2021年7月,Gartner发布《2021安全运营技术成熟度曲线》,并在其中首次提出了CAASM网络资产攻击面管理(Cyber asset attack surface management)和EASM外部攻击面管理(External attack surface management)概念,一众安全厂商纷纷发声表示“不谋而合”。
在这里不讨论这种“不谋而合”是否有“抢占解释权”以推广自家产品的嫌疑,只思考这种强烈的“认可”从何而来,毕竟同时期无论是Gartner这样的咨询机构,还是厂商、研究机构,其推出的新概念都不在少数。
技术在前:安全价值回归
经过一些资料查阅,我们欣喜的发现这种“认可”并非单纯的安全圈追热点,更大程度上是国内安全厂商已经在该领域拥有了一定的基础,技术精进、产品上市,现在EASM与CAASM概念的出现更像是一次“迟来的正名”。
今天的网络攻击极少再有“黑客炫技”,多半都是分工细致的跨国网络勒索团伙、可调动资源充足的国家背景“网军”,以及合作链条紧密的庞大地下黑产。关键基础设施单位、坐拥高价值数据的大型企业,甚至政府机构网络系统,其面临的网络安全威胁都已今非昔比。
以此为背景,更多直面安全威胁、且更聚焦问题本身的新产品、新技术迎来发展机遇,这其中,攻击面管理(ASM)作为一种直观可行的防守方基础策略受到行业关注,并衍生出了上述EASM与CAASM两种不同角度的细分概念。
核心:攻击者视角!
面对安全威胁,防守方自己看自己是没有用的,重要的是“攻击者怎么看你”。就像一场守城战,你自己知道哪里重兵把守、哪里城墙坚固,并没什么用,因为攻城方只会看这这座城哪里守备空虚,哪里更容易得手。
这也就引出了ASM的重要概念——攻击者视角。
图 “中世纪攻击者视角”
攻击者视角本质上是寻找防御的薄弱点,并测绘出一张标识出“突破口”的地图,这对于正在堆叠刚性防御系统的防守方而言,无疑是降维打击。这些“突破口”就包括网络空间的影子资产(未知资产)、未更新到最新版本的软件、错误的配置等,通过这些资产数据实现攻击面收敛。
而这就需要一项关键技术支撑——网络空间测绘技术。
网络空间的“军事地图”
网络空间测绘技术被应用于安全领域,很大程度上拉平了攻守双方在“视野”层面的不对等,尤其是针对“未知资产”,毕竟我们不能去保护一个自己都不知道存在的东西。
这就引出了一个关键性问题,如何让“地图”精确?
关键点就在于“资产指纹库”能否覆盖用户的全量资产。
网络空间中的资产测绘需要清晰识别出软件、硬件、系统、服务、证书、数据库等各类资产,“库”还需要跟进产品迭代、新品诞生,甚至新品类的出现,以此来满足用户后续安全部署的需求。
从资产角度讲,Gartner提出的两个概念中,CAASM更侧重识别组织内部的资产,并发现安全漏洞;而EASM则侧重防守方暴露在互联网上的资产和资产相关情况。两者各有侧重,且适合于不同的用户场景,但同样的是,清晰全面的资产识别是后续一切的基础。
“库”的广度与精度
既然资产识别如此重要,那么通过大量资源投入,对互联网上的资产进行极端周期的全面扫描分析,是否就能打造出覆盖最全面的资产指纹库?
答案是否。尤其在各行业数字换转型加速发展的今天,存在大量仅被某一行业使用的系统、软件等,这些资产并不暴露在互联网上,为了测绘识别,就需要安全厂商深入了解行业,去研究这些资产,从而触类旁通的扩展指纹库。这也是“广度”之外,指纹库的另一项指标——“精度”。
在目前国内安全厂商中,华顺信安、知道创宇、360等企业已经凭借丰富的资产数据积累逐步在这一领域走在了前列,并在诸多安全事件中展现出“测绘”对网络安全及相关工作的重要价值。
起步较早、长期坚持,是积累资产指纹的基础。此外,则是通过服务客户深入了解这一行业领域的资产情况,将这些“非主流”但对行业极为重要的资产扩充进指纹库。上述三家企业便是测绘领域入场较早的“玩家”,以华顺信安为例,其专注网络空间测绘领域超过7年,服务了多个行业的龙头企业,这些积累也就能够在攻击面管理工作中,为用户贡献出更大价值。
综上,我们能梳理出一个逻辑。网络安全是最终的目标,攻击面收敛(含EASM与CAASM)是重要手段,而依托于庞大指纹库的网络空间资产测绘则是必要基础。
尾声
1453年,奥斯曼帝国围攻当时号称全世界防守最坚固的城市,君士坦丁堡。双方对垒数月毫无进展,而一扇位置偏僻的小门却被守城将士完全忽略,甚至都没有上锁,并最终致使城市沦陷。
如果防守方的城防图对着扇小门做了标注,那么历史的走向很可能改变。
如若转载,请注明原文地址