞管理到攻擊面管理，是網(wǎng)絡(luò)安全發(fā)展的必然趨勢

傳統(tǒng)漏洞管理的需求本質(zhì)類似于項目管理中的風(fēng)險管理模型，是以“由被動防御到主動防御”核心思想衍生，希望將安全事故應(yīng)急模式由被動的“亡羊補牢”轉(zhuǎn)變?yōu)?ldquo;早發(fā)現(xiàn)、早預(yù)防、早處理”。這標志著網(wǎng)絡(luò)安全防護逐漸向常態(tài)化、積極化發(fā)展。但傳統(tǒng)漏洞管理多是基于管理和治理角度下的無差別防御，防御能力有效性難以驗證。

近年來，攻防演練常態(tài)化，以及《中華人民共和國網(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)的頒布，意味著網(wǎng)絡(luò)安全防御有效性不斷傾向于以實戰(zhàn)化方式檢驗?；趯崙?zhàn)化的角度，守護方需要關(guān)注的內(nèi)容也正是攻擊方所關(guān)注的內(nèi)容，包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各個方面。在面向網(wǎng)絡(luò)安全本質(zhì)-攻防對抗之下，攻擊面管理是新的網(wǎng)安時代下的必然之路。

在相當(dāng)長一段時間內(nèi)，漏洞是攻防雙方博弈的關(guān)鍵。2018年，在Gartner首次提出“攻擊面”概念后，網(wǎng)絡(luò)安全攻防博弈的焦點已悄然發(fā)生轉(zhuǎn)變。2021年，Gartner將攻擊面管理相關(guān)技術(shù)定義為新興技術(shù)，從漏洞管理到攻擊面管理，網(wǎng)絡(luò)安全攻防博弈將真正意義上迎來一次升維跨越。

漏洞管理鞭長莫及之處，就是攻擊面管理優(yōu)勢所在

相較于漏洞管理，攻擊面管理需要以外部視角來審視企業(yè)網(wǎng)絡(luò)資產(chǎn)可能存在的攻擊面及脆弱性，如開放端口是否做映射、網(wǎng)絡(luò)邊界是否做隔離、人員行為是否被明確約束等，上述未被滿足的安全需求，將增加資產(chǎn)受到危害可能性。

所謂攻擊面管理，將攻擊者可能引發(fā)攻擊的向量進行管理，以便進行減少入口點、訪問和特權(quán)、面向互聯(lián)網(wǎng)的應(yīng)用程序與服務(wù)，甚至供應(yīng)商產(chǎn)品、開放API等等。以攻擊者視角梳理和管理攻擊面，才能在真實發(fā)生邏輯攻擊、0day攻擊等時，及時了解內(nèi)外網(wǎng)弱點、防御策略等后進行更為全面的預(yù)防與安全監(jiān)管。

攻擊面管理強調(diào)的，絕不僅僅是已存在的靜態(tài)漏洞及其閉環(huán)跟蹤，而是任何可能發(fā)生安全問題進而演化為安全事件的網(wǎng)絡(luò)風(fēng)險和脆弱性。攻擊面管理，新增了基于業(yè)務(wù)的風(fēng)險評價過程以確定管理的有效性;以攻擊視角匯集所有可能發(fā)生問題攻擊向量，通過擴大收集信息面來提高網(wǎng)絡(luò)安全風(fēng)險預(yù)防的全面性;融入了人、防御、流程等因素，將管理模型演變?yōu)榱Ⅲw空間。

積蓄新力量，開啟新跨越

兵法云：知己知彼百戰(zhàn)不殆，基于華云安攻擊面管理(ASM)產(chǎn)品體系，可避免網(wǎng)絡(luò)安全運營成本的過量投入，同時進一步提升安全管理運營的有效性，幫助企業(yè)以攻擊視角評估自身可能存在的網(wǎng)絡(luò)安全風(fēng)險和脆弱性。

攻擊面檢測發(fā)現(xiàn)

漏洞掃描是攻擊面檢測的核心與基礎(chǔ)。攻擊面的主動檢測更關(guān)注實戰(zhàn)性、高效性，對近期公布1day漏洞和真正被用于實際攻擊的漏洞進行真實性驗證。

此外，攻擊模擬是攻擊面檢測的進階和提升，以攻擊者的視角進行沉浸式模擬嘗試甚至利用，才能發(fā)現(xiàn)更深層的隱含風(fēng)險。通過模擬攻擊，將人員、流程、配置、弱點、業(yè)務(wù)融合，發(fā)現(xiàn)攻擊點并繪制完整攻擊鏈路。在此基礎(chǔ)上，引入流量分析，發(fā)現(xiàn)影子資產(chǎn)、僵尸資產(chǎn)，并識別其中可能的0day攻擊與未知威脅，進一步繪制更完善的攻擊面。

攻擊面分析研判

網(wǎng)絡(luò)安全的本質(zhì)，是攻守雙方人與人的較量。真實攻擊者不會無目標、無差別進行攻擊。攻擊面管理，需要專注對抗這個本質(zhì)進行分析和研判，需要評估漏洞的利用成本、漏洞所在資產(chǎn)的價值，該漏洞是否能構(gòu)成實現(xiàn)最終目標的環(huán)節(jié)等等。攻擊面分析與研判需要以下分析：

·評價該攻擊面是否需要被管理

·分析該攻擊面出現(xiàn)根本原因

·管理的成本與危害損失是否成正比

·采取的管理方式是否可有效避免

安全管理人員需在管理前進行基于業(yè)務(wù)場景真實的評估與判斷，包括考慮業(yè)務(wù)維護、成本、響應(yīng)代價、有效性、統(tǒng)一分發(fā)等等，這些基于實際業(yè)務(wù)和風(fēng)險影響的分析和研判，才是管理的核心所在。

攻擊面情報預(yù)警

攻擊面檢測與發(fā)現(xiàn)，主要是以聚合分析內(nèi)部信息為主。然而在互聯(lián)網(wǎng)海量信息的時代，外部情報的獲取也不容忽視。

外部情報的搜集，要確保情報來源的全面性，同時關(guān)注國內(nèi)外主流情報源;在應(yīng)用上，則可無縫應(yīng)用于產(chǎn)品，將其價值最大化。漏洞和威脅情報至少需具備以下兩個應(yīng)用點：①先于監(jiān)管要求的攻擊面應(yīng)急，聚合全球主流漏洞情報源、國家級漏洞通報預(yù)警、重大活動及演練成果等相關(guān)漏洞信息，實時傳遞最新全球漏洞安全態(tài)勢和攻擊趨勢，助力企業(yè)先于攻擊者排查自身可能存在的安全隱患，并采取針對性的主動防御，極大地縮短了自身風(fēng)險暴露時間，預(yù)防入侵事件發(fā)生。②先于攻擊的攻擊面監(jiān)測預(yù)警，打破攻守雙方信息不平衡的局面，建立自身情報武器庫，了解全球視角下最具潛在威脅的應(yīng)用及版本，以及與自身情況相關(guān)的最新攻擊事件與1day漏洞，做到先于攻擊進行自我風(fēng)險審查

攻擊面響應(yīng)處置

針對攻擊面進行全生命周期的監(jiān)控和運營，利用管理手段縮小攻擊面的安全風(fēng)險影響。同時結(jié)合SOAR技術(shù)，對安全管理和應(yīng)急流程進行貼合業(yè)務(wù)的自動化調(diào)度編排，將處置經(jīng)驗深度留存，解耦處置對人的強依賴。

另外由于漏洞修復(fù)涉及內(nèi)容比較復(fù)雜，無法采用升級的方式進行風(fēng)險消除，需滿足風(fēng)險緩解的需求，所以在終端提供補丁信息的同時，還需要應(yīng)用熱補丁等技術(shù)結(jié)合管理手段，滿足攻擊面應(yīng)急響應(yīng)與處置閉環(huán)。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）