長期以來,我們一直強調(diào)要做好網(wǎng)絡安全建設(shè),而其中的第一步就是要做好對自身資產(chǎn)的發(fā)現(xiàn)和清點,正如大家經(jīng)常所說的那句話——“你無法保護你看不見的東西”。的確,如果不知道自己擁有什么資產(chǎn),那么如何去了解與它們相關(guān)的風險狀況?還拿什么去談要做好風險管理呢?
在安全建設(shè)過程中,大家經(jīng)常會強調(diào)要防住某一類攻擊,通過置入大量安全設(shè)備的方式去進行防護,并認為這就夠了,但如果這是建立在我們不清楚自身資產(chǎn)的情況,那只能說這些投入中有很多可能都會是浪費。因此,在我們看來,企業(yè)在進行安全建設(shè)時的第一件事就是要回歸到一個最基本的問題上,那就是要通過提高對資產(chǎn)的可見性,這也是構(gòu)建良好風險管理能力的基礎(chǔ)。
以當前企業(yè)用戶最為頭疼的勒索軟件攻擊為例,由于此類攻擊是以一種可集合各種攻擊方式的方法去入侵受害者的網(wǎng)絡,從而單純的某種防護方式很難對其進行防御,迄今也沒有一個單一化的方式可以有效緩解此類威脅,考慮到它終歸還是要通過企業(yè)的某個資產(chǎn)引入到網(wǎng)絡環(huán)境之中,這意味著如可以在資產(chǎn)可見性方面做的比較到位,輔以其他安全設(shè)備的持續(xù)監(jiān)控,能夠在其入侵時予以告警,那么至少我們還是有機會去做好響應工作,以降低甚至規(guī)避風險發(fā)生的可能。這里需要注意的是,這種可能性是建立在企業(yè)對自身所有資產(chǎn)了如指掌并進行全面監(jiān)控的情況之下,兩者可謂缺一不可,如果缺少了前者,那么安全設(shè)備部署的再多也是徒然,對這一點不要抱有偶然心態(tài),畢竟攻擊者從你看不見的地方發(fā)動入侵的概率仍然存在,更何況現(xiàn)實已經(jīng)無數(shù)次的證明,這沒什么不可能的。
此外,社會工程也是很多企業(yè)要面臨的重要問題之一,以金融行業(yè)為例,其中的大型公司員工數(shù)量動輒數(shù)千人,相信其中絕大多數(shù)人都會以一個相對簡單的操作方式連接到組織的網(wǎng)絡。這些人在攻擊者眼中,其實都是發(fā)起攻擊的跳板。此前,我國攻擊面管理領(lǐng)域企業(yè)——云科安信的CEO金飛在參與我們安全419《暢聊安全》節(jié)目時曾表示,現(xiàn)在的網(wǎng)絡攻擊之所以犀利,是在于它攻擊的目標開始多元化,以往可能只會對數(shù)字資產(chǎn)進行有針對性地攻擊,現(xiàn)在則還會將使用數(shù)字資產(chǎn)的人也同樣作為攻擊目標,并且將其作為一個非常重要的切入點。在他看來,數(shù)字資產(chǎn)中出現(xiàn)漏洞、風險的頻率雖然不會比人更高,但人也許會成為放大劑、催化劑。
”假設(shè)有1條攻擊路徑被確認,后面有1萬個人在使用這條攻擊路徑,那么對我們而言,它不是1條攻擊路徑,而是1萬條?!?/p>
需要指出的是,盡管這里強調(diào)的是人,但也是建立在是和資產(chǎn)相關(guān)聯(lián)的前提下,在資產(chǎn)未知的情況下,又談何將人與資產(chǎn)相關(guān)聯(lián)?如此一來安全定然難以得到全面保障。
事實上,在數(shù)字化進程的推進之下,絕大多數(shù)行業(yè)在擁抱數(shù)字化的同時也會面對新的風險,而在這之中所產(chǎn)生的數(shù)字資產(chǎn)如果不能得到充分的保護,那么對于企業(yè)的發(fā)展和安全都會帶來挑戰(zhàn)。尤其是關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域,IT和OT通常都會是以同時運行的方式存在,但和以往它們普遍在各自獨立的環(huán)境下運行不同,當前兩者的環(huán)境已在不斷融合,這就帶來了一個問題——攻擊面因此而大幅擴張,也意味著OT系統(tǒng)面臨和IT相同的安全威脅,但相比之下更糟糕的是,傳統(tǒng)的OT系統(tǒng)在設(shè)計時對于這種安全威脅的考慮大多并不充分。
由此可見,在網(wǎng)絡安全領(lǐng)域,做到識別盡可能多甚至是所有資產(chǎn),才能為整體網(wǎng)絡安全戰(zhàn)略提供有力支撐,由此我們也可以看出,資產(chǎn)的風險因素不僅是資產(chǎn)管理的組成部分,同時也是網(wǎng)絡安全的重要組成部分。
當前,我國在資產(chǎn)發(fā)現(xiàn)及風險管理相關(guān)領(lǐng)域已經(jīng)有不少廠商推出了相關(guān)產(chǎn)品和解決方案,安全419在這里遴選出其中一些能力較強的成熟產(chǎn)品以供參考:
知道創(chuàng)宇:ZoomEye Pro 網(wǎng)絡空間資產(chǎn)安全管理系統(tǒng)
ZoomEye的名字在該領(lǐng)域可謂廣為人知,該系統(tǒng)采用主動探測的方式,對網(wǎng)絡空間資產(chǎn)進行發(fā)現(xiàn)及詳細信息的分析收集,同時兼具被動探測功能及云端查詢功能。全面收集企業(yè)內(nèi)網(wǎng)和暴露在互聯(lián)網(wǎng)的資產(chǎn),統(tǒng)一管理。同時,該系統(tǒng)還兼具網(wǎng)絡空間資產(chǎn)自動分類功能,將網(wǎng)絡空間資產(chǎn)進行了12大類、142個二級分類標準劃分,并依據(jù)此標準對所需管理的資產(chǎn),依據(jù)既定規(guī)則,進行自動分類,此外,系統(tǒng)還支持基于各種維度的報告報表導出,為管理者管理決策提供數(shù)據(jù)支撐。
華順信安:FOEYE-網(wǎng)絡資產(chǎn)測繪及風險分析系統(tǒng)
該系統(tǒng)與同為華順信安推出的FOFA-網(wǎng)絡空間資產(chǎn)搜索引擎、FOASP-網(wǎng)絡空間測繪及風險治理平臺等多個產(chǎn)品構(gòu)成了針對資產(chǎn)風險的完整解決方案,據(jù)了解,該系統(tǒng)基于全生命周期的安全資產(chǎn)監(jiān)控,從披露資產(chǎn)開始,持續(xù)監(jiān)控資產(chǎn)變化,實時獲取資產(chǎn)情報,對資產(chǎn)掃描漏洞發(fā)現(xiàn)、分析、修復和審核過程進行持續(xù)跟蹤,對企業(yè)資產(chǎn)數(shù)據(jù)進行統(tǒng)一處理、分析,形成完善的信息資產(chǎn)管理體系,實現(xiàn)對資產(chǎn)情況的實時監(jiān)控和企業(yè)資產(chǎn)的高效管理。
盛邦安全:RaySpace 網(wǎng)絡空間資產(chǎn)探測系統(tǒng)
該系統(tǒng)是盛邦安全自主研發(fā)的一款集資產(chǎn)普查、風險探測、風險管理于一體的綜合資產(chǎn)探測與詳情展示系統(tǒng),結(jié)合漏洞發(fā)現(xiàn)檢測技術(shù)和數(shù)據(jù)情報分析技術(shù),可以實現(xiàn)對網(wǎng)絡空間的IPv4、IPv6及域名資產(chǎn)存活狀態(tài)的快速探測,具備針對全網(wǎng)各類資產(chǎn)的精準發(fā)現(xiàn)、精準識別、精準威脅檢測能力。RaySpace以存活探測、指紋檢測、PoC檢測三大高性能檢測引擎為基礎(chǔ),依托資產(chǎn)指紋庫、CVE漏洞庫、PoC規(guī)則庫等豐富的資源庫,實現(xiàn)對網(wǎng)絡空間資產(chǎn)的準確識別、發(fā)現(xiàn)與安全檢測,從而掌握網(wǎng)絡空間資產(chǎn)安全風險態(tài)勢,提升資產(chǎn)安全治理水平。
此外,當前火熱的攻擊面管理概念本身也對資產(chǎn)發(fā)現(xiàn)提出了更高的要求,如果資產(chǎn)發(fā)現(xiàn)能力弱,那么攻擊面管理所覆蓋的數(shù)字資產(chǎn)范圍或邊界就會有不足,還談和從攻擊者的視角去發(fā)現(xiàn)風險,事實上,攻擊面管理的能力是與資產(chǎn)的發(fā)現(xiàn)能力有著強相關(guān),因此國內(nèi)一些攻擊面管理領(lǐng)域的優(yōu)秀產(chǎn)品、解決方案也同樣值得關(guān)注,這里我們也遴選出部分成熟產(chǎn)品以供參考:
華云安:Ai·Vul 靈洞·網(wǎng)絡資產(chǎn)攻擊面管理平臺
該平臺將企業(yè)網(wǎng)絡空間攻擊面管理過程中的攻擊者視角信息和防御者視角信息,通過安全分析引擎、數(shù)據(jù)分析引擎進行統(tǒng)一整合,讓用戶先于攻擊者了解數(shù)字化攻擊手段和攻擊路徑,并采取針對性措施進行響應,幫助企業(yè)降低被攻擊的可能性,保障數(shù)字業(yè)務安全。在資產(chǎn)風險管理方面,靈洞能夠提供更為全面的資產(chǎn)分類,對比內(nèi)外視角分析資產(chǎn)安全情況,支持網(wǎng)格化管理模式,靈活進行數(shù)字資產(chǎn)管理。目前靈洞可覆蓋的資產(chǎn)涵蓋主機資產(chǎn)、WEB資產(chǎn)、IoT資產(chǎn)、容器集群資產(chǎn)的4大類信息資產(chǎn),以及對應如API、數(shù)字暴露面等多種數(shù)字資產(chǎn),并通過支持知識圖譜技術(shù)對無主資產(chǎn)、僵尸資產(chǎn)、影子資產(chǎn)等資產(chǎn)進行標記和可視化呈現(xiàn)。
云科安信:白澤攻擊面管理平臺
該平臺能夠完全自動化地幫助用戶發(fā)現(xiàn)和梳理資產(chǎn)暴露面的情況,將包括域名、IP地址、端口情況,web應用、中間件、數(shù)據(jù)庫、組件、指紋等等這些跟目標系統(tǒng)相關(guān)的信息詳細地展現(xiàn)在用戶眼中。在梳理完用戶全部暴露在外的資產(chǎn)和攻擊面后,白澤平臺還會從應用的視角、關(guān)聯(lián)關(guān)系的視角、端口數(shù)據(jù)的視角將不同資產(chǎn)之間的關(guān)聯(lián)關(guān)系進行展示,幫助用戶了解到未知的資產(chǎn)暴露情況??傮w而言,該平臺可持續(xù)以攻擊者視角對其資產(chǎn)進行持續(xù)發(fā)現(xiàn)、清點、分類、優(yōu)先級排序和監(jiān)控,幫助客戶時刻洞察網(wǎng)絡空間資產(chǎn)風險,主動掌控資產(chǎn)動態(tài),及時提出收斂資產(chǎn)暴露面的數(shù)據(jù)支撐,驗證暴露資產(chǎn)的漏洞可利用性,并形成關(guān)聯(lián)關(guān)系,從而幫助用戶構(gòu)建起一套實戰(zhàn)化、自動化、智能化的攻擊面管理平臺。
零零信安:0.zone攻擊面管理系統(tǒng)
作為專注于外部攻擊面管理的企業(yè),零零信安的做法則是從外入手,0.zone攻擊面管理系統(tǒng)通過一系列內(nèi)置的數(shù)據(jù)探針,針對全球網(wǎng)絡,以及數(shù)千個威脅源進行持續(xù)檢測,每天以數(shù)千萬IT資產(chǎn)數(shù)據(jù)和數(shù)百萬情報項目添加到數(shù)據(jù)池中,并通過專有算法,將其進行關(guān)聯(lián)和整合,將數(shù)據(jù)池中數(shù)千萬的IT資產(chǎn)和數(shù)百萬情報項目,與組織架構(gòu)、子公司、關(guān)聯(lián)組織等進行識別和映射,以保證全面和準確地發(fā)現(xiàn)企業(yè)未知資產(chǎn),實時跟蹤企業(yè)攻擊面動態(tài)變化,維護資產(chǎn)列表,輔助企業(yè)安全管理人員收斂攻擊面。
更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<