攻擊面分析及應對實踐

作者：vivo 網際網路安全團隊-  PengQiankun

本文結合CASSM和EASM兩個新興的攻擊面管理技術原理對資産管理，綜合視圖（可視化），風險評估，風險修複流程四個關鍵子產品進行簡述，為企業攻擊面安全風險管理提供可落地的建設思路參考。

一、攻擊面概述

攻擊面是企業所有網絡資産在未授權的情況下便能被通路和利用的所有可能入口的總和。

随着物聯網、5G 、雲計算等技術發展和社會數字化轉型持續發展，當下的網絡空間資産的範圍和類型也發生了巨大變化，同時未來将會有更多的新興資産和服務出現，如何去建立更加合适高效的安全技術體系來管理企業面臨的攻擊面安全風險将是安全營運工作面臨的新挑戰。

行業趨勢：

Gartner在 2021 年 7 月 14 日釋出《 2021 安全營運技術成熟度曲線》中明确提到了攻擊面的兩個新興技術：網絡資産攻擊面管理（ Cyber assetattack surface management）和外部攻擊面管理（ External Attack Surface Management），目标是為了讓安全團隊對暴露資産以及攻擊面進行科學高效的管理，從攻擊者視角審視企業網絡資産可能存在的攻擊面及脆弱性，建立對企業網絡攻擊面從檢測發現、分析研判、情報預警、響應處置和持續監控的全流程閉環安全分析管理機制。

從安全營運技術成熟度曲線可以看出，CAASM 和 EASM 還處于啟動期，這兩種技術雖然剛剛誕生，還處于概念階段，卻已經引起了外界的廣泛關注。

• CAASM

CAASM是一項新興技術，旨在幫助安全團隊解決持續的資産暴露和漏洞問題。它使組織能夠通過與現有工具的API內建來檢視所有資産(包括内部和外部)，查詢合并的資料，識别安全控制中的漏洞和漏洞的範圍，并糾正問題。其取代傳統手動收集資産資訊和繁瑣的流程來提高資産管理的效率。

另外，CAASM通過確定整個環境中的安全控制、安全态勢和資産暴露得到了解和糾正，使安全團隊能夠改善基本的安全能力。部署CAASM的組織減少了對自産系統和手工收集流程的依賴，并通過手工或自動化工作流來彌補差距。此外，這些組織可以通過提高可視化安全工具的覆寫率來優化可能有陳舊或缺失資料的記錄源系統。

綜合來說對于組織有以下優點：

1. 對組織控制下的所有資産的全面可見性，以了解攻擊表面區域和任何現有的安全控制缺口。
2. 更快速的合規審計報告通過更準确，及時、全面的資産以及安全控制報告。
3. 資産綜合視圖，減少人力投入。

• EASM

EASM是指為發現面向外部提供服務的企業資産，系統以及相關漏洞而部署的集流程，技術，管理為一體的服務，比如伺服器，憑證，公共雲服務配置錯誤，三方合作夥伴軟體代碼漏洞等。EASM提供的服務裡會包含DRPS，威脅情報，三方風險評估以及脆弱性評估，以及供應商能力評估等細分服務。

EASM主要包含5個子產品：

1. 監控，持續主動掃描網際網路與領域相關的環境（如雲服務，面向外部的内部基礎設施）以及分布式系統。
2. 資産發現，發現并測繪面向外部的資産與系統
3. 分析，分析資産是否存在風險或脆弱點。
4. 優先級評估，對風險及脆弱性進行優先級評估并告警。
5. 修複建議，提供對應風險以及脆弱性的修複建議。

從行業趨勢來看，攻擊面管理已經逐漸走入了各大安全廠商的商業化戰略裡，這不僅展現了這一技術的市場需求急迫性同時展現了一定的商業化實踐價值。

從EASM和CAASM的技術定義中我們不難發現，其核心内容可以歸納為4個子產品，分别是資産管理，綜合視圖（可視化），風險評估，風險修複流程。

這四個子產品恰好與我們目前的安全能力建設思路不謀而合，是以後續主要圍繞這四個子產品來總結我們在攻擊面風險管理上的實踐心得。

二、攻擊面風險管理落地實踐

行業内通常把攻擊面管理定義為從攻擊者的角度對企業網絡攻擊面進行檢測發現、分析研判、情報預警、響應處置和持續監控的資産安全管理方法，其最大特性就是以外部視角來審視企業網絡資産可能存在的攻擊面及脆弱性。

攻擊面主要展現在企業暴露給攻擊者各個層面的安全弱點，攻擊者可利用不同手段實作攻擊行為。是以對攻擊面風險有效管理的“First of all”就是資産管理。

2.1 安全資産管理子產品

做資産管理之前需要先對全網資産進行梳理，确認資産範圍和類型架構。

2.1.1 安全資産梳理

資産梳理的思路按照業務，系統，主機以及其他四個次元來進行梳理。

• 業務次元

  包含域名，URL，公網IP，依賴包管理資産以及應用資産。

• 系統次元

  包含API接口，公網IP内部映射關系，公網端口内部映射關系，内網叢集VIP-LVS，内網應用叢集VIP-Nginx，内網端口資産，内網IP資源狀态資産。

• 主機次元

  包含主機IP資産，容器資産，k8s資産，主機端口資産，中間件資産，資料庫資産，作業系統資産，賬号資訊資産，程序資訊資産，其他應用服務資産。

• 其他次元

  包含資産更新檔狀态，資産負責人及所屬組織。

由于篇幅問題，以上僅包含二級項目，其實二級以下根據不同的企業場景還具有更多的分項，例如從vivo網際網路來說，業務次元的域名我們細分了11項，包括管理背景域名，公網埋點域名，埋點SDK域名，DB域名，主機域名，信管域名，内網接口域名，公網接口域名，線上業務域名，靜态資源域名，其他域名等。

資産梳理沒有一個萬能公式，最佳實踐是從實際的基礎架構出發結合業務場景來對全網資産定好架構。

2.1.2 建構可靠的資産資訊來源庫

資産庫主要有三個資料來源。

• CMDB：主要的資産資訊供應管道
• HIDS：補充主機相關資産資訊，如程序，賬号，網絡連結等資産資訊
• VCS：主動資産資訊采集用以補充資産庫

通常安全資産庫的建設往往會面臨技術上的難點，比如資産資訊采集工具的适配性，采集工具的穩定性，對生産造成影響的機率最小性，資産完整的可靠性等等，但技術問題往往并不難解決，借助開源工具，商業化産品甚至自研工具都能解決絕大部分問題，而真正難以頭疼的是與資産歸屬方（業務方）的大量複雜的溝通确認工作。

從以往的最佳實踐來看，從業務方的視角來建設資産庫，宣貫業務價值能夠更順暢地開展資産資訊采集工作，例如資産管理系統可以繪制整個企業内多個團隊的合并資産視圖，其可包括業務團隊、運維團隊、安全團隊等，大家都可以從這個視圖中查詢到自己關心的資訊，通過價值宣導來激發協作方的支撐意願。

2.1.3 建設資産主動發現能力

在資産管理中，往往存在資産主動上報監管難，資産變更頻率高而産生的資産資訊滞後以及一些非法資産接入的問題，是以需要建設資産主動發現能力來補全這一塊的資産資訊，有條件的話可以以此作為資産變審計體系的輸入源。

• 流量解析：通過流量分析識别隐匿資産、老化資産、影子資産等資産資訊。
• 掃描工具：IAST/DAST/SAST，NMAP工具等對資産進行識别補充以及維持。
• 安全日志及告警：梳理無标資産對資産庫進行補充。

另外，需要注意的是，在資産主動發現過程中需要謹慎考慮掃描工具或引擎的工作頻率以及工作時間段，避免影響生産。

2.2 綜合視圖子產品

建設綜合視圖并不是為了繪圖而繪圖，它是經過一定的資料分析并結合業務場景的資産關聯鍊測繪，具備良好的邏輯性及可讀性的綜合視圖，無論是直接使用者（安全營運團隊）還是非直接使用者（業務或運維）都能夠通過綜合視圖擷取各自需要的資産資訊。

2.2.1 資産關系鍊測繪

資産關聯能力建設的目的是去測繪資産關系鍊進而将系統各子產品的安全事件進行關聯，全鍊路分為兩條分别是公網IP/域名到内網主機的關系映射鍊以及内網主機到内網IP/域名以及公網IP/域名的關系映射鍊。

2.2.2 資産全局視圖

針對以上兩個資産強相關子產品，如果以一年期來建設的話，可以參考以下建設計劃：

2.3 風險評估子產品

2.3.1 風險發現

風險發現來源包含兩大塊：

• 縱深防禦體系：一體化的縱深防禦協防平台提供基礎的告警源資料。
• 主動掃描：以防守方視角對全網資産脆弱性進行定期掃描，一般搭建自動化掃描系統定期持續對全網設施/節點進行漏洞掃描。
• 人工滲透測試：從攻擊方視角組織人力配合工具從外部對資訊資産進行脆弱性測試。
• 基線合規掃描：解決内部基線合規問題，如弱密碼，root權限，外發管控等。

通過搭建自動化漏洞掃描平台對以及掃描任務進行集中管理，相關的安全人員對掃描産生的各類風險發現做進一步的确認，若确認是漏洞的風險就會通過自動建立漏洞工單，并将建立的漏洞工單同步到漏洞管理系統進行後續漏洞修複的跟蹤，後續漏洞的修複進度也會同步到自動化漏洞掃描平台進行同步跟進。

值得一提的是，漏洞掃描平台并非隻是一味地将掃描工具及掃描結果內建，一個能有效解決風險發現的系統必然是從場景出發，落地到實際問題上。以下是三個應用場景的舉例：

2.3.2 風險評估

安全風險評估就是從風險管理角度，運用科學的方法和手段，系統地分析網絡與資訊系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵禦威脅的防護對策和整改措施，另外，風險評估的落地形态可以是一套評分規範或是數學模型，其可以從全局視角來評估整體安全态勢并以具體分值的形式來呈現。

标準的風險評估過程主要有四塊：

• 資産識别與指派：對評估範圍内的所有資産進行識别，并調查資産破壞後可能造成的損失大小，根據危害和損失的大小為資産進行相對指派。
• 威脅識别與指派：即分析資産所面臨的每種威脅發生的頻率，威脅包括環境因素和人為因素。
• 脆弱性識别與指派：從管理和技術兩個方面發現和識别脆弱性，根據被威脅利用時對資産造成的損害進行指派。
• 風險值計算：通過分析上述測試資料，進行風險值計算，識别和确認高風險，并針對存在的安全風險提出整改建議。

從落地實踐來看，對各個資訊節點的評估指派需要張弛有度，過細的指派方案會難以展開，過粗的指派方案難以有好的效果，企業應結合自身發展現狀，人力，技術條件以及安全目标來制定指派方案。

2.4 風險閉環

針對于安全營運工作來說，風險管理的實際工作本質上是漏洞管理，風險閉環是漏洞從發現再到消除的一系列管理過程，即漏洞的生命周期管理。

其實在實際的風險管理過程中，許多風險是沒有形成閉環管理的，其原因大多可以歸納為以下幾點：

• 計劃制定的不切實際
• 沒有進行原因分析
• 進行了原因分析但未實施對策
• 未檢查執行效果

是以，在制定閉環政策或流程時應充分考慮以上幾個問題。以下例子是按照漏洞來源制定的不同的閉環政策：

三、總結