关于安全:攻击面分析及应对实践

51次阅读

共计 4663 个字符,预计需要花费 12 分钟才能阅读完成。

作者:vivo 互联网安全团队 -  PengQiankun

本文联合 CASSM 和 EASM 两个新兴的攻击面治理技术原理对资产治理,综合视图(可视化),危险评估,危险修复流程四个要害模块进行简述,为企业攻击面平安风险管理提供可落地的建设思路参考。

一、攻击面概述

攻击面是企业所有网络资产在未受权的状况下便能被拜访和利用的所有可能入口的总和。

随着物联网、5G、云计算等技术倒退和社会数字化转型继续倒退,当下的网络空间资产的范畴和类型也产生了巨大变化,同时将来将会有更多的新兴资产和服务呈现,如何去建设更加适合高效的平安技术体系来治理企业面临的攻击面平安危险将是平安经营工作面临的新挑战。

行业趋势:

Gartner 在 2021 年 7 月 14 日公布《2021 平安经营技术成熟度曲线》中明确提到了攻击面的两个新兴技术:网络资产攻击面治理(Cyber assetattack surface management)和内部攻击面治理(External Attack Surface Management),指标是为了让平安团队对裸露资产以及攻击面进行迷信高效的治理,从攻击者视角扫视企业网络资产可能存在的攻击面及脆弱性,建设对企业网络攻击面从检测发现、剖析研判、情报预警、响应处理和继续监控的全流程闭环平安剖析管理机制。

从平安经营技术成熟度曲线能够看出,CAASM 和 EASM 还处于启动期,这两种技术尽管刚刚诞生,还处于概念阶段,却曾经引起了外界的宽泛关注。

  • CAASM

CAASM 是一项新兴技术,旨在帮忙平安团队解决继续的资产裸露和破绽问题。它使组织可能通过与现有工具的 API 集成来查看所有资产(包含外部和内部),查问合并的数据,辨认安全控制中的破绽和破绽的范畴,并纠正问题。其取代传统手动收集资产信息和繁琐的流程来进步资产治理的效率。

另外,CAASM 通过确保整个环境中的安全控制、平安态势和资产裸露失去了解和纠正,使平安团队可能改善根本的平安能力。部署 CAASM 的组织缩小了对自产零碎和手工收集流程的依赖,并通过手工或自动化工作流来补救差距。此外,这些组织能够通过进步可视化平安工具的覆盖率来优化可能有古老或缺失数据的记录源零碎。

综合来说对于组织有以下长处:

  1. 对组织管制下的所有资产的全面可见性,以理解攻打外表区域和任何现有的安全控制缺口。
  2. 更疾速的合规审计报告通过更精确,及时、全面的资产以及安全控制报告。
  3. 资产综合视图,缩小人力投入。
  • EASM

EASM 是指为发现面向内部提供服务的企业资产,零碎以及相干破绽而部署的集流程,技术,治理为一体的服务,比方服务器,凭证,公共云服务配置谬误,三方合作伙伴软件代码破绽等。EASM 提供的服务里会蕴含 DRPS,威逼情报,三方危险评估以及脆弱性评估,以及供应商能力评估等细分服务。

EASM 次要蕴含 5 个模块:

  1. 监控,继续被动扫描互联网与畛域相干的环境(如云服务,面向内部的外部基础设施)以及分布式系统。
  2. 资产发现,发现并测绘面向内部的资产与零碎
  3. 剖析,剖析资产是否存在危险或软弱点。
  4. 优先级评估,对危险及脆弱性进行优先级评估并告警。
  5. 修复倡议,提供对应危险以及脆弱性的修复倡议。

从行业趋势来看,攻击面治理曾经逐步走入了各大平安厂商的商业化策略里,这不仅体现了这一技术的市场需求急切性同时体现了肯定的商业化实际价值。

从 EASM 和 CAASM 的技术定义中咱们不难发现,其核心内容能够演绎为 4 个模块,别离是 资产治理,综合视图(可视化),危险评估,危险修复流程。

这四个模块恰好与咱们目前的平安能力建设思路不约而同,因而后续次要围绕这四个模块来总结咱们在攻击面风险管理上的实际心得。

二、攻击面风险管理落地实际

行业内通常把攻击面治理定义为从攻击者的角度对企业网络攻击面进行检测发现、剖析研判、情报预警、响应处理和继续监控的 资产平安治理办法,其最大个性就是以内部视角来扫视企业网络资产可能存在的攻击面及脆弱性。

攻击面次要体现在企业裸露给攻击者各个层面的平安弱点,攻击者可利用不同伎俩实现攻击行为。因而对攻击面危险无效治理的“First of all”就是 资产治理

2.1 平安资产治理模块

做资产治理之前须要先对全网资产进行梳理,确认资产范畴和类型框架。

2.1.1 平安资产梳理

资产梳理的思路依照业务,零碎,主机以及其余四个维度来进行梳理。

  • 业务维度

    蕴含域名,URL,公网 IP,依赖包治理资产以及利用资产。

  • 零碎维度

    蕴含 API 接口,公网 IP 外部映射关系,公网端口外部映射关系,内网集群 VIP-LVS,内网利用集群 VIP-Nginx,内网端口资产,内网 IP 资源状态资产。

  • 主机维度

    蕴含主机 IP 资产,容器资产,k8s 资产,主机端口资产,中间件资产,数据库资产,操作系统资产,账号信息资产,过程信息资产,其余应用服务资产。

  • 其余维度

    蕴含资产补丁状态,资产负责人及所属组织。

因为篇幅问题,以上仅蕴含二级我的项目,其实二级以下依据不同的企业场景还具备更多的分项,例如从 vivo 互联网来说,业务维度的域名咱们细分了 11 项,包含治理后盾域名,公网埋点域名,埋点 SDK 域名,DB 域名,主机域名,信管域名,内网接口域名,公网接口域名,线上业务域名,动态资源域名,其余域名等。

资产梳理没有一个万能公式,最佳实际是从理论的基础架构登程联合业务场景来对全网资产定好框架。

2.1.2 构建牢靠的资产信息起源库

资产库次要有三个数据起源。

  • CMDB:次要的资产信息供给渠道
  • HIDS:补充主机相干资产信息,如过程,账号,网络链接等资产信息
  • VCS:被动资产信息采集用以补充资产库

通常平安资产库的建设往往会面临技术上的难点,比方资产信息采集工具的适配性,采集工具的稳定性,对生产造成影响的概率最小性,资产残缺的可靠性等等,但技术问题往往并不难解决,借助开源工具,商业化产品甚至自研工具都能解决绝大部分问题,而真正难以头疼的是与资产归属方(业务方)的大量简单的沟通确认工作。

从以往的最佳实际来看,从业务方的视角来建设资产库,宣贯业务价值可能更顺畅地发展资产信息采集工作,例如资产管理系统能够绘制整个企业内多个团队的合并资产视图,其可包含业务团队、运维团队、平安团队等,大家都能够从这个视图中查问到本人关怀的信息,通过价值宣导来激发合作方的撑持志愿。

2.1.3 建设资产被动发现能力

在资产治理中,往往存在资产被动上报监管难,资产变更频率高而产生的资产信息滞后以及一些非法资产接入的问题,因而须要建设资产被动发现能力来补全这一块的资产信息,有条件的话能够以此作为资产变审计体系的输出源。

  • 流量解析:通过流量剖析辨认隐匿资产、老化资产、影子资产等资产信息。
  • 扫描工具:IAST/DAST/SAST,NMAP 工具等对资产进行辨认补充以及维持。
  • 平安日志及告警:梳理无标资产对资产库进行补充。

另外,须要留神的是,在资产被动发现过程中须要审慎思考扫描工具或引擎的工作频率以及工作时间段,防止影响生产。

2.2 综合视图模块

建设综合视图并不是为了绘图而绘图,它是通过肯定的数据分析并联合业务场景的资产关联链测绘,具备良好的逻辑性及可读性的综合视图,无论是间接使用者(平安经营团队)还是非间接使用者(业务或运维)都可能通过综合视图获取各自须要的资产信息。

2.2.1 资产关系链测绘

资产关联能力建设的目标是去测绘资产关系链从而将零碎各模块的安全事件进行关联,全链路分为两条别离是公网 IP/ 域名到内网主机的关系映射链以及内网主机到内网 IP/ 域名以及公网 IP/ 域名的关系映射链。

2.2.2 资产全局视图

针对以上两个资产强相干模块,如果以一年期来建设的话,能够参考以下建设打算:

2.3 危险评估模块

2.3.1 危险发现

危险发现起源蕴含两大块:

  • 纵深进攻体系:一体化的纵深进攻协防平台提供根底的告警源数据。
  • 被动扫描:以防守方视角对全网资产脆弱性进行定期扫描,个别搭建自动化扫描零碎定期继续对全网设施 / 节点进行破绽扫描。
  • 人工浸透测试:从攻打方视角组织人力配合工具从内部对信息资产进行脆弱性测试。
  • 基线合规扫描:解决外部基线合规问题,如弱明码,root 权限,外发管控等。

通过搭建自动化破绽扫描平台对以及扫描工作进行集中管理,相干的平安人员对扫描产生的各类危险发现做进一步的确认,若确认是破绽的危险就会通过主动创立破绽工单,并将创立的破绽工单同步到破绽管理系统进行后续破绽修复的跟踪,后续破绽的修复进度也会同步到自动化破绽扫描平台进行同步跟进。

值得一提的是,破绽扫描平台并非只是一味地将扫描工具及扫描后果集成,一个能无效解决危险发现的零碎必然是从场景登程,落地到理论问题上。以下是三个利用场景的举例:

2.3.2 危险评估

平安危险评估就是从风险管理角度,使用迷信的办法和伎俩,系统地剖析网络与信息系统所面临的威逼及其存在的脆弱性,评估安全事件一旦产生可能造成的危害水平,提出有针对性的抵挡威逼的防护对策和整改措施,另外,危险评估的落地状态能够是一套评分标准或是数学模型,其能够从全局视角来评估整体平安态势并以具体分值的模式来出现。

规范的危险评估过程次要有四块:

  • 资产辨认与赋值:对评估范畴内的所有资产进行辨认,并考察资产毁坏后可能造成的损失大小,依据危害和损失的大小为资产进行绝对赋值。
  • 威逼辨认与赋值:即剖析资产所面临的每种威逼产生的频率,威逼包含环境因素和人为因素。
  • 脆弱性辨认与赋值:从治理和技术两个方面发现和辨认脆弱性,依据被威逼利用时对资产造成的侵害进行赋值。
  • 危险值计算:通过剖析上述测试数据,进行危险值计算,辨认和确认高风险,并针对存在的平安危险提出整改倡议。

从落地实际来看,对各个信息节点的评估赋值须要张弛有度,过细的赋值计划会难以开展,过粗的赋值计划难以有好的成果,企业应联合本身倒退现状,人力,技术条件以及平安指标来制订赋值计划。

2.4 危险闭环

针对于平安经营工作来说,风险管理的理论工作实质上是破绽治理,危险闭环是破绽从发现再到打消的一系列治理过程,即破绽的生命周期治理。

其实在理论的风险管理过程中,许多危险是没有造成闭环治理的,其起因大多能够演绎为以下几点:

  • 打算制订的不切实际
  • 没有进行起因剖析
  • 进行了起因剖析但未施行对策
  • 未查看执行成果

因而,在制订闭环策略或流程时应充分考虑以上几个问题。以下例子是依照破绽起源制订的不同的闭环策略:

三、总结

企业攻击面梳理已变得十分重要,攻击面不清晰将导致严重后果。攻击面风险管理一方面需继续增强企业攻击面平安防护的监管领导,强化攻击面平安管理制度和流程,明确各相干主体的责任和治理要求,定期发展攻击面梳理排查,增强对企业攻击面平安防护工作的监督。建设更健全攻击面防护的立健全攻击面防护的标准规范,推动政策疏导、规范束缚等方面的落地实际,晋升企业平安防护能力。

另一方面,须要继续强化攻击面平安防护技术的钻研和利用。扩大攻击面剖析钻研场景,交融大数据分析、人工智能等先进技术,全面发展企业攻击面危险剖析,进步攻击面检测排查能力以及应急处理能力。联合继续身份认证、细粒度访问控制、数据流平安审计、数据隐衷爱护等平安机制赋能攻击面预防检测工作,晋升对攻击面利用类安全事件的响应能力,还应亲密关注当下简单网络安全局势下攻击面攻打和进攻两方面的技术发展趋势,从资产治理根底登程,建设适应各企业发展攻击面平安治理的平台和工具。

总的来说,攻击面的应答实际形式应是从攻击面梳理着手,落地到资产梳理,同步建设网络空间测绘及危险扫描能力,配合脆弱性评估对危险进行整体评估,建设对立的危险视图对危险进行全局的把控,以及联合危险闭环工具及流程等最终对攻击面进行无效收敛。

正文完
 0