文 | 零零信安 王宇

攻擊面管理(Attack Surface Management)的概念已經(jīng)出現(xiàn)三年以上，但是在過(guò)去的2021年，整個(gè)安全行業(yè)突然迅速接納了它。一方面，這表示行業(yè)對(duì)實(shí)戰(zhàn)型攻防技術(shù)的認(rèn)知有了快速提升，另一方面，這意味著攻擊面管理(ASM)技術(shù)理念是符合當(dāng)前場(chǎng)景化剛需的。

一、什么是攻擊面管理

首先，從理論層面對(duì)攻擊面管理進(jìn)行說(shuō)明。Gartner在《Hype Cycle for Security Operations，2021》中共有5個(gè)相關(guān)技術(shù)點(diǎn)：外部攻擊面管理(EASM)、網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)、數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS)、漏洞評(píng)估(VA)、弱點(diǎn)/漏洞優(yōu)先級(jí)技術(shù)(VPT)。

這是一個(gè)神奇的事情，為什么攻擊面管理會(huì)涉及到這么多技術(shù)領(lǐng)域？以Gartner推薦廠商Cyberint和RiskIQ為例，他們都強(qiáng)調(diào)了一件重要的事：獲得攻擊者的視角。現(xiàn)代化網(wǎng)絡(luò)攻擊的最大特點(diǎn)之一就是基于大量數(shù)據(jù)的立體化攻擊。

對(duì)于功能堆疊的剛性防御體系來(lái)說(shuō)，立體化攻擊就如同降維打擊的存在。所以需要獲得攻擊者的視角，進(jìn)行動(dòng)態(tài)的主動(dòng)防御。

這就是攻擊面管理誕生的初衷。

繼《2021安全運(yùn)營(yíng)技術(shù)成熟度曲線》之后，Gartner又在《新興技術(shù)：外部攻擊面管理關(guān)鍵洞察》中進(jìn)行了一系列詳細(xì)的描述：

? 資產(chǎn)的識(shí)別及清點(diǎn)：識(shí)別未知的(影子)數(shù)字資產(chǎn)(如網(wǎng)站、IP、域名、SSL證書和云服務(wù))，并實(shí)時(shí)維護(hù)資產(chǎn)列表;

? 漏洞修復(fù)及暴露面管控：將錯(cuò)誤配置、開放端口和未修復(fù)漏洞根據(jù)緊急程度、嚴(yán)重性來(lái)進(jìn)行風(fēng)險(xiǎn)等級(jí)分析以確定優(yōu)先級(jí);

? 云安全與治理：識(shí)別組織的公共資產(chǎn)，跨云供應(yīng)商，以改善云安全和治理，EASM可以提供全面的云資產(chǎn)清單，補(bǔ)充現(xiàn)有的云安全工具;

? 數(shù)據(jù)泄漏檢測(cè)：監(jiān)測(cè)數(shù)據(jù)泄漏情況，如憑證泄漏或敏感數(shù)據(jù);

? 子公司風(fēng)險(xiǎn)評(píng)估：進(jìn)行公司數(shù)字資產(chǎn)可視化能力建設(shè)，以便更全面地了解和評(píng)估風(fēng)險(xiǎn);

? 供應(yīng)鏈/第三方風(fēng)險(xiǎn)評(píng)估：評(píng)估組織的供應(yīng)鏈和第三方有關(guān)的脆弱性及可見性，以支持評(píng)估組織的暴露風(fēng)險(xiǎn);

? 并購(gòu)(M&A)風(fēng)險(xiǎn)評(píng)估：了解待并購(gòu)公司數(shù)字資產(chǎn)和相關(guān)風(fēng)險(xiǎn)。

網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)則傾向于以智能化的手段更高效的識(shí)別組織內(nèi)部的資產(chǎn)和漏洞。CAASM是一種新興的技術(shù)，專注于使安全團(tuán)隊(duì)能夠解決持久的資產(chǎn)可見性和漏洞的挑戰(zhàn)。它使組織能夠通過(guò)API與現(xiàn)有工具的集成、對(duì)合并后的數(shù)據(jù)進(jìn)行查詢、識(shí)別安全控制中的漏洞和差距的范圍，以及修復(fù)問題，來(lái)查看所有資產(chǎn)(包括內(nèi)部和外部)的風(fēng)險(xiǎn)。(以上是Gartner的定義，從筆者的角度來(lái)看，這更像是一個(gè)更強(qiáng)大的、進(jìn)行智能化拓展后的漏洞管理系統(tǒng)，也許未來(lái)漏洞管理系統(tǒng)的功能模型就將是CAASM。)

需要特別指出的地方是，Gartner認(rèn)為“攻擊面管理能力可跨越到其他現(xiàn)有的安全領(lǐng)域，主要是數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS)”。甚至在2021年10月25日其發(fā)布的《Competitive Landscape: Digital Risk Protection Services》中預(yù)言：

到2023年底，超過(guò)50%的DRPS供應(yīng)商將增加EASM功能，作為其數(shù)字足跡功能的自然擴(kuò)展。

由于國(guó)內(nèi)某些概念的誤導(dǎo)，DRPS的技術(shù)綱要并沒有正確的被傳達(dá)，為了更有效的說(shuō)明ASM應(yīng)該包含的技術(shù)點(diǎn)，有必要對(duì)它進(jìn)行技術(shù)點(diǎn)說(shuō)明。

Gartner：通過(guò)提供技術(shù)與服務(wù)，保護(hù)組織的關(guān)鍵數(shù)字資產(chǎn)和數(shù)據(jù)免受外部威脅。這些解決方案提供了對(duì)開放(表面)網(wǎng)絡(luò)、社交媒體、暗網(wǎng)和深網(wǎng)的可視性，以識(shí)別關(guān)鍵資產(chǎn)的潛在威脅，并提供有關(guān)威脅參與者、其進(jìn)行惡意活動(dòng)的策略和流程的背景信息。

識(shí)別暴露的有風(fēng)險(xiǎn)的數(shù)字資產(chǎn)，具體包含：

? 組織的數(shù)字足跡(云存儲(chǔ)服務(wù)、打開的端口和未修補(bǔ)過(guò)的漏洞等);

? 品牌保護(hù)(域名搶注和冒充高管等);

? 組織的賬戶接管風(fēng)險(xiǎn)(電子憑證、組織的賬戶信息被盜等);

? 詐騙活動(dòng)(網(wǎng)絡(luò)釣魚檢測(cè)、信用卡泄露、客戶資料泄露等);

? 泄露數(shù)據(jù)(具有知識(shí)產(chǎn)權(quán)的數(shù)據(jù)、資料、代碼等)。

至此，可以看出，ASM(攻擊面管理)包含EASM(外部攻擊面管理)和CAASM(網(wǎng)絡(luò)資產(chǎn)攻擊面管理)，EASM與DRPS(數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù))有拓展和重疊之處，它們都需要VA(漏洞評(píng)估)和VPT(弱點(diǎn)/漏洞優(yōu)先級(jí)技術(shù))的功能和技術(shù)支持。

二、攻擊面管理產(chǎn)品的實(shí)現(xiàn)

以上雖然對(duì)攻擊面管理進(jìn)行了理論構(gòu)架和其構(gòu)成要素分析，但作為產(chǎn)品實(shí)現(xiàn)仍然過(guò)于抽象。接下來(lái)以產(chǎn)品設(shè)計(jì)的角度來(lái)分析攻擊面管理應(yīng)該具備的功能模型。

首先需要明確的是，一個(gè)完整的攻擊面管理產(chǎn)品，其產(chǎn)品形態(tài)應(yīng)該是：

云端數(shù)據(jù)+私有化部署

攻擊面管理產(chǎn)品應(yīng)具備以下功能：

1.攻擊面管理(ASM)功能組

? 網(wǎng)絡(luò)空間測(cè)繪(CAM)

網(wǎng)絡(luò)空間測(cè)繪技術(shù)誕生已有10年歷史，技術(shù)成熟，這里不再進(jìn)行詳細(xì)說(shuō)明，需要說(shuō)明的是，它必須從全互聯(lián)網(wǎng)角度進(jìn)行測(cè)繪，以保證不會(huì)遺漏組織的外部IT資產(chǎn)和影子資產(chǎn)。

? 組織架構(gòu)和關(guān)聯(lián)組織的識(shí)別

為了保證組織對(duì)應(yīng)IT資產(chǎn)的全面和準(zhǔn)確(尤其是對(duì)于影子資產(chǎn))，以及為子公司和有關(guān)聯(lián)(M&A)的企業(yè)進(jìn)行評(píng)估，必須優(yōu)先進(jìn)行組織架構(gòu)的識(shí)別和映射。

? 數(shù)字足跡的映射

這個(gè)概念很好理解，就是要將相關(guān)組織、子公司、關(guān)聯(lián)組織等與IT資產(chǎn)進(jìn)行映射。但是從實(shí)踐的角度出發(fā)，傳統(tǒng)的網(wǎng)絡(luò)空間測(cè)繪的引擎設(shè)計(jì)邏輯需要進(jìn)行調(diào)整，以目前先進(jìn)行盲測(cè)再使用關(guān)鍵字識(shí)別、icon識(shí)別和標(biāo)簽等方法，很難做到全面和準(zhǔn)確的映射。

? 供應(yīng)鏈的識(shí)別和風(fēng)險(xiǎn)暴露面

供應(yīng)鏈攻擊在最近一年對(duì)全球造成了很大影響，需要對(duì)組織使用的產(chǎn)品、第三方組件，供應(yīng)商進(jìn)行盡可能的探測(cè)、識(shí)別和風(fēng)險(xiǎn)暴露面的發(fā)現(xiàn)。

2.威脅情報(bào)(TI)功能組

這里提到的威脅情報(bào)，并非狹義上定義的“僵木蠕威脅情報(bào)”，而是更廣義的，會(huì)對(duì)業(yè)務(wù)和數(shù)據(jù)造成直接影響的情報(bào)源的探測(cè)和主動(dòng)情報(bào)收集。隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的頒布和執(zhí)行，該部分既涉及到組織自身的業(yè)務(wù)影響，也涉及到合法合規(guī)問題，所以本章僅列出內(nèi)容，在下述章節(jié)詳細(xì)討論。這里特別說(shuō)明的是，該部分必須包含“對(duì)暗網(wǎng)的可視性”。

? 業(yè)務(wù)數(shù)據(jù)和數(shù)字資產(chǎn)泄露情報(bào)

? 隱私數(shù)據(jù)泄露和內(nèi)部人員數(shù)據(jù)泄露情報(bào)

3.漏洞優(yōu)先級(jí)技術(shù)(VPT)功能組

漏洞優(yōu)先級(jí)技術(shù)(VPT)至少應(yīng)該包含4個(gè)主要功能和一些輔助功能，具體包括：

? 全面、快速的資產(chǎn)發(fā)現(xiàn)能力

? 多類型掃描器調(diào)度和多維度漏洞評(píng)估

? 漏洞情報(bào)和智能優(yōu)先級(jí)排序

? 漏洞全生命周期管理流程和自動(dòng)編排

基于以上功能說(shuō)明，對(duì)攻擊面管理產(chǎn)品的定位和功能模型就很清晰了，其可以描述為：

攻擊面管理系統(tǒng)(產(chǎn)品)：

將組織與其不斷發(fā)展的外部和內(nèi)部IT系統(tǒng)及數(shù)字足跡進(jìn)行映射、與漏洞情報(bào)數(shù)據(jù)進(jìn)行關(guān)聯(lián)，并持續(xù)發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)和代碼泄露、組織和人員信息的泄露、以及對(duì)供應(yīng)鏈的攻擊面進(jìn)行檢測(cè)，通過(guò)對(duì)全球開放網(wǎng)絡(luò)和非公開網(wǎng)絡(luò)的情報(bào)源、組織自身業(yè)務(wù)上下文等進(jìn)行大量數(shù)據(jù)采集和弱點(diǎn)優(yōu)先級(jí)分析，為組織輸出攻擊面情報(bào)，以提供給組織更高級(jí)別的主動(dòng)防御。

三、業(yè)務(wù)數(shù)據(jù)泄露與數(shù)字資產(chǎn)泄露

該部分將闡述組織業(yè)務(wù)數(shù)據(jù)泄露、內(nèi)部文件或與組織相關(guān)的文檔和文案在外部暴露、組織相關(guān)的業(yè)務(wù)系統(tǒng)和軟件的代碼和配置泄露等情況下，對(duì)組織帶來(lái)的風(fēng)險(xiǎn)、以及應(yīng)該如何發(fā)現(xiàn)和如何進(jìn)行智能優(yōu)先級(jí)排序建議。

1. 風(fēng)險(xiǎn)

組織的業(yè)務(wù)數(shù)據(jù)、內(nèi)部文件、項(xiàng)目信息、財(cái)務(wù)數(shù)據(jù)、核心圖紙、軟件代碼、業(yè)務(wù)系統(tǒng)配置等等，有可能因?yàn)閮?nèi)部人員的工作習(xí)慣(例如將文件上傳到某些互聯(lián)網(wǎng)服務(wù)器或者網(wǎng)盤上)，也有可能因?yàn)殚_發(fā)人員的誤操作(例如Github權(quán)限設(shè)置不當(dāng))，或者被惡意竊取(例如黑客通過(guò)技術(shù)手段獲得、或者某些未授權(quán)人員通過(guò)其他違規(guī)手段獲得)等，傳播在互聯(lián)網(wǎng)或者暗網(wǎng)上。這可能導(dǎo)致組織內(nèi)部機(jī)密外泄，或者導(dǎo)致黑客利用獲取的代碼和配置文件獲知業(yè)務(wù)系統(tǒng)漏洞等。其帶來(lái)的風(fēng)險(xiǎn)通常是直接且隱蔽的。

以往，由于網(wǎng)絡(luò)攻擊導(dǎo)致的安全事件，從數(shù)據(jù)泄露到組織發(fā)現(xiàn)的間隔時(shí)間，平均在87天，而由于人員誤操作導(dǎo)致的安全事件的時(shí)間間隔，平均在207天。在此期間，組織相關(guān)的泄露數(shù)據(jù)都面臨著極高的被他人利用的風(fēng)險(xiǎn)，越早發(fā)現(xiàn)，風(fēng)險(xiǎn)暴露窗口越短，風(fēng)險(xiǎn)才會(huì)大幅度降低。

2. 發(fā)現(xiàn)

進(jìn)行業(yè)務(wù)數(shù)據(jù)泄露和數(shù)字資產(chǎn)泄露情報(bào)的獲取，應(yīng)該遵循3個(gè)方法：

1) 數(shù)據(jù)必須進(jìn)行組織的映射，并且由組織向關(guān)鍵信息進(jìn)行輻射。

具體來(lái)說(shuō)，應(yīng)該由組織名稱拓展到子組織和相關(guān)組織，然后對(duì)各級(jí)組織相關(guān)業(yè)務(wù)、系統(tǒng)、數(shù)據(jù)、產(chǎn)品、項(xiàng)目等進(jìn)行智能關(guān)鍵信息獲取。、

2) 盡可能覆蓋全面的公開威脅源。

數(shù)據(jù)泄露的重要泄露源就是公開網(wǎng)絡(luò)上的威脅源，其可能包含來(lái)自天眼查、企查查、Gitlib、Github、CSDN、百度網(wǎng)盤、百度文庫(kù)、微博等等，對(duì)各個(gè)威脅源、社交媒體、云存儲(chǔ)的覆蓋面越廣，查找到的數(shù)據(jù)越多，才能越全面的發(fā)現(xiàn)風(fēng)險(xiǎn)。

3) 具備非公開網(wǎng)絡(luò)的可視性

非公開網(wǎng)絡(luò)主要是深網(wǎng)和暗網(wǎng)，數(shù)據(jù)泄露的重要傳播源是暗網(wǎng)交易市場(chǎng)，其特點(diǎn)是數(shù)量龐大、活躍度差異大、獲取方式隱秘、交易完全匿名等，對(duì)其進(jìn)行實(shí)時(shí)更新與監(jiān)控的難度較大，但極其重要。

3. 優(yōu)先級(jí)排序

對(duì)于越大的組織，進(jìn)行越全面的監(jiān)控，其數(shù)據(jù)量越龐大，一個(gè)具備一定規(guī)模的組織獲取到的公共網(wǎng)絡(luò)數(shù)據(jù)可能達(dá)到數(shù)萬(wàn)條以上。以往通過(guò)人工逐一篩查其風(fēng)險(xiǎn)性，效率極低且有可能遺漏本就不多的關(guān)鍵信息。所以對(duì)大量數(shù)據(jù)進(jìn)行智能化的優(yōu)先級(jí)排序就顯得尤為重要。通過(guò)合理的算法和規(guī)則不斷優(yōu)化數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)的賦值，以及抽取關(guān)鍵信息，以供安全運(yùn)維人員和安全專家進(jìn)行高效研判，才能取得有效的成果和價(jià)值。

四、隱私數(shù)據(jù)泄露與組織員工數(shù)據(jù)泄露

無(wú)論是組織存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)中的個(gè)人隱私數(shù)據(jù)，還是組織員工(尤其是組織的重要角色)的個(gè)人隱私數(shù)據(jù)泄露，都是非常嚴(yán)重的事情。它不僅會(huì)對(duì)組織帶來(lái)業(yè)務(wù)上的風(fēng)險(xiǎn)，還會(huì)引來(lái)品牌和名譽(yù)的損失，更重要的是這可能會(huì)觸犯《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》。

與組織的業(yè)務(wù)數(shù)據(jù)等泄露不同，個(gè)人隱私數(shù)據(jù)有3個(gè)很重要的特點(diǎn)：

1. 利用難度低、命中率高、其風(fēng)險(xiǎn)極高。

個(gè)人隱私數(shù)據(jù)一旦泄露，尤其是手機(jī)號(hào)、郵箱、密碼、卡號(hào)等信息的泄露，極易成為黑客利用的首選手段，可能會(huì)導(dǎo)致釣魚或其他社會(huì)工程學(xué)攻擊;

2. 直接損失大、間接損失影響深遠(yuǎn)。

如果組織員工的個(gè)人隱私數(shù)據(jù)，尤其是組織VIP的個(gè)人隱私數(shù)據(jù)泄露，攻擊者很有可能直接通過(guò)登陸其郵箱、CRM系統(tǒng)、OA系統(tǒng)、業(yè)務(wù)系統(tǒng)、釘釘、VPN等，獲取組織敏感信息甚至核心數(shù)據(jù)(在不進(jìn)行其他技術(shù)攻擊和滲透的情況下即可完成)。攻擊者還可以進(jìn)行其他擴(kuò)展性攻擊，比如對(duì)個(gè)人賬單、銀行流水、消費(fèi)記錄、住宿記錄等進(jìn)行查詢和其他處置，它的影響是極其深遠(yuǎn)的;

3. 告警和處置難度高。

相對(duì)于其獲取難度而言，個(gè)人隱私數(shù)據(jù)泄露的告警難度極高。在暗網(wǎng)中，流傳著大量個(gè)人隱私數(shù)據(jù)(其聚合數(shù)據(jù)也被稱為“社工庫(kù)”)，對(duì)于專業(yè)的攻擊者來(lái)說(shuō)，獲得它們的難度和成本并不高。但是對(duì)于防御者來(lái)說(shuō)，受制于法律法規(guī)的限制、因引起當(dāng)事人不悅而導(dǎo)致無(wú)法授權(quán)、以及避免數(shù)據(jù)被惡意使用等情況的考慮，具備此能力的情報(bào)廠商很難將此類情報(bào)完整的提供給相關(guān)組織。而相關(guān)組織的安全管理員無(wú)論是否獲得了完整的情報(bào)信息，在設(shè)法通知隱私數(shù)據(jù)被泄露的本人進(jìn)行處置時(shí)，往往溝通過(guò)程會(huì)受到諸多質(zhì)疑、不悅、無(wú)視、挑戰(zhàn)等態(tài)度，導(dǎo)致處置起來(lái)比系統(tǒng)漏洞的難度更高。

隱私數(shù)據(jù)泄露面臨的是利用簡(jiǎn)單、命中率高、損失大、影響深遠(yuǎn)，風(fēng)險(xiǎn)極大，卻難以告警和處置的局面。

情報(bào)觸達(dá)率低、使用率低，并不代表它們不存在。事實(shí)上，大量個(gè)人信息和隱私數(shù)據(jù)正在暗網(wǎng)中長(zhǎng)期流傳。根據(jù)Identity Theft Resource Center (ITRC)2021提供的數(shù)據(jù)，僅在2021年泄露的個(gè)人隱私數(shù)據(jù)，影響人員已高達(dá)18億以上，造成的直接損失在265至270億美元，而它們從泄露到發(fā)現(xiàn)的平均時(shí)間長(zhǎng)達(dá)112天。對(duì)此，歐盟根據(jù)《通用數(shù)據(jù)保護(hù)條例》(GDPR)在2021年第三季度開出的罰單就超過(guò)了2020年全年的3倍以上，達(dá)到11.4億美元。

目前我國(guó)對(duì)于數(shù)據(jù)安全、個(gè)人信息保護(hù)等方面的治理力度大幅加強(qiáng)，已出臺(tái)和執(zhí)行相關(guān)法律法規(guī)。但在相關(guān)從業(yè)者認(rèn)知的提升、管理責(zé)任的落實(shí)、情報(bào)的合理使用等方面，尚需要加強(qiáng)和時(shí)間的沉淀。

注：本文僅為作者個(gè)人觀點(diǎn)，與本刊立場(chǎng)無(wú)關(guān)。

文章來(lái)源：中國(guó)信息安全