国外技术发展较为成熟,产品功能完善,部分产品已融入 AI 技术并支持云原生环境。
近年来,随着云计算、移动办公、物联网等新技术的广泛应用,企业攻击面迅速扩张,传统的边界安全防御手段已不 足以应对日益复杂的安全挑战。国外攻击面管理技术在这一背景下不断发展演进,以应对日益复杂的网络安全挑战。主要 呈现以下趋势:
(1)攻击面管理从外部转向全面攻击面 过去,攻击面管理主要关注外部攻击面,即面向互联网的资产和服务。例如,外部攻击面管理(EASM)工具主要用 于发现未知的外部资产、评估其风险敞口并提供修复建议。然而,随着企业 IT 架构日益复杂,内部攻击面的安全问题也日 益凸显。因此,攻击面管理正从外部转向全面,扩展到内部攻击面、云攻击面、物联网攻击面等,涵盖了企业所有的数字 资产和系统。网络资产攻击面管理(CAASM)的兴起便是这一趋势的体现。CAASM 侧重于管理内部资产,例如服务器、 数据库和应用程序,并评估其安全配置和漏洞情况。现在,EASM 和 CAASM 正在融合到统一的 ASM 理念下,以提供更全 面的攻击面视图。 例如,PaloAltoNetworks 的 Expanse 平台最初专注于外部攻击面管理,但现在已扩展到涵盖内部资产和云工作负载。 Microsoft 的 DefenderforCloud 平台将云安全态势管理(CSPM)和云工作负载保护平台(CWPP)功能与攻击面管理功 能整合在一起。
(2)攻击面管理与威胁情报、漏洞管理等技术深度融合 为了更有效地管理攻击面,ASM 正在与其他安全技术深度融合,例如威胁情报、漏洞管理、安全信息和事件管理(SIEM) 以及检测与响应(EDR)。这种融合有助于提供更全面的安全视图,并实现更精准的风险评估和修复建议。 例如,CrowdStrike 的 Falcon 平台将端点检测和响应(EDR)与攻击面管理功能结合在一起,利用其端点代理网络和 威胁情报来识别和评估风险。Rapid7 的 InsightVM 平台将漏洞管理和攻击面管理功能结合在一起,利用其漏洞扫描、配置 评估和威胁情报功能来识别和评估风险。Tenable 的 Nessus 和 SecurityCenter 平台将漏洞管理和攻击面管理功能结合在 一起,利用其漏洞扫描、配置评估和风险评分功能来识别和评估风险。
(3)从静态分析到动态分析 早期的攻击面管理主要依赖于静态分析,例如漏洞扫描、配置检查等,例如定期对服务器进行漏洞扫描,检查系统配 置是否符合安全基线等。由于高级持续性威胁(APT)攻击的增多,攻击技术和手法不断更新,静态分析方法难以发现动 态环境中的安全风险,例如攻击者利用 0day 漏洞、社会工程学等手段发起的攻击。现在,攻击面管理更加注重动态分析, 例如攻击路径分析、入侵和攻击模拟等,以便更全面地识别和评估风险,例如模拟攻击者对企业网络进行攻击,并分析攻 击路径和攻击成功的可能性。 例如,Randori 的攻击面管理平台可以模拟攻击者的行为,对企业网络进行攻击模拟,并评估攻击成功的可能性,从 而识别高风险资产和漏洞。
(4)人工智能(AI)和机器学习(ML)的应用 人工智能(AI)和机器学习(ML)正在被广泛应用于攻击面管理,以提高其效率和准确性。AI 和 ML 算法可以帮助自 动发现资产、识别漏洞、评估风险和提供修复建议。它们还可以帮助识别攻击面中的异常活动,并预测潜在的攻击路径。 例如,PaloAltoNetworks 的 Expanse 平台利用机器学习算法来提供更准确的攻击面视图,并识别潜在的攻击路径。 CrowdStrike 的 Falconplatform 使用 AI 技术来检测和响应安全威胁,例如识别恶意软件、检测异常行为等。
(5)攻击面管理向持续威胁暴露管理(CTEM)演进 传统的攻击面管理通常是一个静态的过程,而持续威胁暴露管理(CTEM)则强调持续监控和管理攻击面,CTEM 是 一个循环的过程,包括五个阶段:范围界定、发现、优先级排序、验证和行动,CTEM 的目标是帮助组织持续改进其安全 态势,并降低遭受网络攻击的风险。Gartner 将 CTEM 列为 2024 年的十大战略技术趋势之一,并指出它可以帮助组织将安 全投资重点放在最关键的领域。
(6)从孤立到融合 早期的攻击面管理是孤立的,与其他安全产品和流程缺乏联动,例如攻击面管理平台与 SOC、SIEM 等平台之间的数据没有互通。随着安全运营一体化趋势,现在,攻击面管理更加注重与其他安全产品和流程的融合,例如与 SOC、SIEM、 SOAR 等平台进行集成,以构建更加完善的安全防御体系,例如将攻击面管理平台发现的漏洞信息同步到 SOC 平台,以便 于 SOC 团队进行分析和响应。 例如,MicrosoftDefenderforCloud 可以与 MicrosoftSentinel、MicrosoftDefenderforEndpoint 等其他 Microsoft 安 全产品进行集成,提供全面的安全防护。
攻击面管理正在经历从外部到内外兼顾、从单点产品到平台化解决方案、从通用场景到行业深耕的转变。同时,网络 资产管理更加重视数据治理和准确性,外部攻击面管理也更加注重数据的准确性和漏洞发现能力。此外,攻击面管理的驱 动力也从合规驱动转向验证驱动,更加注重安全体系的有效性验证。最终,攻击面管理的核心理念正在从以资产为中心转 变为以风险闭环为中心,更加强调风险的全面管理和持续监控。
(1)从外部攻击面到内外部的整体攻击面 早期的攻击面管理主要关注外部攻击面,即暴露在互联网上的资产和漏洞。由于越来越多的攻击者利用内网漏洞和弱 点进行攻击,用户意识到内网资产通常比外网资产更加敏感,一旦被攻击,造成的损失更加严重。攻击面管理从关注互联 网资产的暴露面,扩展到关注内网资产的攻击面,包括内网资产的识别、漏洞管理、攻击路径分析等, 例如,绿盟提供的 CTEM 解决方案,融合内外部数据对整体攻击面进行统一管理,亚信安全和知道创宇计划未来将 EASM 和 CAASM 的数据融合,提升联动防御能力。华云安通过灵洞(Ai.Vul)和灵知(Ai.Radar)实现内外部的整体风险管理, 不断改进完善的安全态势。华顺信安等其他厂家则同时提供了 EASM 和 CASSM 的产品。
(2)从单点产品到整体解决方案 攻击面管理产品不再是单个工具,正在朝着平台化解决方案的方向发展,将攻击面管理平台与 SOC、SIEM、威胁情报、 攻击模拟等其他安全产品进行集成,实现对风险的全面管理,未来还将提供实时监测和预警功能,帮助用户进行持续的安 全运营管理。 例如,绿盟科技的攻击面管理方案可以将 EASM、TVM 脆弱性管理、BAS、云管理平台等多种安全能力整合到一个平台上, 为用户提供一站式的攻击面管理解决方案。知其安网络攻击面管理平台将融合后的资产数据输出给其他安全平台进行安全 业务的运营。华云安将 CAASM、EASM、BAS 等原子化安全能力通过云原生安全平台进行编排,形成攻击面管理的整体解 决方案。
(3)从资产梳理转为资产数据质量治理阶段 网络资产管理 CAASM 的资产可以通过各种设备获取到较多的数据,但是数据存在数据缺失、资产无主等问题,数据 的准确性已经成为用户的痛点,需要资产数据的精准度,而国内厂商也更加重视数据准确的治理工作, 例如,亚信安全的 EASM 利用 ETL 加强对多源的大网测绘数据进行重新验证,保证互联网资产的准确性。华云安聚焦 资产的关联能力,实现资产与业务的关联。知其安的 CAASM 利用 ETL 增强对多源异构资产数据的接入、清洗、映射能力, 实现快速对接企业现有安全设备的资产数据。知道创宇聚焦资产多维度开展资产的关联分析。
(4)外部攻击面 EASM 的资产发现方面已经较为成熟。 大部分厂商的产品都可以实现全面地发现企业未知的影子资产、泄露数据等。主要差异化现在表现为外部资产的准确 度和漏洞发现,以及风险处理等服务方面。 例如,亚信安全采用重复核对,保证互联网资产数据的准确性;绿盟和亚信提供几小时内的快速下架服务,方便用户 在发现泄露数据后,可以快速从百度网盘、Github 等网站快速下架。亚信利用攻击团队,提升 0day 和 1day 漏洞的挖掘能力。 华顺信安提供报告的专家服务,以提高交付报告的准确性。
(5)攻击面风险运营平台初步兴起 攻击面风险运营是指以攻击者视角,持续识别、评估和管理企业网络暴露面的风险,并通过有效手段降低安全风险, 提升安全防护水平。主要驱动是安全威胁态势的严峻性、网络暴露面的不断扩大、合规压力的增加等。攻击面风险运营平 台通过融合 EASM、CAASM,并集成其他多种安全产品,例如漏洞扫描器、威胁情报平台、攻击模拟工具、安全运营中心 (SOC)等,有效推动企业安全运营模式从被动响应向主动防御转变。未来攻击面风险运营平台将更加注重自动化和智能化, 并与其他安全技术进行更深度的融合。 例如,绿盟科技利用 CTEM 理念构建攻击面风险运营中心。整合了其全面的安全产品线,并拥有专业的安全运营团队, 为客户提供持续的泛资产识别、威胁评估和有效性验证、可落地的威胁管理机制、全局视角的运营度量和安全态势的攻击 面风险运营一站式解决方案,并已经在金融、能源、运营商等行业落地。
(6)从合规能力到验证能力 早期的企业主要是开展合规建设,攻击面管理产品主要是面对满足合规要求的资产梳理和合规检查。随着国家对网络 安全的重视程度提升,攻击演练频繁,攻击手段和攻击目标不断变化,企业的安全需要转变为以实战对抗为目标,更加注 重安全体系的有效性验证,以抵御真实攻击威胁。安全厂商也更加关注安全验证能力。 例如,绿盟、华云安、亚信、矢安科技、知其安科技都提供了 BAS 功能,可以通过模拟攻击者行为,验证企业安全防 御体系的有效性。
(7)供应商安全受到关注 随着全球供应链的复杂性增加,厂商开始重视厂商供应链的安全性和稳定性,有助于确保供应链的透明度和安全性, 同时提高供应链的韧性和响应能力,以应对潜在的供应链打击。目前主要应用场景包括供应商准入、安全监控等场景 例如,知道创宇通过利用情报监控技术,对厂商供应链进行实时监控,以预防和应对供应链中的安全威胁。矢安科技 则计划开发供应商安全监控系统,实现合作准入、供应链管理和供应链风险评估等功能。
国内攻击面管理技术与国外相比,在产品成熟度、功能完善性和智能化程度方面存在一定差距。国内厂商的产品在自 动化、智能化、攻击路径分析和入侵模拟等方面还有待提升。建议国内用户选择攻击面管理产品时,优先考虑功能完善、 性能稳定、技术成熟度高的产品,并关注产品是否融入了 AI 技术以提高效率。
国内外攻击面管理产品具体差距分析及用户建议: (1)产品技术成熟度:相比国外,国内攻击面管理技术起步较晚,技术成熟度相对较低。国外厂商如 CrowdStrike、 Randori 等,其攻击面管理产品功能完善,能够提供全面的攻击面管理能力。国内厂商的攻击面管理产品在功能和性能方 面与国外厂商的产品还存在一定的差距,例如部分产品的自动化程度和智能化程度还不够高,部分产品的功能还不够完善等。 用户建议:国内用户在选择攻击面管理产品时,应优先选择功能完善、性能稳定、技术成熟度较高的产品。
(2)产品功能完善度:相比国外,国内攻击面管理产品功能相对单一,部分产品的功能还不够完善。例如,国外厂 商的攻击面管理产品大多能够提供更精确的攻击路径分析和入侵模拟功能,例如,Randori 的攻击面管理平台可以模拟攻 击者的行为,对企业网络进行攻击模拟,并评估攻击成功的可能性,从而识别高风险资产和漏洞。而国内厂商的攻击面管 理产品在这方面还有待提升。用户建议:国内用户在选择攻击面管理产品时,应根据自身的需求,选择功能满足其需求的产品。 (3)智能化程度:国外攻击面管理产品在 AI 技术深度方面具有一定的优势,而国内攻击面管理产品在技术深度方面 还有待提升。例如,CrowdStrike 的 Falconplatform 使用 AI 技术来检测和响应安全威胁,例如识别恶意软件、检测异常 行为等。 用户建议:国内用户在选择攻击面管理产品时,可以关注产品是否融入了 AI 技术,可以利用 AI 技术提高效率。
