.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
2021年7月,Gartner發布《2021安全运营技术成熟度曲线》 ,並在其中首次提出了CAASM網絡資產攻擊面管理(Cyber asset attack surface management)和EASM外部攻擊面管理(External attack surface management)概念,一眾安全廠商紛紛發聲表示“不謀而合”。
在這裡不討論這種“不謀而合”是否有“搶占解釋權”以推廣自家產品的嫌疑,只思考這種強烈的“認可”從何而來,畢竟同時期無論是Gartner這樣的諮詢機構,還是廠商、研究機構,其推出的新概念都不在少數。
技術在前:安全價值回歸經過一些資料查閱,我們欣喜的發現這種“認可”並非單純的安全圈追熱點,更大程度上是國內安全廠商已經在該領域擁有了一定的基礎,技術精進、產品上市,現在EASM與CAASM概念的出現更像是一次“遲來的正名”。
今天的網絡攻擊極少再有“黑客炫技”,多半都是分工細緻的跨國網絡勒索團伙、可調動資源充足的國家背景“網軍”,以及合作鏈條緊密的龐大地下黑產。關鍵基礎設施單位、坐擁高價值數據的大型企業,甚至政府機構網絡系統,其面臨的網絡安全威脅都已今非昔比。
以此為背景,更多直面安全威脅、且更聚焦問題本身的新產品、新技術迎來發展機遇,這其中,攻擊面管理(ASM)作為一種直觀可行的防守方基礎策略受到行業關注,並衍生出了上述EASM與CAASM兩種不同角度的細分概念。
核心:攻擊者視角!面對安全威脅,防守方自己看自己是沒有用的,重要的是“攻擊者怎麼看你”。就像一場守城戰,你自己知道哪裡重兵把守、哪里城牆堅固,並沒什麼用,因為攻城方只會看這這座城哪裡守備空虛,哪裡更容易得手。
這也就引出了ASM的重要概念——攻擊者視角。
圖“中世紀攻擊者視角”
攻擊者視角本質上是尋找防禦的薄弱點,並測繪出一張標識出“突破口”的地圖,這對於正在堆疊剛性防禦系統的防守方而言,無疑是降維打擊。這些“突破口”就包括網絡空間的影子資產(未知資產)、未更新到最新版本的軟件、錯誤的配置等,通過這些資產數據實現攻擊面收斂。
而這就需要一項關鍵技術支撐——網絡空間測繪技術。
網絡空間的“軍事地圖”網絡空間測繪技術被應用於安全領域,很大程度上拉平了攻守雙方在“視野”層面的不對等,尤其是針對“未知資產”,畢竟我們不能去保護一個自己都不知道存在的東西。
這就引出了一個關鍵性問題,如何讓“地圖”精確?
關鍵點就在於“資產指紋庫”能否覆蓋用戶的全量資產。
網絡空間中的資產測繪需要清晰識別出軟件、硬件、系統、服務、證書、數據庫等各類資產,“庫”還需要跟進產品迭代、新品誕生,甚至新品類的出現,以此來滿足用戶後續安全部署的需求。
從資產角度講,Gartner提出的兩個概念中,CAASM更側重識別組織內部的資產,並發現安全漏洞;而EASM則側重防守方暴露在互聯網上的資產和資產相關情況。兩者各有側重,且適合於不同的用戶場景,但同樣的是,清晰全面的資產識別是後續一切的基礎。
“庫”的廣度與精度既然資產識別如此重要,那麼通過大量資源投入,對互聯網上的資產進行極端週期的全面掃描分析,是否就能打造出覆蓋最全面的資產指紋庫?
答案是否。尤其在各行業數字換轉型加速發展的今天,存在大量僅被某一行業使用的系統、軟件等,這些資產並不暴露在互聯網上,為了測繪識別,就需要安全廠商深入了解行業,去研究這些資產,從而觸類旁通的擴展指紋庫。這也是“廣度”之外,指紋庫的另一項指標——“精度”。
在目前國內安全廠商中,華順信安、知道創宇、360等企業已經憑藉豐富的資產數據積累逐步在這一領域走在了前列,並在諸多安全事件中展現出“測繪”對網絡安全及相關工作的重要價值。
起步較早、長期堅持,是積累資產指紋的基礎。此外,則是通過服務客戶深入了解這一行業領域的資產情況,將這些“非主流”但對行業極為重要的資產擴充進指紋庫。上述三家企業便是測繪領域入場較早的“玩家”,以華順信安為例,其專注網絡空間測繪領域超過7年,服務了多個行業的龍頭企業,這些積累也就能夠在攻擊面管理工作中,為用戶貢獻出更大價值。
綜上,我們能梳理出一個邏輯。網絡安全是最終的目標,攻擊面收斂(含EASM與CAASM)是重要手段,而依託於龐大指紋庫的網絡空間資產測繪則是必要基礎。
尾聲1453年,奧斯曼帝國圍攻當時號稱全世界防守最堅固的城市,君士坦丁堡。雙方對壘數月毫無進展,而一扇位置偏僻的小門卻被守城將士完全忽略,甚至都沒有上鎖,並最終致使城市淪陷。
如果防守方的城防圖對著扇小門做了標註,那麼歷史的走向很可能改變。