新一代攻击面管理防护理念强调持续监控、主动防御、风险导向和智能化。
攻击面管理的发展历程体现了网络安全防护理念的不断演进过程,包括从被动响应到主动防御,从静态分析到动态分 析,从孤立的安全产品到全面的安全解决方案。未来,攻击面管理将继续朝着更加智能化、自动化和一体化的方向发展, 为企业提供更加有效的安全防护。
1. 事件驱动(被动)阶段(约 2000 年以前) 早期网络安全防护以被动响应为主,安全人员主要依靠安全信息和事件管理(SIEM)等工具来被动地收集和分析安全 事件,并进行事件响应。安全防护的重点是识别和响应已知的攻击,对未知威胁的防护能力不足。例如,早期的防火墙主 要用于拦截已知的攻击流量,对于新型的攻击手段经常无法有效防御。
2. 资产发现阶段(约 2000 年 -2010 年) 随着 IT 环境的日益复杂,企业开始重视资产的识别和管理,并使用漏洞扫描、配置检查等工具来发现和评估资产的 安全风险。安全防护的重点是识别和管理资产,对攻击路径和攻击面的分析还不够深入。例如,企业开始使用漏洞扫描器 来发现系统和应用中的漏洞,并进行修复。
3. 暴露面风险驱动阶段(约 2010 年 -2018 年) 企业开始从攻击者的视角来审视自身的安全防御体系,并使用攻击面管理工具来识别和评估暴露面风险。安全防护的重点是识别和管理暴露面风险,对内部攻击面和动态攻击面的关注还不够。例如,企业开始使用攻击面管理平台来识别和 管理暴露在互联网上的资产和漏洞。
4. 实战驱动阶段(2018 年至今) Gartner 于 2018 年正式提出攻击面管理的概念,并将其定义为“持续发现、识别、清点和评估实体 IT 资产风险的过程”。 企业开始将攻击面管理与实战攻防相结合,使用入侵和攻击模拟(BAS)等技术来验证安全防御体系的有效性,并进行持 续改进。安全防护的重点是主动地识别和管理安全风险,并持续提升安全防御能力。例如,企业开始使用 BAS 平台来模拟 攻击者的行为,并评估安全防御体系的有效性。
根据 2023 年安全牛研究报告《攻击面管理应用指南 2023 版》,攻击面管理是利用攻击者视角进行风险管理的方法, 通过持续识别发现企业的攻击面,并对整体攻击风险进行收敛和验证,实现有效控制攻击风险的管理方法。攻击面是指从 攻击者的视角开展网络安全的风险管理,类型包括外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风 险保护服务(DRPS),能力包括资产识别、攻击面识别、攻击面分析、收敛与验证和持续监控,详情请参考《攻击面管理 应用指南 2023 版》。
2.1 攻击面管理需求场景的变化
2023 年的攻击面管理研究报告中,用户则对攻击面的概念理解并不充分,还存在很多问题与困惑;大部分厂商的攻 击面管理还是以互联网资产识别加漏洞管理组成的产品为主,并且,其主要能力体现在互联网资产的发现。 经过一年多的实践,企业用户对攻击面的理解更加清晰,已经能够准确地了解攻击面主动防御的概念,其应用场景也 开始贴合结合实战需求而应用落地。根据 2024 年安全牛用户调研显示,目前 74.28% 的用户表示比较或非常了解攻击面 管理的概念。
随着用户需求和理解的不断深入,攻击面管理的概念和内涵在不断丰富与演变,更加适应当前的网络安全威胁和技术 发展趋势。
攻击面管理的主要变化趋势如下: • 从关注外部攻击面到关注内部攻击面。用户逐渐意识到内部攻击面的重要性,开始关注 CASSM 与 EASM 的融合 能力。例如识别和管理未纳管内外部资产、分析外部资产与内部业务之间的连接关系、识别潜在的攻击路径等。 • 从资产梳理转向资产治理优化。用户的资产数据已经基本建立,用户更加关注资产的质量,例如资产的数据的资 产重复、属性等数据缺失、数据冲突等,并希望利用健全的一张图作为基础,实现攻击链路的可视化。根据安全 牛调研数据,77.14% 的用户希望攻击面可以实现资产关联分类,自动归属,重要性标签,并资产全景图。并且 45.71% 的用户希望可以得到准确的风险报告。
从面向设备资产到面向风险管理。攻击面管理从之前的资产发现能力转向面向风险的发现。根据安全牛调研数据, 51.43% 的用户希望攻击面可以协助威胁的检测和响应,51.43% 的用户希望攻击面可以进行弱密码、配置错误核 查,48.573% 的用户希望攻击面可以协助漏洞管理。 • 从单点资产管理到全链路风险防护。用户更加关注全链路风险防护,更加关注攻击者可能利用的攻击路径和攻击 目标,进行跨设备的数据关联分析,识别完整的攻击链路。根据安全牛调研数据,40% 的用户希望攻击面可以实 现展示真实攻击路径。 • 从合规检查到有效性验证。随着用户安全建设能力的提高,用户从合规检查转向安全有效性验证,并且更关注检 验安全防御体系是否能够抵御真实的攻击,而不是单个安全设备的防护能力。 • 持续监控。攻击面管理需要持续监控攻击面的变化,例如新增资产、变更资产、退役资产、新的漏洞、新的攻击 技术等,以便及时调整安全防护策略。
2.2 攻击面管理能力目标的变化
随着用户对攻击面管理的深入理解和应用场景的不断增加,其需求也在不断增多。原有的攻击面管理目标正转化为以 下新的目标: • 资产治理优化。大部分企业已经通过各种设备获取到相当数量的资产数据,如 HIS、EDR、WAF、CMDB 等,但 是这些数据普遍问题存在数据重复、缺失、冲突等问题,需要对不同资产设备进行对接、融合和核对,实现资产 管理“一张图”。 • 整体攻击面梳理。攻击面管理需要将 CAASM 与 EASM 的数据进行融合,打破内外网边界,实现对企业整体攻击 面的全面管理。
风险场景化。随着用户对攻击面的深入理解,不同行业的用户开始根据自身的安全需求和风险特点,提出实际需求, 厂商也正朝着行业深耕的方向发展,针对金融、能源、政府等不同行业提供差异化的解决方案。 • 验证实战化。攻击面管理要更加贴近实战,能够帮助用户模拟真实的攻击场景,并验证安全防御体系的有效性。 • 自动化和智能化。攻击面管理需要自动化和智能化的工具来提高效率和效果,例如自动化资产发现、自动化漏洞 扫描、智能化风险评估、自动化的安全防护等。 • 产品服务化。攻击面管理功能要能提供相应的产品服务和专家服务的形式提供,用户可以借助专家能力,以及便 捷灵活地获取攻击面管理能力,降低部署和维护成本。
