知道创宇邓金城:做好攻击面管理必须具备5种能力
日期:2023年08月29日 阅:21
自2021年Gartner发布《2021安全运营成熟度曲线》中将攻击面管理相关技术定义为新兴技术后,攻击面管理概念在网安行业的热度只增不减。知道创宇产品技术中心副总经理邓金城认为,攻击面管理并非一个全新的市场,而是随着漏洞管理、资产发现、威胁情报等安全技术的不断发展,衍生出来的一个更为成熟,更符合客户、监管需求的网安服务,是网络安全治理能力更先进、更现代化的一个表现。因此,作为一家在网络空间测绘和网络安全漏洞管理等方面有着较长期积累的网络安全公司,知道创宇正在从技术、产品、方案、服务等多个维度,全力帮助企业用户实现对网络攻击面的高效管理。
攻击者视角下的主动防护
攻击面管理是一种从攻击者视角对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法,其最大特点是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。邓金城认为,当前攻击面管理备受关注,主要是以下三方面因素共同作用的结果:
一是随着数字化建设的持续深化,特别是诸如金融、教育、能源等数字化程度高的行业越来越多地实现了业务上云,使得企业的暴露面越来越大,面临的受攻击风险也就越来越高,网络安全逐渐成为企业日常运营的重中之重。在此背景下,安全防护从以往的以安全事件为驱动的被动防护转变为以安全治理常态化为驱动的主动防护。安全工作者要像攻击者一样去思考,比攻击者更快、更全地发现资产暴露面和薄弱点,才能提前收敛攻击面,扭转攻防对抗的不利局势。
二是国家网络安全监管政策的引导。其中,2021年9月1日起施行的《关键信息基础设施安全保护条例》,明确提出“保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作”,要求企业、机构建立暴露面管理相关的资产梳理和常态检查能力。
三是应对国际形势发展所需。随着国际形势的日益严峻,建立攻击面管理能力已经不仅是为了满足合规需求,更是企业自身安全发展的需要。
在攻击面管理概念受热捧的背景下,相关产品呈现泛滥趋势,市场上也开始出现一些乱象。对此,邓金城认为,攻击面管理并非一个全新的市场,而是随着资产发现、漏洞管理、威胁情报等技术的发展衍生出来一个更为成熟,更符合行业客户、监管需求的服务,是网络安全治理能力更加先进、更加现代化的一个表现。但是攻击面管理并不是将这些能力按照一个工作集进行整合、梳理就可以的。这种做法忽略了一个重要的元素,那就是不能真正以攻击者的视角去审视IT资产的暴露面。模拟攻击者的视角和攻击流程也是攻击面管理方案的一个关键。
不过邓金城认为,攻击面管理乱象也从另一个角度说明,攻击面管理已经成为业界普遍认可的发展方向。
做好攻击面管理的5项能力
那么,真正的攻击面管理应该具备哪些因素?用户在选择攻击面管理产品或者方案时,应该注意哪些问题呢?在邓金城看来,要做好攻击面管理应该具备以下5方面的能力:
首先,具备基本的资产发现能力和漏洞扫描能力。攻击面管理的基础是量化资产暴露面和风险问题,并且提供持续治理。
其次,动态发现资产风险水平的能力。邓金城认为,尽管企业暴露的IT资产很多,但是不见得黑客都感兴趣。但是一旦黑客从一个弱点切入,进而攻破重要系统,就会造成数据篡改、信息泄露、病毒勒索等安全事件的发生。这就需要实时了解资产是否被黑客关注。以知道创宇为例,目前已构建了覆盖全球的网络安全资产测绘能力,能够以主、被动探测结合的方式,云地联动全面排查资产暴露面,实时感知用户的IP或IP段被搜索的情况。
第三,具备持续发现风险和威胁的能力。“很可能今天的风险和明天的是不一样的。”邓金城解释说,黑客对于漏洞的研究是动态的,因此漏洞的风险水平也是动态变化的,攻击面管理需要与动态的风险关联起来。比如说,如果一个漏洞7天前没有人用,但是7天后陆续有人用,并逐渐呈现高频使用态势,那么这个漏洞的风险等级就变高了,非常值得关注。为此,知道创宇通过创宇智脑感知全球互联网黑客行为能力,对漏洞进行动态评分。
第四,及时捕获攻击行为的能力。有时候,众多IT资产中部分已中毒但用户并未察觉,接下来黑客就可能利用受控设备(肉机)对外发动攻击。邓金城举例说,他们曾通过创宇云防御平台在某企业共享一个出口的上千台电脑中发现一台中毒的设备一直在对外攻击政府机构网站,甚至企业自己的网站。他补充说,目前具备此类能力的只有几家以大数据和AI为基座的安全公司,知道创宇的云防御能力可与Cloudflare相媲美。
第五,具备产品和服务一体化的能力。因为只有产品或者一些简单的模型,而不去贴合客户的实际治理场景,很难全面满足用户攻击面管理的真实需求。对于安全厂商而言,需要有能力将攻击面管理技术和相应的安全托管服务打包成一体化的服务产品呈现给用户。
AI+大数据赋能攻击面管理
攻击面管理的核心点是基于大数据的攻击面持续监测治理。而知道创宇一直都非常关注并积极推动大数据、人工智能在网络安全中的应用。早在2015年,知道创宇就提出“人工智能的网络对抗”理念;前段时间,知道创宇还基于ZoomEye网络空间测绘系统推出了“ZoomEyeGPT”。知道创宇将真实网络发生的网络攻防数据通过机器学习和机器分析的方式,将安全能力抽象成安全态势和安全策略,并赋能产品。
邓金城介绍,知道创宇通过创宇智脑的情报能力、网络空间测绘云和即将发布的漏洞云,实现攻击面管理的全场景覆盖,将数据能力用到极致,以安全大数据能力来驱动产品的发展。其中,创宇智脑能持续监测感知全球网络实战对抗态势变化。
“知道创宇的404实验室运营着国内大型漏洞社区Seebug,并在漏洞发现、漏洞研究方面具备核心能力产出。”邓金城说,“除此之外,我们还构建了基于创宇智脑的安全算力体系,尽可能地感知全球的安全能力,并将这些安全能力,最新的漏洞利用、绕过方法全面赋能到我们的产品中去。”他总结说,这样还能保证知道创宇的安全能力是持续高可靠的,攻击面管理能力也是持续高水平的。
与此同时,邓金城认为,人工智能也在改善安全攻防对抗的不对称的问题,将人与人的对抗转变为“人+算力”与人的对抗,即从安全专家与黑客的对抗,转变成“安全专家+算力”与黑客的对抗,因而大幅提升了防护方的能力。
说到人工智能,当前肯定绕不开AIGC。AIGC正在给网络安全带来了巨大的挑战,甚至有观点认为“ChatGPT降低了网络犯罪的门槛”。在邓金城看来,AIGC带来的挑战主要有两种:
比如说,如果用户希望通过对话的方式了解如何优化本单位网络拓扑配置,事实就已经泄露了其部分网络拓扑。
但与此同时,AIGC也给网络安全防护带来了新的机遇,比如说,优化安全治理流程。邓金城指出,网络安全防护是一个动态的过程,流程的自适应和自动化提升是用户的共同追求。不过他认为,当前采用AIGC技术来辅助攻击面治理的产业化落地还有很长一段路要走,因为用户首先会担心由此带来信息泄露问题。
考虑到信息泄露问题,他建议诸如政府、金融、能源等敏感的行业机构先采用离线的模型,构建面向安全场景的AIGC模型,打造自身的安全智能机器人,去联动所有安全工作的设备和场景,从而提升安全治理的自动化和时效性。