5月23日，2022  ISC 萬人元宇宙序幕以云峰會(huì)的形式開啟，峰會(huì)聚焦全球數(shù)字化轉(zhuǎn)型之下網(wǎng)絡(luò)空間的前沿趨勢、創(chuàng)新方向、焦點(diǎn)問題。華云安產(chǎn)品總監(jiān)王超在“實(shí)戰(zhàn)驅(qū)動(dòng)下的安全運(yùn)營論壇”就華云安專注的攻擊面管理領(lǐng)域研究與實(shí)踐進(jìn)行分享。

數(shù)字化轉(zhuǎn)型加速，安全運(yùn)營面臨新挑戰(zhàn)

近年來，國家正在推動(dòng)數(shù)字化進(jìn)程。特別是在當(dāng)前疫情的影響下，數(shù)字化轉(zhuǎn)型的進(jìn)程正在加速，遠(yuǎn)程的辦公、協(xié)同正在逐漸成為日常。而數(shù)字化轉(zhuǎn)型正在帶來新的安全挑戰(zhàn)，王超總結(jié)出以下幾點(diǎn)，一是戰(zhàn)場的變化，網(wǎng)絡(luò)系統(tǒng)隨著數(shù)字化的建設(shè)較之傳統(tǒng)網(wǎng)絡(luò)更加發(fā)達(dá)、復(fù)雜;二是對手的變化，安全問題由以往的竊取信息、電信詐騙等黑客行為，上升為國家級的網(wǎng)絡(luò)對抗;三是攻擊的變化，傳統(tǒng)的單點(diǎn)突破正發(fā)展成包括勒索軟件、APT攻擊、供應(yīng)鏈攻擊等在內(nèi)的多點(diǎn)開花;最后是目標(biāo)的變化，除了原有的服務(wù)器外，數(shù)據(jù)、拖庫、業(yè)務(wù)應(yīng)用等也正轉(zhuǎn)變?yōu)楣裟繕?biāo)。

新的安全挑戰(zhàn)致使實(shí)戰(zhàn)化攻防場景中，傳統(tǒng)的安全運(yùn)營不堪一擊，針對這一問題，王超做出了以下分析：

1. 數(shù)字化轉(zhuǎn)型。數(shù)字時(shí)代的資產(chǎn)除了傳統(tǒng)的IT資產(chǎn)，也包括loT、傳感器、網(wǎng)站域名、數(shù)字證書、敏感數(shù)據(jù)等模塊，資產(chǎn)類別及資產(chǎn)體量在增加。

2. 漏洞的多樣化。數(shù)字時(shí)代的漏洞不僅是軟件缺陷，還包括弱口令、配置缺陷、泄露數(shù)據(jù)、過期證書、供應(yīng)鏈漏洞等，這些也催生了黑客攻擊手段的多樣化。

3. 攻擊者更快。防御者需要完整的安全體系，而攻擊者只需要突破一點(diǎn);防御者需要24小時(shí)在線，而攻擊者只需要攻其不備。

4. 安全盲區(qū)。在數(shù)字化背景下，由于數(shù)字業(yè)務(wù)開展的更多，我們并不能監(jiān)管到所有數(shù)字資產(chǎn)，導(dǎo)致安全盲區(qū)的出現(xiàn)，而安全盲區(qū)誕生出的影子資產(chǎn)容易被攻擊者利用。

基于攻擊者視角驅(qū)動(dòng)運(yùn)營決策

隨后，針對安全運(yùn)營的技術(shù)變革及其帶來的挑戰(zhàn)，王超提出，要基于攻擊者視角驅(qū)動(dòng)運(yùn)營決策：

1. 像攻擊者一樣思考。需要以攻擊者視角監(jiān)測數(shù)字資產(chǎn)，分析攻擊者可能利用的弱點(diǎn)，并制訂對應(yīng)的防守策略。

2. 關(guān)注重要的漏洞。據(jù)報(bào)告顯示，每年攻擊者實(shí)際利用的漏洞僅占所有漏洞的5%，為避免防守投入冗余，應(yīng)利用弱點(diǎn)優(yōu)先級技術(shù)重點(diǎn)關(guān)注重要資產(chǎn)漏洞和具備可檢測性、可利用性的漏洞，以及所有新爆發(fā)的1day漏洞等。

3. 檢驗(yàn)防御有效性。傳統(tǒng)以合規(guī)為基礎(chǔ)的安全運(yùn)營，在實(shí)戰(zhàn)攻防場景下不堪一擊，需要以自動(dòng)化技術(shù)和攻擊模擬技術(shù)，以攻擊者視角持續(xù)不斷的檢驗(yàn)現(xiàn)有安全機(jī)制的有效性。

4. 更快的響應(yīng)速度。協(xié)同聯(lián)動(dòng)各種安全能力，提高安全事件的響應(yīng)速度，在漏洞被利用前修復(fù)漏洞。

攻擊面管理框架體系

攻擊面管理最早由Gartner在2019年納入安全運(yùn)營技術(shù)曲線中，并且在2021年首次集成為一個(gè)完整的技術(shù)棧，提出攻擊面管理包括數(shù)字資產(chǎn)、網(wǎng)絡(luò)空間的攻擊面管理(簡稱CAASM)以及外部資產(chǎn)的攻擊面管理(簡稱EASM)。

關(guān)于攻擊面的定義，王超認(rèn)為可利用的暴露面加上攻擊者制造的攻擊向量，等于攻擊面。因此，攻擊面管理要重點(diǎn)關(guān)注兩點(diǎn)：一是了解哪些暴露面是可利用的，并且對可利用暴露面進(jìn)行收斂;二是針對攻擊向量的控制。

完整的攻擊面管理框架體系自下向上分別為基礎(chǔ)技術(shù)、安全能力和應(yīng)用場景三層。基礎(chǔ)技術(shù)為支撐攻擊面管理的技術(shù)能力集合，多種技術(shù)組合形成攻擊面管理的能力體系，根據(jù)不同的業(yè)務(wù)場景需求采用不同的能力組合，形成不同的應(yīng)用場景下的攻擊面管理解決方案，為用戶提供有針對性的攻擊面閉環(huán)管理能力。

華云安構(gòu)建的下一代數(shù)字安全防御體系

在分享的最后，王超介紹了華云安正在構(gòu)建的基于攻擊面管理的下一代數(shù)字安全防御體系：

1. 資產(chǎn)清點(diǎn)。通過知識(shí)圖譜技術(shù)，進(jìn)行包括數(shù)字資產(chǎn)、業(yè)務(wù)資產(chǎn)、網(wǎng)絡(luò)資產(chǎn)在內(nèi)的全面的資產(chǎn)清點(diǎn)，識(shí)別最完整的資產(chǎn)暴露面。

2. 自動(dòng)化測試。通過多維度的自動(dòng)化測試，進(jìn)行全面的漏洞檢測以及安全有效性的檢測，以攻擊者視角繪制完整的資產(chǎn)攻擊面。

3. 優(yōu)先級評估。華云安推出了靈洞這款產(chǎn)品進(jìn)行基于風(fēng)險(xiǎn)的漏洞管理，將精力聚焦在有價(jià)值的漏洞修復(fù)上。

4. 情報(bào)預(yù)警。新一代的擴(kuò)展威脅情報(bào)，先于攻擊者發(fā)現(xiàn)弱點(diǎn)和漏洞，并做出實(shí)時(shí)的預(yù)警推送。

5. 快速處置。通過簡化的工作流集成，縮短漏洞響應(yīng)時(shí)間。

華云安將持續(xù)致力于對主動(dòng)防御、情報(bào)協(xié)同、溯源反制能力進(jìn)行融合創(chuàng)新，以攻擊者視角構(gòu)建攻擊面管理安全能力平臺(tái)，提供新一代網(wǎng)絡(luò)安全對抗防御解決方案。