酷应用

RSAC2022解读丨海量资产场景下的攻击面高效识别与管理

动态作者：华为数据通信 2022-06-29 20:18:36

本期解读专家

随着各大企事业单位加速数字化和云化的转型，其攻击面呈指数级增长。在不少情况下，黑客的发现和利用速度比IT和安全团队发现的速度要快。很多情况下，由于资产可见性问题，无法做到保护和及时保护，因为企业无法保护不知道的资产。当今多数网络攻击是通过利用未知、未管理或管理不善的面向互联网的资产（影子资产）而突破的，所以，在攻击面的识别和管理方面也越来越被企业所重视。在RSAC2022上，各家安全公司也发布了相关的产品和技术研究成果，下面我们重点来看看。

Crowd Strike

在其XDR产品（FalconXDR）中集成新的图形数据库Crowd Strike Asset Graph，为IT和安全领导者提供了对所有资产（包括托管和非托管）的360 度视图，以及对跨设备、用户、帐户、应用程序、云工作负载、运营技术（OT）的攻击面的前所未有的可见性等，以简化 IT 运营并阻止违规行为。

特点：基于其XDR产品扩展。

Armis

Armis资产漏洞管理（AVM）是一种端到端资产漏洞生命周期管理解决方案，提供了组织环境的完整资产和漏洞视图、基于风险的优先级以及通过自动化和跟踪漏洞管理生命周期的综合仪表板减少平均修复时间。

特点：管理平台产品。协助攻击面识别类产品，基于漏洞风险管理，给出哪些攻击面优先处置。

Tenable

发布Tenable.asm外部攻击面管理（EASM）产品，它能持续发现组织面向互联网的资产的连接，以评估其整个外部攻击面的安全状况。

特点：针对互联网资产的扫描类评估方式，与自家的漏扫类产品相结合。

Mandiant

Mandiant发布了Digital Risk Protection（数字风险保护）产品。它使用该品牌专有的XDR，且同时支撑与来自多个供应商的安全系统一起使用，以提供组织攻击面的威胁信息支持视图。

特点：具备外部威胁信息支撑的攻击面管理产品。

Qualys

推出Qualys VMDR2.0，它是一种基于风险的一体化漏洞管理解决方案，可量化网络风险。

特点：精准的量化风险。它根据资产重要性、位置、系统上发现的漏洞/错误配置、有无打补丁、可利用漏洞的代码成熟度、流行程度等多种因素来评估资产风险。

针对上述攻击面识别和管理类产品的调研，我们发现当前这类产品的形态主要为如下三种类型：

基于自家XDR产品的扩展，利用XDR产品的特点对部署产品范围内的资产进行攻击面的识别和管理。对应产品：Crowd Strike Asset、MandiantDigital Risk Protection。

基于扫描类产品和互联网资产测绘类产品，对目标单位的外部资产攻击暴露面进行识别和管理。对应产品：Tenable.asm。

偏漏洞或攻击面管理产品，支持第三方资产信息搜集、扫描检测类产品，甚至支持威胁信息库来做分析，给出威胁处置方案。对应产品Armis AVM、Qualys VMDR 2.0。

如果从攻击和防御视角来看，对于资产攻击面识别和管理类产品，可以简单的分为外部互联网资产探测类攻击面识别与管理产品（上述第二种类型）以及资产风险检测与响应类攻击面识别与管理产品（上述第一种和第三种类型）。

外部互联网资产探测类攻击面识别与管理产品，其优点是无需企业事先提供资产信息，无需部署产品到企业环境里，能够识别企业自身都不知道的互联网资产风险和攻击面，模拟黑客渗透踩点方式事前了解攻击面。而缺点则是无法了解企业内部资产风险及攻击面情况，无法根据详细的配置、补丁、软件版本情况给出内部真正的攻击面和风险点，无法精确地指导安全运维人员。

资产风险检测与响应类攻击面识别与管理产品则正好相反，它受限于检测防御产品的部署管辖范围，如果企业无法识别未知资产，那么肯定就存在未识别的攻击面，并且有部分产品是偏向于事中和事后检测识别攻击面的。但优点很明显，可以精确的识别攻击面并进行多维度的分析，对安全运维人员及时响应和修复风险有指导意义。

此外，攻击面管理和Offensive Security进行结合也是一个重要的方向。Offensive Security不是简单的对攻击面进行漏洞扫描和风险管理，而是在授权和不影响实际业务的前提下，尝试实际的利用漏洞进行自动化的渗透测试模拟，可以对多攻击面的漏洞以及一个攻击面的多个漏洞进行组合利用，并结合攻击面泄露的敏感信息进行综合的渗透模拟。通过结合Offensive Security，安全运维人员可以对攻击面的易受攻击程度进行排序，对高危的攻击面进行重点防御，并结合渗透模拟获得的攻击路径，对可能的攻击进行预判并提前阻断。

往期精彩推荐