近年來，隨著企業(yè)數(shù)字化轉(zhuǎn)型進程的加快，數(shù)字化技術(shù)對企業(yè)的業(yè)務(wù)模式、組織架構(gòu)和企業(yè)文化產(chǎn)生了深遠的影響，大量的業(yè)務(wù)和辦公應(yīng)用開始走上云端，擁抱互聯(lián)網(wǎng)。但在這一過程中，企業(yè)面臨的攻擊面也隨之?dāng)U大，暴露在互聯(lián)網(wǎng)中的企業(yè)資產(chǎn)讓全新的安全威脅和風(fēng)險隨之而來。

　　更嚴峻的安全形勢，推動著企業(yè)用戶的安全需求正在從合規(guī)驅(qū)動階段逐步過渡向?qū)崙?zhàn)驅(qū)動階段，在用戶需求的呼喚下，一批更先進的安全產(chǎn)品和安全理念也應(yīng)運而生，如零信任、XDR擴展威脅響應(yīng)與檢測、攻擊面管理等都是這一階段的典型代表。

　　日前，安全419接觸到了一家近期在業(yè)內(nèi)聲名鵲起的攻擊面管理領(lǐng)域廠商——云科安信，邀請到了云科安信COO陳思，立足于云科安信對攻擊面管理的洞察和理解，為我們分享攻擊面管理在當(dāng)前新一代網(wǎng)絡(luò)安全防御體系中的能動作用，以及云科安信的相關(guān)實踐。

　　據(jù)介紹，云科安信成立于2018年10月，其創(chuàng)始團隊主要來自F5Networks、賽門鐵克等全球化安全企業(yè)，具備多年一線攻防的實戰(zhàn)經(jīng)驗。創(chuàng)始人金飛曾在哈工大任職10年，從事國防安全相關(guān)技術(shù)研究；隨后金飛曾在惠普、F5Networks等企業(yè)擔(dān)任安全架構(gòu)師，積累了豐富的甲方安全建設(shè)經(jīng)驗。

　　云科安信致力于以最簡單便捷的方式將實戰(zhàn)攻防能力輸送給用戶，讓每一個單體企業(yè)用戶都能夠輕松具備強大的實戰(zhàn)能力，以此提升全社會的網(wǎng)絡(luò)安全實戰(zhàn)水平。

　　作為專注實戰(zhàn)攻防的平臺型公司，云科安信將自身實戰(zhàn)應(yīng)用多年的攻擊面管理工具升級，打造了白澤攻擊面管理平臺——以攻擊者視角聚焦企業(yè)網(wǎng)絡(luò)空間IT資產(chǎn)，幫助客戶時刻洞察網(wǎng)絡(luò)空間資產(chǎn)風(fēng)險，主動掌控資產(chǎn)動態(tài)，及時提出收斂資產(chǎn)暴露面的數(shù)據(jù)支撐，驗證暴露資產(chǎn)的漏洞可利用性，并形成關(guān)聯(lián)關(guān)系的可快速構(gòu)建的實戰(zhàn)化、自動化、智能化的攻擊面管理平臺，無需專業(yè)實戰(zhàn)攻防人才，即可讓企業(yè)直接擁有攻擊者視角及能力，提前預(yù)判風(fēng)險，從而及時修補漏洞。

　　安全合規(guī)市場正在向?qū)崙?zhàn)化市場轉(zhuǎn)變

　　用戶需求催發(fā)了攻擊面管理市場的興起

　　云科安信COO陳思告訴我們，近年來在大國博弈的背景下，網(wǎng)絡(luò)空間已經(jīng)沒辦法再獨善其身，從俄烏網(wǎng)絡(luò)戰(zhàn)中能夠看到，網(wǎng)絡(luò)空間已經(jīng)成為了下一個戰(zhàn)場。在這樣的大背景之下，國內(nèi)客戶的安全意識也進一步被喚醒了，用戶們開始清晰地意識到，應(yīng)對更復(fù)雜的安全威脅僅僅做好安全合規(guī)是不夠的，實戰(zhàn)能力方面也需要得到真正的提升。

　　此外，數(shù)字化的發(fā)展以及企業(yè)業(yè)務(wù)的發(fā)展讓安全來到了一個業(yè)務(wù)驅(qū)動的時代，原來一些企業(yè)的業(yè)務(wù)對互聯(lián)網(wǎng)依賴性并不強，但是隨著企業(yè)對于應(yīng)用系統(tǒng)和數(shù)據(jù)的依賴程度逐漸加深以及業(yè)務(wù)的拓展，企業(yè)暴露在互聯(lián)網(wǎng)上的業(yè)務(wù)資產(chǎn)正在急劇增長。

　　“在攻擊者視角下，只要企業(yè)將業(yè)務(wù)發(fā)布到互聯(lián)網(wǎng)上，或者是跟互聯(lián)網(wǎng)存在關(guān)聯(lián)，那么無論這家企業(yè)位于世界上哪個國家，哪個角落，他們面對的風(fēng)險和挑戰(zhàn)其實是一樣的。因此，實際上是客戶自身的安全需求正在從合規(guī)向?qū)崙?zhàn)能力提升轉(zhuǎn)變?！?/p>

　　拿醫(yī)院舉例來說，過去人們看病都是在線下醫(yī)院，但現(xiàn)在各大醫(yī)院也正在推出互聯(lián)網(wǎng)醫(yī)院應(yīng)用，網(wǎng)上掛號、復(fù)診、報告查詢等等越來越多的業(yè)務(wù)都被搬到了互聯(lián)網(wǎng)上，與患者相關(guān)的個人隱私信息、病例信息就有可能暴露在外，成為一個安全隱患。

　　從監(jiān)管的角度，國家自2016年以來開始舉行常態(tài)化攻防演練活動，包括公安部、網(wǎng)信辦以及各個行業(yè)的監(jiān)管機構(gòu)也都在通過不同的演習(xí)形式和手段去敦促重點的行業(yè)用戶去提升他們的實戰(zhàn)能力。

　　“行業(yè)中經(jīng)常提到，安全的本質(zhì)是攻防兩端的對抗，在過去做安全建設(shè)時，企業(yè)用戶更多是從防守者視角出發(fā)，通過采購安全設(shè)備和安全服務(wù)來查漏補缺，按圖索驥般的強化自身的安全防御機制。但攻擊者的視角和能力卻被他們忽略了，攻與防兩個視角缺一不可?！?/p>

　　攻擊者視角的缺失催發(fā)了攻擊面管理概念的誕生，攻擊面管理概念最早由國際知名咨詢機構(gòu)Gartner于2018年首次提出，在2021年7月，Gartner發(fā)布了《2021安全運營技術(shù)成熟度曲線》，將攻擊面管理相關(guān)技術(shù)定義為新興技術(shù)。

　　圖：Gartner對攻擊面管理技術(shù)的定義

　　隨著攻擊技法的快速迭代，防守的技法也需要跟蹤攻擊技法的技術(shù)演進而演進，但對于企業(yè)用戶來說，在有限的安全投入下，持續(xù)地跟進學(xué)習(xí)當(dāng)前行業(yè)內(nèi)最專業(yè)的技術(shù)是不現(xiàn)實的，如何借助一種技術(shù)，或是一個安全平臺來幫助彌補攻擊者視角的缺失，在無需學(xué)習(xí)攻擊技法的情況下，也能夠不斷的動態(tài)調(diào)整防御策略，持續(xù)性地對自身安全態(tài)勢進行監(jiān)控和管理成為企業(yè)當(dāng)下的核心需求。

　　“我們看到的一個趨勢是，用戶目前已經(jīng)對安全建設(shè)提出了新的需求，他們意識到自身資產(chǎn)的邊界正在變得越來越模糊，擴大的速度也越來越快，使得用戶想要去收斂攻擊面，但又無從下手，這對云科安信來說無疑是一個發(fā)展的機遇期?！?/p>

　　持續(xù)探測暴露在互聯(lián)網(wǎng)上的資產(chǎn)

　　以攻擊者視角審視企業(yè)安全的薄弱環(huán)節(jié)

　　近年來隨著安全形勢的升級，“攻擊者視角”這一次也正在成為一個安全熱點詞匯，國內(nèi)包括安全的甲方和乙方目前也在圍繞其進行探討，那么具體什么是攻擊者視角和攻擊者思維？就這一話題我們請陳思分享了云科安信的理解。

　　陳思認為，之所以不同的安全廠商對于攻擊者視角的解讀存在差異，這其實取決于各自的攻防基因和相關(guān)經(jīng)驗。云科安信對攻擊者視角的理解是，站在攻擊者的位置用攻擊者的思路思考、審視目標系統(tǒng)，持續(xù)性的監(jiān)測目標的暴露面變化情況，高效、迅速地找到突破路徑。

　　她談到，云科安信旗下的SERAPH實驗室一直活躍在網(wǎng)絡(luò)安全攻防一線，自2016年開始也一直以紅隊的身份參與到常態(tài)化攻防演練活動中，在這一過程中逐漸沉淀下來了一套具備網(wǎng)絡(luò)空間測繪和漏洞滲透能力的強大工具，借助這一工具能夠迅速找到攻入目標系統(tǒng)的最短路徑，從包括時間、速度、精準度以及全面性等各個方面來提升紅隊攻擊的效率。在這一工具的支撐下，其SERAPH實驗室在過往的各項攻防演練和比賽中多次獲獎，2020年還曾獲得CNVD原創(chuàng)漏洞積分全國第一的成績。

　　2021年Gartner報告中提到了“攻擊面管理”的概念，云科安信發(fā)現(xiàn)這正與過去幾年中自身的理念和相關(guān)的產(chǎn)品技術(shù)不謀而合。因此，云科安信開始圍繞這一工具雛形，在更深層的資產(chǎn)測繪功能和可視化層面逐漸豐富，并最終打造出了“白澤攻擊面管理平臺”。

　　陳思認為，攻擊面管理既然是一個以攻促防的技術(shù)思維，它就應(yīng)該將真正的攻擊者的能力帶給用戶，讓用戶能夠清晰看到，當(dāng)一個攻擊者將自己作為目標的時候，攻擊者會在互聯(lián)網(wǎng)上搜集哪些資產(chǎn)和暴露面，他們能搜集到的資產(chǎn)信息能夠深入到哪個節(jié)點，在它的資產(chǎn)暴露面中，我們再去尋找進一步去尋找突破的這種入口，去驗證漏洞入口的可利用性，最終為客戶形成全部可見的攻擊路徑圖。

　　通過白澤攻擊面管理平臺，云科安信將攻擊者的思路去融匯到這個平臺里面，讓客戶得以用攻擊者視角來審視自身的缺陷。“我們以攻擊者的能力告訴防守者，如果是基于實戰(zhàn)視角的防御建設(shè)，應(yīng)該從什么地方開始做防御，它的優(yōu)先級是什么。其中哪些安全漏洞要修復(fù)，哪些暴露面要收斂，哪里存在薄弱環(huán)節(jié)需要安全加固，增加防御策略等等。這是我們對攻擊者視角的理解。”

　　以平臺化思路打造攻擊面管理產(chǎn)品

　　為企業(yè)提供信手拈來的實戰(zhàn)化攻防能力

　　陳思介紹，白澤攻擊面管理平臺在2020年便已實現(xiàn)商業(yè)化落地，目前平臺累計服務(wù)政府、國央企、醫(yī)療、教育、金融、運營商等各行業(yè)客戶近1000余家，為用戶的數(shù)字業(yè)務(wù)安全提供了堅實保障。

　　她表示，白澤攻擊面管理平臺將云科安信團隊過往所有的攻防技戰(zhàn)術(shù)和資源濃縮其中，以一種極簡的使用方式交付給用戶，能夠完全自動化地幫助用戶持續(xù)性的發(fā)現(xiàn)和梳理資產(chǎn)暴露面的情況，將包括域名、IP地址、端口情況，web應(yīng)用、中間件、數(shù)據(jù)庫、組件、指紋等等這些跟目標系統(tǒng)相關(guān)的信息詳細地展現(xiàn)在用戶眼中。

　　白澤攻擊面管理平臺架構(gòu)

　　在梳理完用戶全部暴露在外的資產(chǎn)和攻擊面后，白澤平臺還會從應(yīng)用的視角、關(guān)聯(lián)關(guān)系的視角、端口數(shù)據(jù)的視角將不同資產(chǎn)之間的關(guān)聯(lián)關(guān)系進行展示，幫助用戶了解到未知的資產(chǎn)暴露情況?！肮_的這些信息我們可以看到，別人其實也可以看到，攻擊者和商業(yè)競爭對手也仍然可以看到，所以梳理它的資產(chǎn)情況，梳理它的這些細節(jié)和暴露面，是實施攻擊面管理的基礎(chǔ)。”

　　云科安信認為，一家企業(yè)的暴露面能夠分為以下幾類：

　　第一類是不得不暴露在外面的資產(chǎn)。比如企業(yè)官網(wǎng)或?qū)囊恍┓?wù)應(yīng)用，這類暴露面很容易可以被測繪，但是它的業(yè)務(wù)又必須依托于互聯(lián)網(wǎng)，因此云科安信會幫助用戶做安全加固，相應(yīng)的去提升它的防御的能力。

　　第二類是可以不暴露在外的資產(chǎn)。比如說一些企業(yè)的綜合管理系統(tǒng)、OA系統(tǒng)等內(nèi)部管理系統(tǒng)也都暴露在互聯(lián)網(wǎng)上。對于企業(yè)來說，在不知情的情況下每一個暴露在互聯(lián)網(wǎng)上的應(yīng)用都是一個突破口，帶來不可預(yù)知的風(fēng)險，因此，云科安信會指導(dǎo)企業(yè)用戶將此類暴露面進行收斂。

　　第三類是必須不能暴露在外的資產(chǎn)。這一部分的暴露面典型的代表如開發(fā)工具的管理入口、API文檔的系統(tǒng)信息等等，從安全角度來說是絕對不能放在互聯(lián)網(wǎng)上的，針對這一類資產(chǎn)暴露面云科安信會告知用戶及時收斂和處置。

　　在協(xié)助用戶將暴露面梳理清晰后，白澤攻擊面管理平臺會在暴露在外的資產(chǎn)中尋找漏洞，對漏洞做可利用性的驗證。最終讓客戶看到在他已知范圍和他未知范圍內(nèi)，攻擊者能夠突破進來的全部路徑。

　　“我們經(jīng)常舉個例子，一個國家級運動員可能4年才參加一次奧運會，但他們需要每天堅持不斷的訓(xùn)練技巧和體能，去參加各種大小比賽，以此來保證自己一直處于最好的狀態(tài)，最終在奧運會這樣的大考面前才能夠拿到很好的成績，同樣做企業(yè)安全建設(shè)也是如此，攻擊面管理就是企業(yè)在做的一次次常態(tài)化攻防演練。只有每天不斷地錘煉和打磨，才能夠保持一直跟蹤最先進的攻擊方法和思路，跟蹤最新的漏洞信息，持續(xù)在攻防一線收斂風(fēng)險隱患?！?/p>

　　陳思談到，極簡的使用方式是白澤攻擊面管理平臺的最大特點?！凹热还粽咴谧畛趺鎸σ粋€目標時，可能掌握的最基礎(chǔ)的信息只有企業(yè)的名稱或者域名，那么白澤平臺就以同樣的視角來提供給用戶。她介紹，用戶只需要輸入企業(yè)的公司名稱或域名，平臺便能夠迅速在整個互聯(lián)網(wǎng)中檢測相關(guān)的暴露面資產(chǎn)，驗證攻擊路徑，最終將全部攻擊面自動化地向用戶交付?！?/p>

　　她表示，云科安信在將白澤攻擊面管理平臺交付給用戶時，通常會告訴用戶自己最終的目的并非是為用戶提供安全服務(wù)，而是希望將這種自動化的暴露面發(fā)現(xiàn)能力、資產(chǎn)梳理能力賦能給企業(yè)，讓其能夠真正為人所用。

　　采訪最后，在談及未來攻擊面管理市場的發(fā)展趨勢時，陳思認為，當(dāng)前國內(nèi)整體安全市場剛剛從合規(guī)安全轉(zhuǎn)向?qū)崙?zhàn)化驅(qū)動和業(yè)務(wù)驅(qū)動，攻擊面管理細分市場也處于剛剛起步階段。補足攻擊者視角的缺失注定成為企業(yè)用戶們下一步安全防御建設(shè)的重要方向。隨著安全意識的深入轉(zhuǎn)變，實戰(zhàn)化導(dǎo)向的攻擊面管理市場很快會迎來爆發(fā)期。

　　在這樣蓬勃發(fā)展的市場環(huán)境下，云科安信也會繼續(xù)持續(xù)擴大白澤攻擊面管理平臺的既有優(yōu)勢，持續(xù)以SAAS和定制化的模式向企業(yè)輸送攻擊者能力，賦能企業(yè)實戰(zhàn)攻防能力建設(shè)。同時在技術(shù)層面不斷增強資產(chǎn)測繪、漏洞驗證以及暴露面收斂的能力，推動白澤攻擊面管理平臺在更多用戶場景中得到廣泛應(yīng)用。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<