2022年6月6-9日,被誉为安全行业“奥林匹克”的RSA Conference2022在旧金山召开。作为全球顶级的网络安全大会,RSAC2022吸引全球网络安全企业、专家、大咖共聚一堂,探讨当下热门网络安全技术理念,共同寻求抵御安全风险的新解法。
近年来,网络攻击事件频频发生,其中黑客“炫技”已经越来越少,取而代之的是作战思维更加明确,趋利性更加明显的专业化网络攻击组织,包括各种勒索软件团伙,合作链条紧密的地下黑产等等。
在这样的情况下,以攻击者视角对企业数字资产攻击面进行检测发现和持续监控的网络资产攻击面管理(CAASM)已经受到越来越多人的认可。
而如何通过CAASM帮助企业全面盘点网络资产,不断提高资产可见性和云配置,减少安全漏洞风险成为RSAC2022的焦点之一。为了更好地了解CAASM是如何减少攻击面,会后,security boulevard记者邀请JupiterOne 创始人兼首席执行官Erkang Zheng进行分享。
众所周知,漏洞修复工作需要多部门共同协调完成,然而企业内部负责特定网络资产的技术和团队倾向于各自为政,漏洞管理人员的职责不明确,直接导致协调组织中的人员、策略和基础设施已经成为一项无法及时完成的工作,也让安全漏洞管理沦为纸上谈兵。
随着企业数字化转型、加速上云和IoT、5G、云原生等技术的应用,更多的业务转至线上,一方面使得内部数字资产结构和复杂性迅速增加,另一方面也让暴露在互联网上的攻击面呈指数级拓展,安全漏洞数量成倍增加,最终让本就艰难的安全漏洞修复朝着更加糟糕的方向发展。
倘若无法有效解决这一问题,那么企业数字化转型将面临停滞不前的风险。此时,CAASM应运而生。
作为是一种新兴技术,CAASM倾向于以智能化的手段更高效的识别组织内部的资产和漏洞。2021年7月,Gartner发布《2021 安全运营技术成熟度曲线》,首次提出CAASM概念,并指出“它使组织能够通过API与现有工具的集成、对合并后的数据进行查询、识别安全控制中的漏洞和差距的范围,以及修复问题,来查看所有资产的风险。”
换句话说,CAASM通过利用API可以让安全团队全面、快速了解IT基础架构的所有组件,无论它们是在本地还是在私有云、公共云或混合云中。在此基础上,安全团队可以大规模实施细粒度策略,全面提升各个组织的安全性,且不会对敏捷性有任何影响。
Erkang Zheng表示,这在大规模分布、快速变化的操作环境中实现并非一件容易的事情,因为安全团队既要尽可能地直接防止网络攻击,还要持续监控资产所有者,防止出现违规操作,并在发生安全事件时快速进行安全响应。
采访中,Erkang Zheng表示,我们每个人小时候都玩过“连线画图”的游戏,让每个人将纸上的那些点全部连起来,就可以得到相同的答案。回到网络安全领域,如果那些点都特别清楚,目前云托管、数据分析等技术都可以随时智能地、大规模找出网络安全问题,并得到一个可行的答案。
但事实并非如此,上述操作听起来似乎很简单,执行起来却困难重重。
首先是存在底层技术障碍,企业网络基础设施组件不可能来自同一个供应商,大多时候供应商数量十分庞大,且每个供应商都有自己的技术和标准,彼此之间无法互通。其次,企业内部各个系统之间数据无法自由流通,完整的业务链上孤岛效应十分明显。而这些问题导致那些“点”最终无法连成图案。
因此,安全团队迫切需要一个新的解决方案,可以有效规范、整合企业网络资产信息,并快速查询、发现这些信息,包括有哪些资产,具体是什么,谁可以访问它等等。此时,安全团队就可以像“连线画图”那样直接、简单地提出问题,解决问题。
事实上,能否清楚掌握企业内部网络资产是安全体系的重要基础,也是安全团队能否改变传统工作流程,并跟上快速变化的数字化转型的关键点。Erkang Zheng表认为,安全团队并不仅仅是企业的看门人,还必须是一名审计者和建议者,而CAASM也不仅仅是一个数据平台,还是一个分析平台,一个协作平台。
随着零日漏洞披露、利用的时间间隔越来越短,零日攻击正成为多数企业的灾难,通过内部协作快速消除已披露的零日漏洞,已经成为安全团队的必备能力之一。
未来,随着CAASM技术的广泛应用,将进一步缩短漏洞的修复时间。作为新安全架构的一部分,CAASM可为漏洞修复提供支撑能力,助力安全团队系统地发现和修复安全漏洞,甚至是主动寻找新的安全漏洞。
Erkang Zheng举了一个例子。
假设企业拥有一个内部资源,其本身并没有向公众开放,但是这里面有一个直接暴露在互联网上的工作负载,且具有为其提供 API 级别访问权限的身份验证策略,此时,这个内部资源毫无疑问已经暴露在互联网上。
这恰恰是安全团队极其容易忽略的点,从Amazon Web Services 租用的云资源在实际混合和匹配中产生了新的安全漏洞。此时,这个被忽视的新漏洞将会成为企业安全的严重威胁。类似的案例还有很多,这个例子也解释了为何数字化之后,企业暴露的攻击面如此之多。
因此,企业迫切需要一个全新的解决方法,可以大规模地、及时地找到企业内部隐藏的漏洞并进行修复。
CAASM或许可以解决这一问题。而快速消除暴露的攻击面也是企业安全团队目前的首要任务。毕竟,暴露的攻击面越少,企业就越安全。
参考来源:
https://securityboulevard.com/2022/06/rsac-insights-caasm-tools-and-practices-get-into-the-nitty-gritty-of-closing-network-security-gaps/