近年來，隨著企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程的加快，數(shù)字化技術(shù)對(duì)企業(yè)的業(yè)務(wù)模式、組織架構(gòu)和企業(yè)文化產(chǎn)生了深遠(yuǎn)的影響，大量的業(yè)務(wù)和辦公應(yīng)用開始走上云端，擁抱互聯(lián)網(wǎng)。但在這一過程中，企業(yè)面臨的攻擊面也隨之?dāng)U大，暴露在互聯(lián)網(wǎng)中的企業(yè)資產(chǎn)讓全新的安全威脅和風(fēng)險(xiǎn)隨之而來。

　　更嚴(yán)峻的安全形勢，推動(dòng)著企業(yè)用戶的安全需求正在從合規(guī)驅(qū)動(dòng)階段逐步過渡向?qū)崙?zhàn)驅(qū)動(dòng)階段，在用戶需求的呼喚下，一批更先進(jìn)的安全產(chǎn)品和安全理念也應(yīng)運(yùn)而生，如零信任、XDR擴(kuò)展威脅響應(yīng)與檢測、攻擊面管理等都是這一階段的典型代表。

　　日前，安全419接觸到了一家近期在業(yè)內(nèi)聲名鵲起的攻擊面管理領(lǐng)域廠商——云科安信，邀請(qǐng)到了云科安信COO陳思，立足于云科安信對(duì)攻擊面管理的洞察和理解，為我們分享攻擊面管理在當(dāng)前新一代網(wǎng)絡(luò)安全防御體系中的能動(dòng)作用，以及云科安信的相關(guān)實(shí)踐。

　　據(jù)介紹，云科安信成立于2018年10月，其創(chuàng)始團(tuán)隊(duì)主要來自F5Networks、賽門鐵克等全球化安全企業(yè)，具備多年一線攻防的實(shí)戰(zhàn)經(jīng)驗(yàn)。創(chuàng)始人金飛曾在哈工大任職10年，從事國防安全相關(guān)技術(shù)研究；隨后金飛曾在惠普、F5Networks等企業(yè)擔(dān)任安全架構(gòu)師，積累了豐富的甲方安全建設(shè)經(jīng)驗(yàn)。

　　云科安信致力于以最簡單便捷的方式將實(shí)戰(zhàn)攻防能力輸送給用戶，讓每一個(gè)單體企業(yè)用戶都能夠輕松具備強(qiáng)大的實(shí)戰(zhàn)能力，以此提升全社會(huì)的網(wǎng)絡(luò)安全實(shí)戰(zhàn)水平。

　　作為專注實(shí)戰(zhàn)攻防的平臺(tái)型公司，云科安信將自身實(shí)戰(zhàn)應(yīng)用多年的攻擊面管理工具升級(jí)，打造了白澤攻擊面管理平臺(tái)——以攻擊者視角聚焦企業(yè)網(wǎng)絡(luò)空間IT資產(chǎn)，幫助客戶時(shí)刻洞察網(wǎng)絡(luò)空間資產(chǎn)風(fēng)險(xiǎn)，主動(dòng)掌控資產(chǎn)動(dòng)態(tài)，及時(shí)提出收斂資產(chǎn)暴露面的數(shù)據(jù)支撐，驗(yàn)證暴露資產(chǎn)的漏洞可利用性，并形成關(guān)聯(lián)關(guān)系的可快速構(gòu)建的實(shí)戰(zhàn)化、自動(dòng)化、智能化的攻擊面管理平臺(tái)，無需專業(yè)實(shí)戰(zhàn)攻防人才，即可讓企業(yè)直接擁有攻擊者視角及能力，提前預(yù)判風(fēng)險(xiǎn)，從而及時(shí)修補(bǔ)漏洞。

　　安全合規(guī)市場正在向?qū)崙?zhàn)化市場轉(zhuǎn)變

　　用戶需求催發(fā)了攻擊面管理市場的興起

　　云科安信COO陳思告訴我們，近年來在大國博弈的背景下，網(wǎng)絡(luò)空間已經(jīng)沒辦法再獨(dú)善其身，從俄烏網(wǎng)絡(luò)戰(zhàn)中能夠看到，網(wǎng)絡(luò)空間已經(jīng)成為了下一個(gè)戰(zhàn)場。在這樣的大背景之下，國內(nèi)客戶的安全意識(shí)也進(jìn)一步被喚醒了，用戶們開始清晰地意識(shí)到，應(yīng)對(duì)更復(fù)雜的安全威脅僅僅做好安全合規(guī)是不夠的，實(shí)戰(zhàn)能力方面也需要得到真正的提升。

　　此外，數(shù)字化的發(fā)展以及企業(yè)業(yè)務(wù)的發(fā)展讓安全來到了一個(gè)業(yè)務(wù)驅(qū)動(dòng)的時(shí)代，原來一些企業(yè)的業(yè)務(wù)對(duì)互聯(lián)網(wǎng)依賴性并不強(qiáng)，但是隨著企業(yè)對(duì)于應(yīng)用系統(tǒng)和數(shù)據(jù)的依賴程度逐漸加深以及業(yè)務(wù)的拓展，企業(yè)暴露在互聯(lián)網(wǎng)上的業(yè)務(wù)資產(chǎn)正在急劇增長。

　　“在攻擊者視角下，只要企業(yè)將業(yè)務(wù)發(fā)布到互聯(lián)網(wǎng)上，或者是跟互聯(lián)網(wǎng)存在關(guān)聯(lián)，那么無論這家企業(yè)位于世界上哪個(gè)國家，哪個(gè)角落，他們面對(duì)的風(fēng)險(xiǎn)和挑戰(zhàn)其實(shí)是一樣的。因此，實(shí)際上是客戶自身的安全需求正在從合規(guī)向?qū)崙?zhàn)能力提升轉(zhuǎn)變。”

　　拿醫(yī)院舉例來說，過去人們看病都是在線下醫(yī)院，但現(xiàn)在各大醫(yī)院也正在推出互聯(lián)網(wǎng)醫(yī)院應(yīng)用，網(wǎng)上掛號(hào)、復(fù)診、報(bào)告查詢等等越來越多的業(yè)務(wù)都被搬到了互聯(lián)網(wǎng)上，與患者相關(guān)的個(gè)人隱私信息、病例信息就有可能暴露在外，成為一個(gè)安全隱患。

　　從監(jiān)管的角度，國家自2016年以來開始舉行常態(tài)化攻防演練活動(dòng)，包括公安部、網(wǎng)信辦以及各個(gè)行業(yè)的監(jiān)管機(jī)構(gòu)也都在通過不同的演習(xí)形式和手段去敦促重點(diǎn)的行業(yè)用戶去提升他們的實(shí)戰(zhàn)能力。

　　“行業(yè)中經(jīng)常提到，安全的本質(zhì)是攻防兩端的對(duì)抗，在過去做安全建設(shè)時(shí)，企業(yè)用戶更多是從防守者視角出發(fā)，通過采購安全設(shè)備和安全服務(wù)來查漏補(bǔ)缺，按圖索驥般的強(qiáng)化自身的安全防御機(jī)制。但攻擊者的視角和能力卻被他們忽略了，攻與防兩個(gè)視角缺一不可?！?/p>

　　攻擊者視角的缺失催發(fā)了攻擊面管理概念的誕生，攻擊面管理概念最早由國際知名咨詢機(jī)構(gòu)Gartner于2018年首次提出，在2021年7月，Gartner發(fā)布了《2021安全運(yùn)營技術(shù)成熟度曲線》，將攻擊面管理相關(guān)技術(shù)定義為新興技術(shù)。

　　圖：Gartner對(duì)攻擊面管理技術(shù)的定義

　　隨著攻擊技法的快速迭代，防守的技法也需要跟蹤攻擊技法的技術(shù)演進(jìn)而演進(jìn)，但對(duì)于企業(yè)用戶來說，在有限的安全投入下，持續(xù)地跟進(jìn)學(xué)習(xí)當(dāng)前行業(yè)內(nèi)最專業(yè)的技術(shù)是不現(xiàn)實(shí)的，如何借助一種技術(shù)，或是一個(gè)安全平臺(tái)來幫助彌補(bǔ)攻擊者視角的缺失，在無需學(xué)習(xí)攻擊技法的情況下，也能夠不斷的動(dòng)態(tài)調(diào)整防御策略，持續(xù)性地對(duì)自身安全態(tài)勢進(jìn)行監(jiān)控和管理成為企業(yè)當(dāng)下的核心需求。

　　“我們看到的一個(gè)趨勢是，用戶目前已經(jīng)對(duì)安全建設(shè)提出了新的需求，他們意識(shí)到自身資產(chǎn)的邊界正在變得越來越模糊，擴(kuò)大的速度也越來越快，使得用戶想要去收斂攻擊面，但又無從下手，這對(duì)云科安信來說無疑是一個(gè)發(fā)展的機(jī)遇期?！?/p>

　　持續(xù)探測暴露在互聯(lián)網(wǎng)上的資產(chǎn)

　　以攻擊者視角審視企業(yè)安全的薄弱環(huán)節(jié)

　　近年來隨著安全形勢的升級(jí)，“攻擊者視角”這一次也正在成為一個(gè)安全熱點(diǎn)詞匯，國內(nèi)包括安全的甲方和乙方目前也在圍繞其進(jìn)行探討，那么具體什么是攻擊者視角和攻擊者思維？就這一話題我們請(qǐng)陳思分享了云科安信的理解。

　　陳思認(rèn)為，之所以不同的安全廠商對(duì)于攻擊者視角的解讀存在差異，這其實(shí)取決于各自的攻防基因和相關(guān)經(jīng)驗(yàn)。云科安信對(duì)攻擊者視角的理解是，站在攻擊者的位置用攻擊者的思路思考、審視目標(biāo)系統(tǒng)，持續(xù)性的監(jiān)測目標(biāo)的暴露面變化情況，高效、迅速地找到突破路徑。

　　她談到，云科安信旗下的SERAPH實(shí)驗(yàn)室一直活躍在網(wǎng)絡(luò)安全攻防一線，自2016年開始也一直以紅隊(duì)的身份參與到常態(tài)化攻防演練活動(dòng)中，在這一過程中逐漸沉淀下來了一套具備網(wǎng)絡(luò)空間測繪和漏洞滲透能力的強(qiáng)大工具，借助這一工具能夠迅速找到攻入目標(biāo)系統(tǒng)的最短路徑，從包括時(shí)間、速度、精準(zhǔn)度以及全面性等各個(gè)方面來提升紅隊(duì)攻擊的效率。在這一工具的支撐下，其SERAPH實(shí)驗(yàn)室在過往的各項(xiàng)攻防演練和比賽中多次獲獎(jiǎng)，2020年還曾獲得CNVD原創(chuàng)漏洞積分全國第一的成績。

　　2021年Gartner報(bào)告中提到了“攻擊面管理”的概念，云科安信發(fā)現(xiàn)這正與過去幾年中自身的理念和相關(guān)的產(chǎn)品技術(shù)不謀而合。因此，云科安信開始圍繞這一工具雛形，在更深層的資產(chǎn)測繪功能和可視化層面逐漸豐富，并最終打造出了“白澤攻擊面管理平臺(tái)”。

　　陳思認(rèn)為，攻擊面管理既然是一個(gè)以攻促防的技術(shù)思維，它就應(yīng)該將真正的攻擊者的能力帶給用戶，讓用戶能夠清晰看到，當(dāng)一個(gè)攻擊者將自己作為目標(biāo)的時(shí)候，攻擊者會(huì)在互聯(lián)網(wǎng)上搜集哪些資產(chǎn)和暴露面，他們能搜集到的資產(chǎn)信息能夠深入到哪個(gè)節(jié)點(diǎn)，在它的資產(chǎn)暴露面中，我們?cè)偃ふ疫M(jìn)一步去尋找突破的這種入口，去驗(yàn)證漏洞入口的可利用性，最終為客戶形成全部可見的攻擊路徑圖。

　　通過白澤攻擊面管理平臺(tái)，云科安信將攻擊者的思路去融匯到這個(gè)平臺(tái)里面，讓客戶得以用攻擊者視角來審視自身的缺陷?！拔覀円怨粽叩哪芰Ω嬖V防守者，如果是基于實(shí)戰(zhàn)視角的防御建設(shè)，應(yīng)該從什么地方開始做防御，它的優(yōu)先級(jí)是什么。其中哪些安全漏洞要修復(fù)，哪些暴露面要收斂，哪里存在薄弱環(huán)節(jié)需要安全加固，增加防御策略等等。這是我們對(duì)攻擊者視角的理解?！?/p>

　　以平臺(tái)化思路打造攻擊面管理產(chǎn)品

　　為企業(yè)提供信手拈來的實(shí)戰(zhàn)化攻防能力

　　陳思介紹，白澤攻擊面管理平臺(tái)在2020年便已實(shí)現(xiàn)商業(yè)化落地，目前平臺(tái)累計(jì)服務(wù)政府、國央企、醫(yī)療、教育、金融、運(yùn)營商等各行業(yè)客戶近1000余家，為用戶的數(shù)字業(yè)務(wù)安全提供了堅(jiān)實(shí)保障。

　　她表示，白澤攻擊面管理平臺(tái)將云科安信團(tuán)隊(duì)過往所有的攻防技戰(zhàn)術(shù)和資源濃縮其中，以一種極簡的使用方式交付給用戶，能夠完全自動(dòng)化地幫助用戶持續(xù)性的發(fā)現(xiàn)和梳理資產(chǎn)暴露面的情況，將包括域名、IP地址、端口情況，web應(yīng)用、中間件、數(shù)據(jù)庫、組件、指紋等等這些跟目標(biāo)系統(tǒng)相關(guān)的信息詳細(xì)地展現(xiàn)在用戶眼中。

　　白澤攻擊面管理平臺(tái)架構(gòu)

　　在梳理完用戶全部暴露在外的資產(chǎn)和攻擊面后，白澤平臺(tái)還會(huì)從應(yīng)用的視角、關(guān)聯(lián)關(guān)系的視角、端口數(shù)據(jù)的視角將不同資產(chǎn)之間的關(guān)聯(lián)關(guān)系進(jìn)行展示，幫助用戶了解到未知的資產(chǎn)暴露情況?！肮_的這些信息我們可以看到，別人其實(shí)也可以看到，攻擊者和商業(yè)競爭對(duì)手也仍然可以看到，所以梳理它的資產(chǎn)情況，梳理它的這些細(xì)節(jié)和暴露面，是實(shí)施攻擊面管理的基礎(chǔ)。”

　　云科安信認(rèn)為，一家企業(yè)的暴露面能夠分為以下幾類：

　　第一類是不得不暴露在外面的資產(chǎn)。比如企業(yè)官網(wǎng)或?qū)囊恍┓?wù)應(yīng)用，這類暴露面很容易可以被測繪，但是它的業(yè)務(wù)又必須依托于互聯(lián)網(wǎng)，因此云科安信會(huì)幫助用戶做安全加固，相應(yīng)的去提升它的防御的能力。

　　第二類是可以不暴露在外的資產(chǎn)。比如說一些企業(yè)的綜合管理系統(tǒng)、OA系統(tǒng)等內(nèi)部管理系統(tǒng)也都暴露在互聯(lián)網(wǎng)上。對(duì)于企業(yè)來說，在不知情的情況下每一個(gè)暴露在互聯(lián)網(wǎng)上的應(yīng)用都是一個(gè)突破口，帶來不可預(yù)知的風(fēng)險(xiǎn)，因此，云科安信會(huì)指導(dǎo)企業(yè)用戶將此類暴露面進(jìn)行收斂。

　　第三類是必須不能暴露在外的資產(chǎn)。這一部分的暴露面典型的代表如開發(fā)工具的管理入口、API文檔的系統(tǒng)信息等等，從安全角度來說是絕對(duì)不能放在互聯(lián)網(wǎng)上的，針對(duì)這一類資產(chǎn)暴露面云科安信會(huì)告知用戶及時(shí)收斂和處置。

　　在協(xié)助用戶將暴露面梳理清晰后，白澤攻擊面管理平臺(tái)會(huì)在暴露在外的資產(chǎn)中尋找漏洞，對(duì)漏洞做可利用性的驗(yàn)證。最終讓客戶看到在他已知范圍和他未知范圍內(nèi)，攻擊者能夠突破進(jìn)來的全部路徑。

　　“我們經(jīng)常舉個(gè)例子，一個(gè)國家級(jí)運(yùn)動(dòng)員可能4年才參加一次奧運(yùn)會(huì)，但他們需要每天堅(jiān)持不斷的訓(xùn)練技巧和體能，去參加各種大小比賽，以此來保證自己一直處于最好的狀態(tài)，最終在奧運(yùn)會(huì)這樣的大考面前才能夠拿到很好的成績，同樣做企業(yè)安全建設(shè)也是如此，攻擊面管理就是企業(yè)在做的一次次常態(tài)化攻防演練。只有每天不斷地錘煉和打磨，才能夠保持一直跟蹤最先進(jìn)的攻擊方法和思路，跟蹤最新的漏洞信息，持續(xù)在攻防一線收斂風(fēng)險(xiǎn)隱患?！?/p>

　　陳思談到，極簡的使用方式是白澤攻擊面管理平臺(tái)的最大特點(diǎn)?！凹热还粽咴谧畛趺鎸?duì)一個(gè)目標(biāo)時(shí)，可能掌握的最基礎(chǔ)的信息只有企業(yè)的名稱或者域名，那么白澤平臺(tái)就以同樣的視角來提供給用戶。她介紹，用戶只需要輸入企業(yè)的公司名稱或域名，平臺(tái)便能夠迅速在整個(gè)互聯(lián)網(wǎng)中檢測相關(guān)的暴露面資產(chǎn)，驗(yàn)證攻擊路徑，最終將全部攻擊面自動(dòng)化地向用戶交付。”

　　她表示，云科安信在將白澤攻擊面管理平臺(tái)交付給用戶時(shí)，通常會(huì)告訴用戶自己最終的目的并非是為用戶提供安全服務(wù)，而是希望將這種自動(dòng)化的暴露面發(fā)現(xiàn)能力、資產(chǎn)梳理能力賦能給企業(yè)，讓其能夠真正為人所用。

　　采訪最后，在談及未來攻擊面管理市場的發(fā)展趨勢時(shí)，陳思認(rèn)為，當(dāng)前國內(nèi)整體安全市場剛剛從合規(guī)安全轉(zhuǎn)向?qū)崙?zhàn)化驅(qū)動(dòng)和業(yè)務(wù)驅(qū)動(dòng)，攻擊面管理細(xì)分市場也處于剛剛起步階段。補(bǔ)足攻擊者視角的缺失注定成為企業(yè)用戶們下一步安全防御建設(shè)的重要方向。隨著安全意識(shí)的深入轉(zhuǎn)變，實(shí)戰(zhàn)化導(dǎo)向的攻擊面管理市場很快會(huì)迎來爆發(fā)期。

　　在這樣蓬勃發(fā)展的市場環(huán)境下，云科安信也會(huì)繼續(xù)持續(xù)擴(kuò)大白澤攻擊面管理平臺(tái)的既有優(yōu)勢，持續(xù)以SAAS和定制化的模式向企業(yè)輸送攻擊者能力，賦能企業(yè)實(shí)戰(zhàn)攻防能力建設(shè)。同時(shí)在技術(shù)層面不斷增強(qiáng)資產(chǎn)測繪、漏洞驗(yàn)證以及暴露面收斂的能力，推動(dòng)白澤攻擊面管理平臺(tái)在更多用戶場景中得到廣泛應(yīng)用。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<