为了支撑新的攻击面管理能力框架,攻击面管理的关键技术涵盖了资产识别、漏洞扫描、风险评估、持续威胁暴露管 理、攻击路径分析、入侵和攻击模拟等多个方面。
攻击面管理目标从之前主要针对 IT 资产和互联网资产识别,转变为整体攻击面的持续可视化,对攻击面风险开展常 态化监控和管理,实现降低风险暴露,提升安全防护能力。
攻击面管理成功的关键因素: • 资产数据和关联要全和准。攻击面管理的首要任务是全面、准确地识别和管理企业的所有资产,需要攻击面管理 系统具备强大的资产发现能力,并准确识别资产的属性信息,同时,攻击面管理系统还需要能够识别资产之间的 关联关系,以便于进行攻击路径的识别。 • 攻击面需要“管理 + 技术”。攻击面管理不仅仅是技术问题,也需要管理手段的配合。企业需要建立明确的攻击 面管理策略和标准,例如影子资产 / 违规资产的定义、风险评估标准、安全加固标准等。 • 攻击面需要安全与运维协同。攻击面管理需要安全团队和 IT 运维团队的协同配合,才能有效地进行资产管理、 攻击面闭环管理等。企业需要有一定的基础设施基础。攻击面管理的实施需要企业具备一定的基础设施基础,攻击面管理系统需要能 够与这些基础设施进行集成,才能发挥最大的价值。
攻击面管理能力之一“资产治理”的特点: • 互联网资产识别更全面。攻击面管理应能够识别企业所有面向互联网的资产,包括组织架构、域名、IP 地址、子 域名、SSL 证书、Web 应用程序、API 接口、数字资产、仿冒资产等,并能够持续监控这些资产的变化,及时发 现新增资产、失效资产和变更资产等。 • 网络资产数据更完整。攻击面管理应能够识别企业内部网络中的所有资产,包括互联网资产、IT 影子资产、设备、 中间件、应用系统等,并能够识别资产之间的关联关系,例如网络拓扑结构、版本号、供应商等。 • 资产数据更准确。攻击面管理应能够准确识别资产的属性信息,例如 IP 地址、MAC 地址、操作系统、开放端口、 服务版本等,并能够及时更新资产信息,确保资产信息的准确性和完整性。 • 资产与业务关联更清晰。攻击面管理应能够将资产与业务系统进行关联,例如识别某个 Web 应用程序属于哪个 业务系统,某个服务器承载了哪些业务应用等,以便于进行风险评估和安全防护。
攻击面管理能力之二“攻击面识别”的特点: • 全面覆盖各种攻击向量。攻击面管理应能够识别所有可能的攻击向量,包括漏洞、配置缺陷、弱口令、身份和访 问管理缺陷、社会工程学攻击等。 • 攻击面路径图。攻击面管理应能够绘制攻击面路径图,清晰地展示攻击者可能利用的攻击路径,并评估攻击成功 的可能性。
攻击面管理能力之三“基于业务的风险分析”的特点: • 准确评估风险。攻击面管理应能够对攻击面进行风险评估,识别高风险资产和漏洞,并能够准确计算风险评分。 • 科学分析风险。攻击面管理应能够对风险进行分析和优先级排序,例如识别高风险资产和漏洞,确定修复的优先级。 • 风险可视化。攻击面管理应能够对风险进行可视化展示,例如通过攻击路径图、风险热力图等方式展示风险,以 便于用户理解和分析。
攻击面管理能力之四“自动验证”的特点: • 持续监控暴露面变化。攻击面管理应能够持续监控暴露面的变化,例如新增暴露面、失效暴露面、变更暴露面等, 并及时发出告警。收敛攻击面。攻击面管理应能够采取措施降低风险暴露,例如漏洞修复、安全加固、访问控制等,并能够验证安 全控制措施的有效性,例如模拟攻击、渗透测试等。
攻击面管理能力之五“持续监控”的特点: • 持续验证。攻击面管理应能够持续验证安全控制措施的有效性,并根据验证结果进行调整和改进。 • 自动化。攻击面管理应能够自动化执行攻击面收敛和验证操作,例如自动化漏洞修复、自动化安全加固等。 • 攻击面态势感知。应实时感知企业的攻击面态势,例如当前面临的威胁、攻击者的活动轨迹、攻击的影响范围等, 并提供态势分析报告和可视化展示。
为了支撑新的攻击面管理能力框架,攻击面管理的关键技术涵盖了资产识别、漏洞扫描、风险评估、持续威胁暴露管 理、攻击路径分析、入侵和攻击模拟等多个方面。了解这些技术的实现原理,可以帮助企业更好地理解和应用攻击面管理, 从而降低安全风险,提升安全防护能力。
攻击面管理的关键技术有以下: (1)资产识别技术 • 主动扫描技术。通过发送网络探测数据包(例如 ping、TCPSYN 等),来探测目标网络中的活动主机和开放端口, 并识别主机的操作系统、服务类型等信息。例如,使用 Nmap 工具扫描目标网络,可以发现网络中的主机、开放 端口、操作系统、服务版本等信息。被动扫描技术。通过监听网络流量(例如 ARP 请求、DNS 查询等),来识别网络中的活动主机和开放端口,并 识别主机的操作系统、服务类型等信息。例如,使用 tcpdump 工具监听网络流量,可以分析流量中的主机信息 和服务信息。 • 网络空间测绘技术。通过对互联网上的资产进行扫描和探测,例如 IP 地址、域名、网站等,来识别企业的外部 资产和攻击面。例如,使用 Shodan 搜索引擎搜索企业的 IP 地址和域名,可以发现企业暴露在互联网上的资产 和服务。 • 威胁情报技术。通过收集和分析各种威胁情报,例如漏洞信息、攻击事件、恶意软件等,来识别与企业资产相关 的威胁信息。例如,订阅威胁情报平台的漏洞信息,可以及时了解最新的漏洞信息,并识别企业资产中受影响的 资产。 • Agent 技术。在终端设备上安装 Agent 程序,收集终端设备的信息,例如操作系统、硬件配置、软件安装情况等, 并将其上传到攻击面管理平台。 以上具体可参见安全牛《攻击面管理应用技术指南 2023 版》中相关内容。
(2)资产数据质量治理技术 • 集成现有资产数据。与企业现有的安全产品进行对接,例如 WAF、CMDB、EDR 等,读取其中的资产数据并集中存储。 • 融合。采用数据融合技术,将不同来源的资产数据进行融合,例如根据资产的唯一标识符进行融合,并解决数据 冲突问题,例如华云安的攻击面管理平台,支持对多种数据源的资产数据进行融合,包括 CMDB、漏洞扫描器、 网络扫描器等,并能够识别和处理数据冲突,例如 IP 地址冲突、MAC 地址缺失等。 • 清洗。对采集到的数据进行清洗,例如去除重复数据、纠正错误数据等,例如知其安的攻击面管理平台,支持对 资产数据进行清洗,例如识别和删除重复资产、补充缺失的资产信息、纠正错误的资产属性等。 • 去重和异常处理。对全部的资产数据进行清洗、去重和异常处理,形成资产清单。
(3)攻击面识别技术 攻击面发现技术用于识别和分析企业面临的各种安全风险和威胁,包括漏洞、配置缺陷、弱口令、数据泄露等。 • 漏洞扫描。通过漏洞扫描工具对资产进行扫描,发现资产中存在的安全漏洞。例如,使用漏洞扫描器对服务器进 行漏洞扫描,发现服务器中存在的漏洞,并评估漏洞的风险等级。 • 配置检查。通过配置检查工具对资产进行检查,发现资产中存在的配置缺陷,例如,网络设备中存在的弱口令、 默认账户等安全风险。敏感信息识别。通过敏感信息识别工具对资产进行扫描,发现资产中存在的敏感信息,例如机密文件、源代码、 数据库密码等的存储位置和访问权限。 • 数据泄漏检测。通过数据泄漏检测工具对网络流量进行监控,关注文件的上传、下载、邮件发送等,发现数据泄 露行为,例如使用网络流量分析工具监控企业网络流量,发现是否有机密文件通过邮件发送到外部。 • 威胁情报。通过威胁情报平台获取最新的威胁情报,例如漏洞信息、攻击事件、恶意软件等,并用于攻击面管理。 例如,订阅威胁情报平台的漏洞信息,及时了解最新的漏洞信息,并识别企业资产中受影响的资产。 • 暗网监控。通过暗网监控工具对暗网进行监控,发现是否有企业敏感信息泄露到暗网。例如,使用暗网监控工具 监控暗网论坛、交易平台等,发现是否有企业机密文件、数据库密码等敏感信息在暗网流通。
(4)风险评估技术 • 定量风险评估。使用数学模型对风险进行量化评估,例如计算风险发生的概率和损失。例如,使用 CVSS 评分模 型对漏洞进行风险评估,可以计算漏洞的风险评分,并根据风险评分对漏洞进行优先级排序。 • 定性风险评估。对风险进行定性评估,例如评估风险的影响程度和可能性。例如,安全专家可以根据漏洞的类型、 攻击的复杂度、影响的范围等因素,对漏洞进行定性评估。
(5)持续威胁暴露管理(CTEM) • 持续的攻击面监控。持续监控企业攻击面的变化,例如新增资产、变更资产、退役资产、新的漏洞、新的攻击技术等。 • 基于风险的优先级排序。对威胁暴露进行风险评估,并根据漏洞的 CVSS 评分、漏洞的利用难度、漏洞的实际业 务的影响范围等因素进行优先级排序。 • 多维度的安全验证。使用多维度的安全验证,例如漏洞扫描、配置检查、渗透测试、入侵和攻击模拟等,以验证 安全控制措施的有效性。例如模拟各种类型的攻击,例如勒索软件攻击、APT 攻击、DDoS 攻击等,以评估企业 安全防御体系的有效性。 • 自动化的安全响应。开展自动化的安全响应,例如自动下发漏洞修复指令、自动加固安全配置等,以提高安全响 应效率。 • 持续的改进。根据新的威胁和漏洞情报,持续改进攻击面管理方案,以确保企业始终处于安全状态。
(6)攻击路径分析技术 • 基于图论的攻击路径分析。将网络拓扑结构和资产之间的连接关系表示为图,对网络拓扑结构进行自动发现和建模,并结合漏洞信息、威胁情报等信息,分析攻击者可能利用的攻击路径,并评估攻击成功的可能性。例如,使 用攻击路径分析工具可以分析攻击者从互联网到企业内网关健服务器的攻击路径,并识别攻击路径上的未打补丁 的漏洞、弱口令等薄弱环节。 • 基于攻击链的攻击路径分析。根据攻击链模型,分析攻击者可能采取的攻击步骤,并识别每个步骤可能利用的漏 洞和攻击技术。例如,根据网络杀伤链模型 (CyberKillChain),结合企业的实际情况和安全需求,分析攻击者从侦察、 武器化、投递、利用、安装、指挥与控制、行动到目标的攻击步骤,并识别每个步骤可能利用的漏洞和攻击技术。 • 攻击路径可视化。将攻击路径分析的结果以图形化的方式展示出来,例如攻击路径图、攻击树等,以便于用户理 解和分析。例如,使用攻击路径图可以清晰地展示攻击者可能利用的攻击路径、攻击路径上的薄弱环节,以及攻 击成功的可能性。
(7)入侵和攻击模拟(BAS) • 模拟攻击。模拟各种类型的攻击,例如模拟攻击者利用社会工程学手段获取初始访问权限、模拟攻击者在内网进 行横向移动,以及勒索软件攻击、APT 攻击、DDoS 攻击等,以评估企业安全防御体系的有效性。 • 攻击路径分析。分析攻击者可能利用的攻击路径,并识别薄弱环节。例如,利用 BAS 分析攻击者从互联网到企业 内网重要服务器的攻击路径,并识别攻击路径上的薄弱环节,例如未打补丁的漏洞、弱口令等。 • 安全验证。验证安全控制措施的有效性,例如防火墙、入侵检测系统等。例如,利用 BAS 模拟攻击者对防火墙进 行攻击,测试防火墙是否能够有效地拦截攻击流量。 • 安全评估。对企业的整体安全状况进行评估,并提供改进建议。例如,根据模拟攻击的结果,评估企业安全防御 体系的整体安全状况,并提供改进建议,例如加强安全意识培训、优化安全策略、部署新的安全设备等。
