作者:vivo 互联网安全团队- PengQiankun
本文结合CASSM和EASM两个新兴的攻击面管理技术原理对资产管理,综合视图(可视化),风险评估,风险修复流程四个关键模块进行简述,为企业攻击面安全风险管理提供可落地的建设思路参考。
一、攻击面概述
攻击面是企业所有网络资产在未授权的情况下便能被访问和利用的所有可能入口的总和。
随着物联网、5G 、云计算等技术发展和社会数字化转型持续发展,当下的网络空间资产的范围和类型也发生了巨大变化,同时未来将会有更多的新兴资产和服务出现,如何去建立更加合适高效的安全技术体系来管理企业面临的攻击面安全风险将是安全运营工作面临的新挑战。
行业趋势:
Gartner在 2021 年 7 月 14 日发布《 2021 安全运营技术成熟度曲线》中明确提到了攻击面的两个新兴技术:网络资产攻击面管理( Cyber assetattack surface management)和外部攻击面管理( External Attack Surface Management),目标是为了让安全团队对暴露资产以及攻击面进行科学高效的管理,从攻击者视角审视企业网络资产可能存在的攻击面及脆弱性,建立对企业网络攻击面从检测发现、分析研判、情报预警、响应处置和持续监控的全流程闭环安全分析管理机制。
从安全运营技术成熟度曲线可以看出,CAASM 和 EASM 还处于启动期,这两种技术虽然刚刚诞生,还处于概念阶段,却已经引起了外界的广泛关注。
- CAASM
CAASM是一项新兴技术,旨在帮助安全团队解决持续的资产暴露和漏洞问题。它使组织能够通过与现有工具的API集成来查看所有资产(包括内部和外部),查询合并的数据,识别安全控制中的漏洞和漏洞的范围,并纠正问题。其取代传统手动收集资产信息和繁琐的流程来提高资产管理的效率。
另外,CAASM通过确保整个环境中的安全控制、安全态势和资产暴露得到理解和纠正,使安全团队能够改善基本的安全能力。部署CAASM的组织减少了对自产系统和手工收集流程的依赖,并通过手工或自动化工作流来弥补差距。此外,这些组织可以通过提高可视化安全工具的覆盖率来优化可能有陈旧或缺失数据的记录源系统。
综合来说对于组织有以下优点:
- 对组织控制下的所有资产的全面可见性,以了解攻击表面区域和任何现有的安全控制缺口。
- 更快速的合规审计报告通过更准确,及时、全面的资产以及安全控制报告。
- 资产综合视图,减少人力投入。
- EASM
EASM是指为发现面向外部提供服务的企业资产,系统以及相关漏洞而部署的集流程,技术,管理为一体的服务,比如服务器,凭证,公共云服务配置错误,三方合作伙伴软件代码漏洞等。EASM提供的服务里会包含DRPS,威胁情报,三方风险评估以及脆弱性评估,以及供应商能力评估等细分服务。
EASM主要包含5个模块:
- 监控,持续主动扫描互联网与领域相关的环境(如云服务,面向外部的内部基础设施)以及分布式系统。
- 资产发现,发现并测绘面向外部的资产与系统
- 分析,分析资产是否存在风险或脆弱点。
- 优先级评估,对风险及脆弱性进行优先级评估并告警。
- 修复建议,提供对应风险以及脆弱性的修复建议。
从行业趋势来看,攻击面管理已经逐渐走入了各大安全厂商的商业化战略里,这不仅体现了这一技术的市场需求急迫性同时体现了一定的商业化实践价值。
从EASM和CAASM的技术定义中我们不难发现,其核心内容可以归纳为4个模块,分别是资产管理,综合视图(可视化),风险评估,风险修复流程。
这四个模块恰好与我们目前的安全能力建设思路不谋而合,因此后续主要围绕这四个模块来总结我们在攻击面风险管理上的实践心得。
二、攻击面风险管理落地实践
行业内通常把攻击面管理定义为从攻击者的角度对企业网络攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全管理方法,其最大特性就是以外部视角来审视企业网络资产可能存在的攻击面及脆弱性。
攻击面主要体现在企业暴露给攻击者各个层面的安全弱点,攻击者可利用不同手段实现攻击行为。因此对攻击面风险有效管理的“First of all”就是资产管理。
2.1 安全资产管理模块
做资产管理之前需要先对全网资产进行梳理,确认资产范围和类型框架。
2.1.1 安全资产梳理
资产梳理的思路按照业务,系统,主机以及其他四个维度来进行梳理。
业务维度
包含域名,URL,公网IP,依赖包管理资产以及应用资产。
系统维度
包含API接口,公网IP内部映射关系,公网端口内部映射关系,内网集群VIP-LVS,内网应用集群VIP-Nginx,内网端口资产,内网IP资源状态资产。
主机维度
包含主机IP资产,容器资产,k8s资产,主机端口资产,中间件资产,数据库资产,操作系统资产,账号信息资产,进程信息资产,其他应用服务资产。
其他维度
包含资产补丁状态,资产负责人及所属组织。
由于篇幅问题,以上仅包含二级项目,其实二级以下根据不同的企业场景还具有更多的分项,例如从vivo互联网来说,业务维度的域名我们细分了11项,包括管理后台域名,公网埋点域名,埋点SDK域名,DB域名,主机域名,信管域名,内网接口域名,公网接口域名,线上业务域名,静态资源域名,其他域名等。
资产梳理没有一个万能公式,最佳实践是从实际的基础架构出发结合业务场景来对全网资产定好框架。
2.1.2 构建可靠的资产信息来源库
资产库主要有三个数据来源。
- CMDB:主要的资产信息供应渠道
- HIDS:补充主机相关资产信息,如进程,账号,网络链接等资产信息
- VCS:主动资产信息采集用以补充资产库
通常安全资产库的建设往往会面临技术上的难点,比如资产信息采集工具的适配性,采集工具的稳定性,对生产造成影响的概率最小性,资产完整的可靠性等等,但技术问题往往并不难解决,借助开源工具,商业化产品甚至自研工具都能解决绝大部分问题,而真正难以头疼的是与资产归属方(业务方)的大量复杂的沟通确认工作。
从以往的最佳实践来看,从业务方的视角来建设资产库,宣贯业务价值能够更顺畅地开展资产信息采集工作,例如资产管理系统可以绘制整个企业内多个团队的合并资产视图,其可包括业务团队、运维团队、安全团队等,大家都可以从这个视图中查询到自己关心的信息,通过价值宣导来激发协作方的支撑意愿。
2.1.3 建设资产主动发现能力
在资产管理中,往往存在资产主动上报监管难,资产变更频率高而产生的资产信息滞后以及一些非法资产接入的问题,因此需要建设资产主动发现能力来补全这一块的资产信息,有条件的话可以以此作为资产变审计体系的输入源。
- 流量解析:通过流量分析识别隐匿资产、老化资产、影子资产等资产信息。
- 扫描工具:IAST/DAST/SAST,NMAP工具等对资产进行识别补充以及维持。
- 安全日志及告警:梳理无标资产对资产库进行补充。
另外,需要注意的是,在资产主动发现过程中需要谨慎考虑扫描工具或引擎的工作频率以及工作时间段,避免影响生产。
2.2 综合视图模块
建设综合视图并不是为了绘图而绘图,它是经过一定的数据分析并结合业务场景的资产关联链测绘,具备良好的逻辑性及可读性的综合视图,无论是直接使用者(安全运营团队)还是非直接使用者(业务或运维)都能够通过综合视图获取各自需要的资产信息。
2.2.1 资产关系链测绘
资产关联能力建设的目的是去测绘资产关系链从而将系统各模块的安全事件进行关联,全链路分为两条分别是公网IP/域名到内网主机的关系映射链以及内网主机到内网IP/域名以及公网IP/域名的关系映射链。
2.2.2 资产全局视图
针对以上两个资产强相关模块,如果以一年期来建设的话,可以参考以下建设计划:
2.3 风险评估模块
2.3.1 风险发现
风险发现来源包含两大块:
- 纵深防御体系:一体化的纵深防御协防平台提供基础的告警源数据。
- 主动扫描:以防守方视角对全网资产脆弱性进行定期扫描,一般搭建自动化扫描系统定期持续对全网设施/节点进行漏洞扫描。
- 人工渗透测试:从攻击方视角组织人力配合工具从外部对信息资产进行脆弱性测试。
- 基线合规扫描:解决内部基线合规问题,如弱密码,root权限,外发管控等。
通过搭建自动化漏洞扫描平台对以及扫描任务进行集中管理,相关的安全人员对扫描产生的各类风险发现做进一步的确认,若确认是漏洞的风险就会通过自动创建漏洞工单,并将创建的漏洞工单同步到漏洞管理系统进行后续漏洞修复的跟踪,后续漏洞的修复进度也会同步到自动化漏洞扫描平台进行同步跟进。
值得一提的是,漏洞扫描平台并非只是一味地将扫描工具及扫描结果集成,一个能有效解决风险发现的系统必然是从场景出发,落地到实际问题上。以下是三个应用场景的举例:
2.3.2 风险评估
安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,另外,风险评估的落地形态可以是一套评分规范或是数学模型,其可以从全局视角来评估整体安全态势并以具体分值的形式来呈现。
标准的风险评估过程主要有四块:
- 资产识别与赋值:对评估范围内的所有资产进行识别,并调查资产破坏后可能造成的损失大小,根据危害和损失的大小为资产进行相对赋值。
- 威胁识别与赋值:即分析资产所面临的每种威胁发生的频率,威胁包括环境因素和人为因素。
- 脆弱性识别与赋值:从管理和技术两个方面发现和识别脆弱性,根据被威胁利用时对资产造成的损害进行赋值。
- 风险值计算:通过分析上述测试数据,进行风险值计算,识别和确认高风险,并针对存在的安全风险提出整改建议。
从落地实践来看,对各个信息节点的评估赋值需要张弛有度,过细的赋值方案会难以展开,过粗的赋值方案难以有好的效果,企业应结合自身发展现状,人力,技术条件以及安全目标来制定赋值方案。
2.4 风险闭环
针对于安全运营工作来说,风险管理的实际工作本质上是漏洞管理,风险闭环是漏洞从发现再到消除的一系列管理过程,即漏洞的生命周期管理。
其实在实际的风险管理过程中,许多风险是没有形成闭环管理的,其原因大多可以归纳为以下几点:
- 计划制定的不切实际
- 没有进行原因分析
- 进行了原因分析但未实施对策
- 未检查执行效果
因此,在制定闭环策略或流程时应充分考虑以上几个问题。以下例子是按照漏洞来源制定的不同的闭环策略:
三、总结
企业攻击面梳理已变得非常重要,攻击面不清晰将导致严重后果。攻击面风险管理一方面需持续加强企业攻击面安全防护的监管指导,强化攻击面安全管理制度和流程,明确各相关主体的责任和管理要求,定期开展攻击面梳理排查,加强对企业攻击面安全防护工作的监督。建立更健全攻击面防护的立健全攻击面防护的标准规范,推动政策引导、标准约束等方面的落地实践,提升企业安全防护能力。
另一方面,需要持续强化攻击面安全防护技术的研究和应用。扩展攻击面分析研究场景,融合大数据分析、人工智能等先进技术,全面开展企业攻击面风险分析,提高攻击面检测排查能力以及应急处置能力。结合持续身份认证、细粒度访问控制、数据流安全审计、数据隐私保护等安全机制赋能攻击面预防检测工作,提升对攻击面利用类安全事件的响应能力,还应密切关注当下复杂网络安全形势下攻击面攻击和防御两方面的技术发展趋势,从资产管理基础出发,建立适应各企业开展攻击面安全治理的平台和工具。
总的来说,攻击面的应对实践方式应是从攻击面梳理着手,落地到资产梳理,同步建设网络空间测绘及风险扫描能力,配合脆弱性评估对风险进行整体评估,建设统一的风险视图对风险进行全局的把控,以及结合风险闭环工具及流程等最终对攻击面进行有效收敛。