信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

攻擊面管理從2021年提出，經(jīng)歷兩年發(fā)展，當(dāng)前進(jìn)入產(chǎn)品研發(fā)與深化落地階段。有效的攻擊面管理不止需要外部攻擊面的資產(chǎn)納管，同時(shí)需要考慮外部攻擊面、網(wǎng)絡(luò)空間資產(chǎn)攻擊面的融合實(shí)現(xiàn)，兼顧風(fēng)險(xiǎn)管理的兼容和融合導(dǎo)入，在考慮既往建設(shè)投入防止重復(fù)建設(shè)的基礎(chǔ)上，以整體安全保障觀實(shí)現(xiàn)綜合攻擊面管理。在攻守雙視角的基礎(chǔ)上，面對日漸消融的安全邊界，通過閉合風(fēng)險(xiǎn)管理與攻擊面管理實(shí)現(xiàn)一體化安全運(yùn)營，成為企業(yè)組織未來實(shí)現(xiàn)資產(chǎn)、脆弱性、風(fēng)險(xiǎn)聯(lián)合管控的一條可行路徑。

Gartner于2021年提出網(wǎng)絡(luò)資產(chǎn)攻擊面管理（Cyber Asset Attack Surface Management）與外部攻擊面管理（External Attack Surface Management），自此有關(guān)攻擊面管理（ASM-Attack Surface Management）主題的技術(shù)與安全產(chǎn)品開始不斷涌現(xiàn)[1]。2022年與2023年，Gartner持續(xù)兩度于其發(fā)布的安全運(yùn)營技術(shù)成熟度曲線（Hype Cycle for Security Operations）報(bào)告中發(fā)布了相關(guān)內(nèi)容。ASM是風(fēng)險(xiǎn)管理、資產(chǎn)管理、漏洞管理、網(wǎng)絡(luò)空間測繪相關(guān)概念發(fā)展后又一深刻影響到資產(chǎn)與漏洞管理模式的技術(shù)理念，開啟了依托ASM進(jìn)行資產(chǎn)和漏洞管理的新的時(shí)代[2]。

01

攻擊面管理的內(nèi)涵

根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）有關(guān)攻擊面的定義，攻擊面是系統(tǒng)、系統(tǒng)元素或環(huán)境邊界上的一組攻擊點(diǎn)，攻擊者可以嘗試?yán)貌⑦M(jìn)入該系統(tǒng)、系統(tǒng)元素或環(huán)境，對該系統(tǒng)、系統(tǒng)元素或環(huán)境產(chǎn)生負(fù)面影響或竊取數(shù)據(jù)[3]。

Gartner發(fā)布的相關(guān)報(bào)告中直接引用了NIST有關(guān)攻擊面的定義，并且明確了ASM涉及人員、流程、技術(shù)和服務(wù)的組合，其用于持續(xù)發(fā)現(xiàn)、清點(diǎn)和管理組織的資產(chǎn)，相關(guān)資產(chǎn)涉及內(nèi)部和外部，并會(huì)引發(fā)數(shù)字風(fēng)險(xiǎn)。ASM通過整合工具和服務(wù)，通過增強(qiáng)管理的透明度，從而降低被惡意威脅利用脆弱性的可能性。ASM由三個(gè)主要功能支持：網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）、外部攻擊面管理（EASM）和數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)（DRPS）[2]。

此外，第三方機(jī)構(gòu)IDC認(rèn)為，傳統(tǒng)漏洞管理技術(shù)執(zhí)行的是內(nèi)部掃描，ASM平臺(tái)則掃描互聯(lián)網(wǎng)，從企業(yè)外部視角和攻擊者視角發(fā)現(xiàn)可能被網(wǎng)絡(luò)攻擊者利用的系統(tǒng)脆弱性。其中，資產(chǎn)發(fā)現(xiàn)是所有ASM解決方案的共同點(diǎn)，以提供對所有面向互聯(lián)網(wǎng)的資產(chǎn)的可見性，包括本地部署的以及云上已知和未知資產(chǎn)。ASM平臺(tái)能夠基于風(fēng)險(xiǎn)的評分幫助安全團(tuán)隊(duì)確定行動(dòng)的優(yōu)先次序，最大程度降低安全風(fēng)險(xiǎn)[5]。

當(dāng)前于產(chǎn)品側(cè)，國內(nèi)更傾向于將ASM分為外部攻擊面即EASM和網(wǎng)絡(luò)資產(chǎn)攻擊面CAASM。EASM強(qiáng)調(diào)外部攻擊者視角，針對暴露在公網(wǎng)的資產(chǎn)，CAASM則強(qiáng)調(diào)內(nèi)外部視角，通過資產(chǎn)主動(dòng)與被動(dòng)探測的方式來解決持續(xù)的資產(chǎn)可見性和漏洞風(fēng)險(xiǎn)。DRPS于國內(nèi)進(jìn)行產(chǎn)品化的進(jìn)程中，逐漸與EASM融合，涉及的功能包含了暗網(wǎng)泄露監(jiān)控、對外開放的應(yīng)用與數(shù)據(jù)濫用監(jiān)控、賬戶盜用相關(guān)功能。

02

攻擊面管理的價(jià)值

攻擊面管理較傳統(tǒng)風(fēng)險(xiǎn)管理，最為獨(dú)特的轉(zhuǎn)變，是其從防守者轉(zhuǎn)換為攻擊者視角審視組織的資產(chǎn)、脆弱性、威脅，其維度高于資產(chǎn)管理以及網(wǎng)絡(luò)空間測繪，同時(shí)在風(fēng)險(xiǎn)評估的框架下，通過再度融入威脅和脆弱性，以保護(hù)數(shù)字資產(chǎn)為目的而進(jìn)行一系列諸如資產(chǎn)核查、威脅發(fā)現(xiàn)相關(guān)工作。其不只是從管理范圍上進(jìn)行了延展，同時(shí)也從安全效果上得到了驗(yàn)證。

我們一般防守視角下的資產(chǎn)、脆弱性、風(fēng)險(xiǎn)管理偏向于二元攻防思維下的對抗，如圖一所示。防守方通過安全建設(shè)，實(shí)施縱深防御（DID），以保護(hù)資產(chǎn)不被攻擊，或被攻擊后損失可控。而與之對抗的攻擊方，是通過突破層層防御體系，實(shí)現(xiàn)核心資產(chǎn)的獲取、破壞，圖一所示路徑1是防守視角下對安全攻擊的設(shè)想與認(rèn)知。

圖1二元攻防思維下的二維攻擊路徑

對于攻擊者，一般需要收集防守側(cè)相關(guān)信息，通過“踩點(diǎn)”的方式進(jìn)行不斷試探性嘗試，并最終實(shí)現(xiàn)規(guī)劃攻擊路徑與攻擊方案的設(shè)計(jì)。但攻擊者獲得信息以及利用信息的方式遠(yuǎn)大于防守視角的范疇，尤其越是需要伏擊等待激活的場景，往往會(huì)優(yōu)先考慮繞過DID，采取迂回、靜默、社工等非正面直接對抗方式進(jìn)行攻擊，所以突破傳統(tǒng)防守視角而從更綜合的視角認(rèn)知攻擊非常必要。

以CAASM內(nèi)網(wǎng)資產(chǎn)為例，攻擊者視角下的資產(chǎn)不但包含硬件設(shè)備、云主機(jī)、操作系統(tǒng)、應(yīng)用系統(tǒng)、Web應(yīng)用，還包含IP地址、端口、證書、域名、中間件，甚至囊括了組織機(jī)構(gòu)運(yùn)營和對外發(fā)布的公眾號、小程序、App，公開對外共享的API。概括來說，只要是可操作的對象，不管是硬件、軟件，還是實(shí)體、屬性，均可以稱為網(wǎng)絡(luò)空間資產(chǎn)。所以回歸至NIST對于攻擊面的定義，組織機(jī)構(gòu)所擁有的一切可能被潛在攻擊者利用的設(shè)備、信息、應(yīng)用等數(shù)字資產(chǎn)均應(yīng)當(dāng)在納管范圍。基于資產(chǎn)范圍的擴(kuò)大解釋，從組織層面，攻擊面管理既提出了能夠核查識別已經(jīng)掌握的數(shù)字資產(chǎn)信息的能力，還需要具備探測、發(fā)現(xiàn)、識別新增資產(chǎn)或是游離資產(chǎn)的能力。

圖2攻擊與防守視角下資產(chǎn)的差異

圍繞組織未掌握資產(chǎn)的核查與發(fā)現(xiàn)，除內(nèi)網(wǎng)資產(chǎn)，不受組織管控的外部資產(chǎn)、主動(dòng)公開信息、泄露數(shù)據(jù)也是攻擊者關(guān)注的對象。而這也是EASM專注的領(lǐng)域，如圖2所示，攻擊者會(huì)專注關(guān)聯(lián)信息的廣泛收集，如企業(yè)組織架構(gòu)、人員信息、商務(wù)信息、影子資產(chǎn)（Shadow IT）信息，甚至通過暗網(wǎng)交易獲取更多數(shù)據(jù)，從中識別安全漏洞、供應(yīng)鏈安全問題，完成諸如鎖定攻擊目標(biāo)、社工攻擊方案設(shè)計(jì)等一系列操作。

圖3暴露盲區(qū)下的三維攻擊路徑

攻擊者視角下對資產(chǎn)與攻擊路徑的理解，可以通過升維的方式進(jìn)行解釋。如圖三所示，三維空間下的攻防，防守一側(cè)的DID會(huì)因?yàn)楸┞睹^(qū)的存在而被繞過徹底失效。而暴露盲區(qū)最常見的兩大類資產(chǎn)，一為影子資產(chǎn)，即企業(yè)組織本該管理但游離于管控外的資產(chǎn)；二為已經(jīng)泄露的數(shù)字資產(chǎn)，但企業(yè)組織還未通過可查信息渠道獲得相關(guān)反饋，更無從評估確定應(yīng)對相關(guān)風(fēng)險(xiǎn)的方案。

聚焦在攻擊者視角去審視網(wǎng)絡(luò)空間內(nèi)不同形態(tài)種類的資產(chǎn)所組成的攻擊暴露面，其極大地強(qiáng)調(diào)了各類資產(chǎn)的可觀測性。雖然國內(nèi)產(chǎn)品化的進(jìn)程中，關(guān)注了CAASM與EASM的區(qū)分，但圍繞ASM不能單獨(dú)基于“內(nèi)、外”的概念強(qiáng)行劃分，尤其是當(dāng)各類數(shù)據(jù)、信息涌入，進(jìn)行安全運(yùn)營平臺(tái)化建設(shè)后，如何將相關(guān)數(shù)據(jù)進(jìn)行關(guān)聯(lián)運(yùn)算，是ASM支持實(shí)現(xiàn)“可運(yùn)營”目標(biāo)的關(guān)鍵內(nèi)容。而保持與既有安全管理、風(fēng)險(xiǎn)管理、態(tài)勢感知等平臺(tái)和技術(shù)的一體化融合，不但利于管理的便利性，防止“依賴采購產(chǎn)品實(shí)現(xiàn)安全建設(shè)”的片面做法，而且可以真正凸顯ASM于總體安全保障的價(jià)值。

03

綜合風(fēng)險(xiǎn)閉合框架

在闡述風(fēng)險(xiǎn)管理閉合框架前，需要理解暴露面管理、脆弱性管理、攻擊面管理的差異。暴露面屬于頂層概念，其包容了攻擊面、脆弱性、安全驗(yàn)證三項(xiàng)關(guān)鍵內(nèi)容。傳統(tǒng)脆弱性核查的能力不可或缺，尤其是以漏洞掃描和漏洞管理為代表的關(guān)鍵基礎(chǔ)性工作，并不因ASM的出現(xiàn)直接被取代，其為ASM的關(guān)鍵協(xié)同內(nèi)容，也是網(wǎng)絡(luò)安全運(yùn)營工作的基礎(chǔ)。與此同時(shí)不能因?yàn)榇嬖诼┒垂芾砟芰?，直接轉(zhuǎn)化為ASM，其底層對情報(bào)分析挖掘的粒度以及中層劇本、頂層場景需要眾多研發(fā)投入。鑒于綜合ASM的必要性，在脆弱性兩端關(guān)聯(lián)的基礎(chǔ)上，即防守視角下的風(fēng)險(xiǎn)管理與攻擊視角下的攻擊面管理，我們提出了風(fēng)險(xiǎn)閉合框架，如圖四所示。

圖4風(fēng)險(xiǎn)閉合框架

風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)場景，是圍繞業(yè)務(wù)連續(xù)性管理（BCM）進(jìn)行的業(yè)務(wù)連續(xù)性流程（BCP）以及災(zāi)難恢復(fù)流程（DRP）設(shè)計(jì)，而攻擊面管理的標(biāo)準(zhǔn)場景是CAASM與EASM，通過共享兩者底層能力，在共有的基礎(chǔ)上，我們于底層通過拓展資產(chǎn)范圍、關(guān)聯(lián)拓展脆弱性核查與情報(bào)挖掘，與攻擊面涉及的攻擊觸點(diǎn)實(shí)現(xiàn)銜接，實(shí)現(xiàn)研發(fā)體系、安全體系、運(yùn)維體系的資產(chǎn)全程識別管控，其要求底層數(shù)據(jù)、系統(tǒng)的關(guān)聯(lián)打通，避免重復(fù)建設(shè)與投資浪費(fèi)，更重要的是防止多點(diǎn)數(shù)據(jù)造成的數(shù)據(jù)孤島現(xiàn)象，無法融合產(chǎn)生價(jià)值。而框架中層納入了資產(chǎn)生命周期管理，保證現(xiàn)實(shí)業(yè)務(wù)的兼容性，也提供了靈活的攻擊視角場景化擴(kuò)展，從而支持頂層一體化安全運(yùn)營的實(shí)現(xiàn)。

閉合框架下的資產(chǎn)管理不但要求納管傳統(tǒng)安全臺(tái)賬涉及的IT資產(chǎn)，還需具備終端App、小程序的管理，并能夠持續(xù)逐步實(shí)現(xiàn)類似API資產(chǎn)，甚至諸如工業(yè)網(wǎng)絡(luò)、車聯(lián)網(wǎng)的新型資產(chǎn)的識別與納管。而傳統(tǒng)資產(chǎn)與漏洞掃描工具以及滲透測試服務(wù)均成為輔助實(shí)現(xiàn)核查的底層能力，而且需要融合未知資產(chǎn)、影子資產(chǎn)探測的能力，在關(guān)聯(lián)威脅情報(bào)信息的基礎(chǔ)上，保證影子資產(chǎn)與信息泄露發(fā)現(xiàn)的有效性。

此外，傳統(tǒng)圍繞諸如CVSS漏洞評級的場景，需逐步向支持漏洞優(yōu)先級技術(shù)（VPT）演進(jìn)升級，通過關(guān)聯(lián)業(yè)務(wù)重要性與場景信息，動(dòng)態(tài)地將需要修復(fù)的漏洞排定優(yōu)先級，進(jìn)而支持在統(tǒng)一的平臺(tái)上進(jìn)行排序和處理。即閉合后的風(fēng)險(xiǎn)管理與攻擊面管理框架，其兼容調(diào)和了風(fēng)險(xiǎn)管理業(yè)務(wù)，實(shí)現(xiàn)了雙視角的融合，通過閉合以彌補(bǔ)視角差缺陷，所提供的能力更利于管理流程的銜接與底層功能的貫通，從而支持安全決策的有效性提升。

04

攻擊面驗(yàn)證

在正常圍繞暴露面管理的要求中，會(huì)明確涉及暴露面驗(yàn)證的功能。而ASM不能因?yàn)閷儆诒┞睹婀芾淼南挛桓拍钪痪劢褂谧R別發(fā)現(xiàn)、評估通知的功能，同樣應(yīng)當(dāng)具備攻擊面驗(yàn)證核查以及攻擊面收斂的功能。從技術(shù)角度，融合驗(yàn)證收斂能夠提升識別驗(yàn)證與處置的效果，防止大范圍誤報(bào)、海量告警無從處理的情況發(fā)生。從管理角度，攻擊面驗(yàn)證也保證了流程的閉環(huán)，避免只告警待整改、不整改的情況發(fā)生。與此同時(shí)，從集成可行性角度出發(fā)，企業(yè)組織可以在既有安全建設(shè)的基礎(chǔ)上，也可采取模塊化的模式，經(jīng)裁剪縱向分層次融合ASM的功能，而非從數(shù)據(jù)采集、清洗分析、關(guān)聯(lián)計(jì)算等，一直到頂層功能全部采購，需要考慮避免重復(fù)建設(shè)浪費(fèi)，也需考慮底層安全能力的復(fù)用協(xié)同。

圖5攻擊面驗(yàn)證邏輯

攻擊驗(yàn)證應(yīng)當(dāng)整合平臺(tái)自動(dòng)化驗(yàn)證以及安全服務(wù)涉及的專家驗(yàn)證，因自動(dòng)化驗(yàn)證能夠盡速縮減驗(yàn)證范圍，提升人員驗(yàn)證的效率。人員驗(yàn)證可以基于自動(dòng)化驗(yàn)證結(jié)果，也可基于專門場景，如國家攻防賽事期間的攻擊面驗(yàn)證。根據(jù)如上驗(yàn)證結(jié)果，可以推進(jìn)下一步策略下發(fā)，進(jìn)行攻擊面收斂。

05

攻擊面收斂

攻擊面融合驗(yàn)證與收斂后的示意圖，如圖六所示。經(jīng)過收斂后的網(wǎng)絡(luò)環(huán)境與攻擊面能夠，使得風(fēng)險(xiǎn)接受區(qū)的邊界更加明確穩(wěn)定。

圖6攻擊面收斂

針對內(nèi)部可控資產(chǎn)，攻擊面收斂涉及漏洞資產(chǎn)及已攻陷資產(chǎn)的確認(rèn)與下線，但其前提首先需要基于對硬件、系統(tǒng)、應(yīng)用、中間件等關(guān)鍵信息的精確管理與有效更新維護(hù)，并且需要基于業(yè)務(wù)重要程度對以上資產(chǎn)進(jìn)行標(biāo)記和常態(tài)化監(jiān)控。在攻擊發(fā)生時(shí)，使用關(guān)鍵信息篩選并迅速定位涉險(xiǎn)資產(chǎn)，通過自動(dòng)化腳本、PoC驗(yàn)證等進(jìn)行漏洞的精準(zhǔn)匹配，在基于業(yè)務(wù)優(yōu)先級的基礎(chǔ)上下發(fā)響應(yīng)策略。同時(shí)攻擊面收斂應(yīng)當(dāng)聯(lián)動(dòng)管理流程，通過下發(fā)通知、工單等方式，實(shí)現(xiàn)業(yè)務(wù)、安全、運(yùn)維多部門的信息推送與流程協(xié)作。

對于外部半可控、不可控資產(chǎn)，需要基于外部資產(chǎn)、數(shù)據(jù)所處的環(huán)境和平臺(tái)差異，采取不同的攻擊面收斂策略，且必須匹配實(shí)際可行的應(yīng)急響應(yīng)方案與管理流程。如針對網(wǎng)絡(luò)云盤、網(wǎng)盤等共享平臺(tái)類的資產(chǎn)，尤其涉及開發(fā)團(tuán)隊(duì)使用的代碼平臺(tái)、文檔文庫共享平臺(tái)，能夠通過申訴聯(lián)系平臺(tái)方進(jìn)行下線處置，并于平日進(jìn)行安全意識宣貫，對內(nèi)保證人員對外發(fā)代碼、文檔合規(guī)性的認(rèn)知符合組織要求。而商務(wù)與關(guān)聯(lián)平臺(tái)服務(wù)提供方或CSP簽訂服務(wù)級別協(xié)議時(shí)，明確攻擊下線的流程與響應(yīng)時(shí)效；針對公眾號、小程序、托管程序、托管數(shù)據(jù)，能夠?qū)又付C(jī)構(gòu)，啟動(dòng)業(yè)務(wù)下線、API接口關(guān)閉、數(shù)據(jù)封存、調(diào)查取證的流程，并且對內(nèi)具備明確的業(yè)務(wù)連續(xù)性管理流程，保證關(guān)聯(lián)業(yè)務(wù)下線后干系人能夠適時(shí)獲知并承擔(dān)相應(yīng)責(zé)任。

此外，針對暗網(wǎng)交易監(jiān)控獲得的情報(bào)，需要具備驗(yàn)證泄露的真實(shí)性能力，能夠評估泄露的影響，并匹配關(guān)聯(lián)公共關(guān)系維護(hù)甚至監(jiān)管機(jī)構(gòu)對接流程，防止事態(tài)的進(jìn)一步擴(kuò)大。其次根據(jù)組織安全團(tuán)隊(duì)的能力，或采購?fù)獠糠?wù)的方式，進(jìn)行泄露的核查與路徑溯源性取證，以針對相關(guān)個(gè)人進(jìn)行問責(zé)，并支持后續(xù)監(jiān)管機(jī)構(gòu)的質(zhì)詢。

參考文獻(xiàn)：

[1]Pete Shoard,Shilpi Handa,Hype Cycle for Security Operations 2021,Gartner.

[2]Andrew Davies,Hype Cycle for Security Operations 2022,Gartner

[3]https://csrc.nist.gov/glossary/term/attack_surface

[4]Austin Zhao,IDC Innovators:中國攻擊面管理（ASM）技術(shù)，2023.