解决方案
近年随着数字化时代到来,各企业组织纷纷重新定义业务流程,以适应不断变化的业务和市场需求;进而推动各类业务的数字化转型改造工程,主要涉及对架构和基础设施重塑改造,以助力最终的业务成功。
在数字化时代,安全呈现出动态性、复杂性与对抗性的新常态,企业组织内外部安全形势更加严峻。动态性是指,伴随着数字化业务转型不断深入和推进,企业组织的信息资产和数据规模呈现大规模的增长,随着开发模式敏捷化,软件供应链极大延展,企业风险的暴露面此消彼长;复杂性则表现为:相较于以往,新业务构建在各类混合基础设施之上,数字化边界越来越模糊,其IT架构和应用的场景越来越复杂化;高强度对抗则是随着新型攻击技术层出不穷,攻防双方对抗不断加剧。
如今,各种新型的信息技术层出不穷,包括云计算、大数据、物联网、移动互联网、人工智能等领域技术快速发展,为企业组织在数字化蓬勃发展奠定了技术基础。并随着业务深入挖掘和覆盖细分用户场景,服务场景互联出身数据需要在业务系统之间流动和共享,业务系统构建更加复杂,边界更加模糊。
无疑,技术发展为业务创新带来更多可能和创新,但是这种转变和变革,也给企业组织带来了更大的风险,对外暴露出的信息和系统快速增长,其容易被攻击者所用发动进一步的攻击。这些信息和服务被成为攻击面,包括物联网(IoT)设备、移动应用程序、Web应用、域名、公有云服务、邮箱账号、泄露数据、关联公司、开源软件及供应链基础设施等各类信息。
在面对快速增长攻击面,多数的企业组织的信息安全管理者对这一现状缺乏发现和支撑攻击面管理必要的资源和工具,也无法量化给企业组织带来的风险以及攻击者如何使用它们。根据最新2022年上半年相关的网络安全报告调查和分析 (MAPPING THE DIGITAL ATTACK SURFACE: Why global organisations are struggling to manage cyber risk),在面向29个国家(地区)的6297名人安全管理人员访谈调查分析得出,其中73%的受访者对目前攻击面的快速增长表示担心,其所在的组织尚未做好应对准备;37%的受访者将目前的攻击面描述为“正在不断扩展和复杂化”,而43%的受访者担心“未来的攻击面管理可能会失控”。
图 1.1 Defending the Expanding Attack Surface——Trend Micro 2022 Midyear Cybersecurity Report
2020年发生了许多备受瞩目的供应链攻击事件,其中报道最为广泛要数著名的IT管理服务提供商SolarWinds,其成为供应链攻击的受害者。SolarWinds公司旗下产品Orion 是一种用于监控和管理客户 IT 基础架构的产品解决方案,被攻击者入侵并植入了一个名为Sunburst后门程序,这导致SolarWinds服务的18000多个客户(包括许多大公司和政府机构)被攻击者攻陷,波及影响范围之大引起了美国政府高度重视,并促成相关网络安全有关法律颁布和实施。
供应链攻击重大网络安全事件揭开了软件供应链存在的问题及安全隐患,供应链攻击具备高度隐蔽性,难以被发现,在确认被攻击渗透后,难以溯源分析到攻击活动的全部细节,因此难以根除被攻击后的影响。
大型企业组织往往在自身业务边界建立成熟安全防御技术体系,无疑提高了攻击者的攻击成本,降低业务面临的各类威胁。在真实的实战对抗中,攻击者在面临无法正面取得有效突破的情况时,往往采用迂回战略。具体为,攻击者通过收集和分析目标企业组织网络架构和业务特点后,首先取道攻击与企业组织业务互联互通但安全防御能力薄弱的下属分支机构、子公司或关联公司,取得立足后,摸排和利用总部到分支机构网络互通的线路攻击企业组织的总部资产,最终达成攻击目标。
在大型攻防演练行动攻击队利用分支机构和关联公司突破的攻击案例众多,如在2019年举行的大型攻防演练行动中,某单位被攻击队打入托管在公有云环境里的子公司边缘业务系统,并从子公司业务环境成功渗透到集团靶标系统。在2020年举行的国家攻防演练中,某单位在实战演练期间,发现与自身业务往来的某第三方公司专线链路有网络攻击告警,而在第三方接入专线区域并未建立重兵把守、层层设防的安全体系,这导致演练保障工作风险陡增。
随着云计算应用广泛发展,以及后疫情时代的移动办公影响,应用云化成为趋势,使用和部署在公有云的应用越来越得到企业用户青睐。公有云上丰富的云化应用和开放接口服务,将为大量第三方应用提供各类能力。然而,公有云和SaaS服务的暴露面相较于传统方案更大,其带来的攻击面和安全风险不容小视。从大型国家攻防演练对抗活动,及现实网络安全事件中,我们看到攻击者“枪口”掉转并瞄准了基于云计算平台之上的各类服务,成为攻击者重点攻击目标。
云计算平台和应用可能会对外暴露,这些服务存在被攻击者发现并利用的风险。对于云计算平台的应用,有些应用本身是不对外提供服务的,但如果存在配置错误或凭证失窃,则容易被攻击者攻击;而有些应用则不应对外提供服务,但在部署配置错误而导致对外暴露服务。这里列举以下若干云服务暴露后出现的安全风险。
如前所述,攻击面在广泛领域内快速增长的趋势,已出现安全团队难以应对的状态,企业组织现有的安全技术手段无法覆盖识别全部类型的外部攻击面,过去安全团队尝试利用各类分散的工具和人工服务,试图解决当前困难,然而工具和人工服务效率低下,服务时效无法满足管理要求,且存在数据孤岛,无法对数据进行整合分析,更无法进行形成动态持续的有效管理,因此并未能从根本上解决问题。因此,攻击面依然成为攻防博弈中重点。
另外,根据已有调查显示,目前仅有不到1/3的组织采用了较新的攻击面管理相关解决方案,仍有3/4的组织或企业还在使用传统的电子表格来管理他们的攻击面,这种传统的管理方式所体现的问题显而易见:低效、更新不及时、不能够实时同步、泄漏后面临很大风险等诸多劣势。
因为当前安全解决方案不能对攻击面不能提供完整性的事前发现解决方案,这导致安全团队对全面性的安全风险和正在发生的威胁状况了解甚少,事中无法感知、事后陷入难以根除问题的窘境,给攻击者留下可乘之机。
攻击面是漏洞、路径或方法(或称为攻击媒介)的总和,攻击者可使用这些攻击媒介尝试输入攻击向量,以期望通过未经授权访问到组织的敏感数据或获得系统权限。Forrester 在2022年发布的报告中将攻击面管理(ASM,Attack Surface Management)定义为:持续发现、识别、清点和评估实体IT资产风险的过程。
外部攻击面管理(EASM,External Attack Surface Management)是指:发现面向互联网的企业资产、系统及相关漏洞而部署的流程、技术和服务。2021年,Gartner发布了《新兴技术:外部攻击面管理EASM关键洞察》报告,在其中指出,EASM可以帮助识别未知资产,提供有关云服务、系统和应用程序的信息,这些信息在公共域中可见、可用,且都可能被攻击者利用。EASM的一个关键优势在于,以攻击者的视角,帮助企业更好地发现面向外部的资产,如域、子域、IP、公共云服务配置、泄露的代码、暴露的数据库以及可被攻击者利用的漏洞等。
如下图所示,Gartner认为EASM为企业组织提供更广泛的外部视角的数字资产可见性,EASM技术方案侧重在组织对外的暴露的攻击面集合管理(追求外部暴露资产的宽度和深度挖掘)。
图 3.1 Gartner 由外而内的攻击面管理视角
矢安科技以自身前瞻的技术创新实力和行业实践经验,致力于攻击面管理解决方案,帮助企业全面、动态了解IT生态系统,将业务和风险的攻击面视图化,从攻击者视角评估每一个暴露的风险,发现最小阻力攻击路径,确定风险优先级并消减风险。
公司产品围绕以持续动态攻击面发现、评估和消减的闭环风险管理框架为企业提供一体化攻击面管理解决方案,其核心优势:
图 4.1 矢安科技攻击面管理解决方案
矢安科技攻击面管理解决方案以风险为中心,以攻防为核心,帮助企业形成更加高效的安全风险运营体系。
