您所在的位置: 首頁 >
新聞資訊 >
技術前沿 >
攻擊面管理(ASM)技術詳解和實現(xiàn)
文 | 零零信安 王宇
攻擊面管理(Attack Surface Management)的概念已經出現(xiàn)三年以上,但是在過去的2021年,整個安全行業(yè)突然迅速接納了它。一方面,這表示行業(yè)對實戰(zhàn)型攻防技術的認知有了快速提升,另一方面,這意味著攻擊面管理(ASM)技術理念是符合當前場景化剛需的。
一、什么是攻擊面管理
首先,從理論層面對攻擊面管理進行說明。Gartner在《Hype Cycle for Security Operations,2021》中共有5個相關技術點:外部攻擊面管理(EASM)、網(wǎng)絡資產攻擊面管理(CAASM)、數(shù)字風險保護服務(DRPS)、漏洞評估(VA)、弱點/漏洞優(yōu)先級技術(VPT)。
這是一個神奇的事情,為什么攻擊面管理會涉及到這么多技術領域?以Gartner推薦廠商Cyberint和RiskIQ為例,他們都強調了一件重要的事:獲得攻擊者的視角?,F(xiàn)代化網(wǎng)絡攻擊的最大特點之一就是基于大量數(shù)據(jù)的立體化攻擊。
對于功能堆疊的剛性防御體系來說,立體化攻擊就如同降維打擊的存在。所以需要獲得攻擊者的視角,進行動態(tài)的主動防御。
這就是攻擊面管理誕生的初衷。
繼《2021安全運營技術成熟度曲線》之后,Gartner又在《新興技術:外部攻擊面管理關鍵洞察》中進行了一系列詳細的描述:
? 資產的識別及清點:識別未知的(影子)數(shù)字資產(如網(wǎng)站、IP、域名、SSL證書和云服務),并實時維護資產列表;
? 漏洞修復及暴露面管控:將錯誤配置、開放端口和未修復漏洞根據(jù)緊急程度、嚴重性來進行風險等級分析以確定優(yōu)先級;
? 云安全與治理:識別組織的公共資產,跨云供應商,以改善云安全和治理,EASM可以提供全面的云資產清單,補充現(xiàn)有的云安全工具;
? 數(shù)據(jù)泄漏檢測:監(jiān)測數(shù)據(jù)泄漏情況,如憑證泄漏或敏感數(shù)據(jù);
? 子公司風險評估:進行公司數(shù)字資產可視化能力建設,以便更全面地了解和評估風險;
? 供應鏈/第三方風險評估:評估組織的供應鏈和第三方有關的脆弱性及可見性,以支持評估組織的暴露風險;
? 并購(M&A)風險評估:了解待并購公司數(shù)字資產和相關風險。
網(wǎng)絡資產攻擊面管理(CAASM)則傾向于以智能化的手段更高效的識別組織內部的資產和漏洞。CAASM是一種新興的技術,專注于使安全團隊能夠解決持久的資產可見性和漏洞的挑戰(zhàn)。它使組織能夠通過API與現(xiàn)有工具的集成、對合并后的數(shù)據(jù)進行查詢、識別安全控制中的漏洞和差距的范圍,以及修復問題,來查看所有資產(包括內部和外部)的風險。(以上是Gartner的定義,從筆者的角度來看,這更像是一個更強大的、進行智能化拓展后的漏洞管理系統(tǒng),也許未來漏洞管理系統(tǒng)的功能模型就將是CAASM。)
需要特別指出的地方是,Gartner認為“攻擊面管理能力可跨越到其他現(xiàn)有的安全領域,主要是數(shù)字風險保護服務(DRPS)”。甚至在2021年10月25日其發(fā)布的《Competitive Landscape: Digital Risk Protection Services》中預言:
到2023年底,超過50%的DRPS供應商將增加EASM功能,作為其數(shù)字足跡功能的自然擴展。
由于國內某些概念的誤導,DRPS的技術綱要并沒有正確的被傳達,為了更有效的說明ASM應該包含的技術點,有必要對它進行技術點說明。
Gartner:通過提供技術與服務,保護組織的關鍵數(shù)字資產和數(shù)據(jù)免受外部威脅。這些解決方案提供了對開放(表面)網(wǎng)絡、社交媒體、暗網(wǎng)和深網(wǎng)的可視性,以識別關鍵資產的潛在威脅,并提供有關威脅參與者、其進行惡意活動的策略和流程的背景信息。
識別暴露的有風險的數(shù)字資產,具體包含:
? 組織的數(shù)字足跡(云存儲服務、打開的端口和未修補過的漏洞等);
? 品牌保護(域名搶注和冒充高管等);
? 組織的賬戶接管風險(電子憑證、組織的賬戶信息被盜等);
? 詐騙活動(網(wǎng)絡釣魚檢測、信用卡泄露、客戶資料泄露等);
? 泄露數(shù)據(jù)(具有知識產權的數(shù)據(jù)、資料、代碼等)。
至此,可以看出,ASM(攻擊面管理)包含EASM(外部攻擊面管理)和CAASM(網(wǎng)絡資產攻擊面管理),EASM與DRPS(數(shù)字風險保護服務)有拓展和重疊之處,它們都需要VA(漏洞評估)和VPT(弱點/漏洞優(yōu)先級技術)的功能和技術支持。
二、攻擊面管理產品的實現(xiàn)
以上雖然對攻擊面管理進行了理論構架和其構成要素分析,但作為產品實現(xiàn)仍然過于抽象。接下來以產品設計的角度來分析攻擊面管理應該具備的功能模型。
首先需要明確的是,一個完整的攻擊面管理產品,其產品形態(tài)應該是:
云端數(shù)據(jù)+私有化部署
攻擊面管理產品應具備以下功能:
1.攻擊面管理(ASM)功能組
? 網(wǎng)絡空間測繪(CAM)
網(wǎng)絡空間測繪技術誕生已有10年歷史,技術成熟,這里不再進行詳細說明,需要說明的是,它必須從全互聯(lián)網(wǎng)角度進行測繪,以保證不會遺漏組織的外部IT資產和影子資產。
? 組織架構和關聯(lián)組織的識別
為了保證組織對應IT資產的全面和準確(尤其是對于影子資產),以及為子公司和有關聯(lián)(M&A)的企業(yè)進行評估,必須優(yōu)先進行組織架構的識別和映射。
? 數(shù)字足跡的映射
這個概念很好理解,就是要將相關組織、子公司、關聯(lián)組織等與IT資產進行映射。但是從實踐的角度出發(fā),傳統(tǒng)的網(wǎng)絡空間測繪的引擎設計邏輯需要進行調整,以目前先進行盲測再使用關鍵字識別、icon識別和標簽等方法,很難做到全面和準確的映射。
? 供應鏈的識別和風險暴露面
供應鏈攻擊在最近一年對全球造成了很大影響,需要對組織使用的產品、第三方組件,供應商進行盡可能的探測、識別和風險暴露面的發(fā)現(xiàn)。
2.威脅情報(TI)功能組
這里提到的威脅情報,并非狹義上定義的“僵木蠕威脅情報”,而是更廣義的,會對業(yè)務和數(shù)據(jù)造成直接影響的情報源的探測和主動情報收集。隨著《數(shù)據(jù)安全法》和《個人信息保護法》的頒布和執(zhí)行,該部分既涉及到組織自身的業(yè)務影響,也涉及到合法合規(guī)問題,所以本章僅列出內容,在下述章節(jié)詳細討論。這里特別說明的是,該部分必須包含“對暗網(wǎng)的可視性”。
? 業(yè)務數(shù)據(jù)和數(shù)字資產泄露情報
? 隱私數(shù)據(jù)泄露和內部人員數(shù)據(jù)泄露情報
3.漏洞優(yōu)先級技術(VPT)功能組
漏洞優(yōu)先級技術(VPT)至少應該包含4個主要功能和一些輔助功能,具體包括:
? 全面、快速的資產發(fā)現(xiàn)能力
? 多類型掃描器調度和多維度漏洞評估
? 漏洞情報和智能優(yōu)先級排序
? 漏洞全生命周期管理流程和自動編排
基于以上功能說明,對攻擊面管理產品的定位和功能模型就很清晰了,其可以描述為:
攻擊面管理系統(tǒng)(產品):
將組織與其不斷發(fā)展的外部和內部IT系統(tǒng)及數(shù)字足跡進行映射、與漏洞情報數(shù)據(jù)進行關聯(lián),并持續(xù)發(fā)現(xiàn)業(yè)務數(shù)據(jù)和代碼泄露、組織和人員信息的泄露、以及對供應鏈的攻擊面進行檢測,通過對全球開放網(wǎng)絡和非公開網(wǎng)絡的情報源、組織自身業(yè)務上下文等進行大量數(shù)據(jù)采集和弱點優(yōu)先級分析,為組織輸出攻擊面情報,以提供給組織更高級別的主動防御。
三、業(yè)務數(shù)據(jù)泄露與數(shù)字資產泄露
該部分將闡述組織業(yè)務數(shù)據(jù)泄露、內部文件或與組織相關的文檔和文案在外部暴露、組織相關的業(yè)務系統(tǒng)和軟件的代碼和配置泄露等情況下,對組織帶來的風險、以及應該如何發(fā)現(xiàn)和如何進行智能優(yōu)先級排序建議。
1. 風險
組織的業(yè)務數(shù)據(jù)、內部文件、項目信息、財務數(shù)據(jù)、核心圖紙、軟件代碼、業(yè)務系統(tǒng)配置等等,有可能因為內部人員的工作習慣(例如將文件上傳到某些互聯(lián)網(wǎng)服務器或者網(wǎng)盤上),也有可能因為開發(fā)人員的誤操作(例如Github權限設置不當),或者被惡意竊取(例如黑客通過技術手段獲得、或者某些未授權人員通過其他違規(guī)手段獲得)等,傳播在互聯(lián)網(wǎng)或者暗網(wǎng)上。這可能導致組織內部機密外泄,或者導致黑客利用獲取的代碼和配置文件獲知業(yè)務系統(tǒng)漏洞等。其帶來的風險通常是直接且隱蔽的。
以往,由于網(wǎng)絡攻擊導致的安全事件,從數(shù)據(jù)泄露到組織發(fā)現(xiàn)的間隔時間,平均在87天,而由于人員誤操作導致的安全事件的時間間隔,平均在207天。在此期間,組織相關的泄露數(shù)據(jù)都面臨著極高的被他人利用的風險,越早發(fā)現(xiàn),風險暴露窗口越短,風險才會大幅度降低。
2. 發(fā)現(xiàn)
進行業(yè)務數(shù)據(jù)泄露和數(shù)字資產泄露情報的獲取,應該遵循3個方法:
1) 數(shù)據(jù)必須進行組織的映射,并且由組織向關鍵信息進行輻射。
具體來說,應該由組織名稱拓展到子組織和相關組織,然后對各級組織相關業(yè)務、系統(tǒng)、數(shù)據(jù)、產品、項目等進行智能關鍵信息獲取。、
2) 盡可能覆蓋全面的公開威脅源。
數(shù)據(jù)泄露的重要泄露源就是公開網(wǎng)絡上的威脅源,其可能包含來自天眼查、企查查、Gitlib、Github、CSDN、百度網(wǎng)盤、百度文庫、微博等等,對各個威脅源、社交媒體、云存儲的覆蓋面越廣,查找到的數(shù)據(jù)越多,才能越全面的發(fā)現(xiàn)風險。
3) 具備非公開網(wǎng)絡的可視性
非公開網(wǎng)絡主要是深網(wǎng)和暗網(wǎng),數(shù)據(jù)泄露的重要傳播源是暗網(wǎng)交易市場,其特點是數(shù)量龐大、活躍度差異大、獲取方式隱秘、交易完全匿名等,對其進行實時更新與監(jiān)控的難度較大,但極其重要。
3. 優(yōu)先級排序
對于越大的組織,進行越全面的監(jiān)控,其數(shù)據(jù)量越龐大,一個具備一定規(guī)模的組織獲取到的公共網(wǎng)絡數(shù)據(jù)可能達到數(shù)萬條以上。以往通過人工逐一篩查其風險性,效率極低且有可能遺漏本就不多的關鍵信息。所以對大量數(shù)據(jù)進行智能化的優(yōu)先級排序就顯得尤為重要。通過合理的算法和規(guī)則不斷優(yōu)化數(shù)據(jù)風險等級的賦值,以及抽取關鍵信息,以供安全運維人員和安全專家進行高效研判,才能取得有效的成果和價值。
四、隱私數(shù)據(jù)泄露與組織員工數(shù)據(jù)泄露
無論是組織存儲的業(yè)務數(shù)據(jù)中的個人隱私數(shù)據(jù),還是組織員工(尤其是組織的重要角色)的個人隱私數(shù)據(jù)泄露,都是非常嚴重的事情。它不僅會對組織帶來業(yè)務上的風險,還會引來品牌和名譽的損失,更重要的是這可能會觸犯《網(wǎng)絡安全法》《數(shù)據(jù)安全法》和《個人信息保護法》。
與組織的業(yè)務數(shù)據(jù)等泄露不同,個人隱私數(shù)據(jù)有3個很重要的特點:
1. 利用難度低、命中率高、其風險極高。
個人隱私數(shù)據(jù)一旦泄露,尤其是手機號、郵箱、密碼、卡號等信息的泄露,極易成為黑客利用的首選手段,可能會導致釣魚或其他社會工程學攻擊;
2. 直接損失大、間接損失影響深遠。
如果組織員工的個人隱私數(shù)據(jù),尤其是組織VIP的個人隱私數(shù)據(jù)泄露,攻擊者很有可能直接通過登陸其郵箱、CRM系統(tǒng)、OA系統(tǒng)、業(yè)務系統(tǒng)、釘釘、VPN等,獲取組織敏感信息甚至核心數(shù)據(jù)(在不進行其他技術攻擊和滲透的情況下即可完成)。攻擊者還可以進行其他擴展性攻擊,比如對個人賬單、銀行流水、消費記錄、住宿記錄等進行查詢和其他處置,它的影響是極其深遠的;
3. 告警和處置難度高。
相對于其獲取難度而言,個人隱私數(shù)據(jù)泄露的告警難度極高。在暗網(wǎng)中,流傳著大量個人隱私數(shù)據(jù)(其聚合數(shù)據(jù)也被稱為“社工庫”),對于專業(yè)的攻擊者來說,獲得它們的難度和成本并不高。但是對于防御者來說,受制于法律法規(guī)的限制、因引起當事人不悅而導致無法授權、以及避免數(shù)據(jù)被惡意使用等情況的考慮,具備此能力的情報廠商很難將此類情報完整的提供給相關組織。而相關組織的安全管理員無論是否獲得了完整的情報信息,在設法通知隱私數(shù)據(jù)被泄露的本人進行處置時,往往溝通過程會受到諸多質疑、不悅、無視、挑戰(zhàn)等態(tài)度,導致處置起來比系統(tǒng)漏洞的難度更高。
隱私數(shù)據(jù)泄露面臨的是利用簡單、命中率高、損失大、影響深遠,風險極大,卻難以告警和處置的局面。
情報觸達率低、使用率低,并不代表它們不存在。事實上,大量個人信息和隱私數(shù)據(jù)正在暗網(wǎng)中長期流傳。根據(jù)Identity Theft Resource Center (ITRC)2021提供的數(shù)據(jù),僅在2021年泄露的個人隱私數(shù)據(jù),影響人員已高達18億以上,造成的直接損失在265至270億美元,而它們從泄露到發(fā)現(xiàn)的平均時間長達112天。對此,歐盟根據(jù)《通用數(shù)據(jù)保護條例》(GDPR)在2021年第三季度開出的罰單就超過了2020年全年的3倍以上,達到11.4億美元。
目前我國對于數(shù)據(jù)安全、個人信息保護等方面的治理力度大幅加強,已出臺和執(zhí)行相關法律法規(guī)。但在相關從業(yè)者認知的提升、管理責任的落實、情報的合理使用等方面,尚需要加強和時間的沉淀。
注:本文僅為作者個人觀點,與本刊立場無關。
文章來源:中國信息安全