2021年7月14日,Gartner发布了《2021安全运营技术成熟度曲线》(《Hype Cycle for Security Operations, 2021》),针对主流的安全运营技术进行了深入的分析。值得关注的是,此次Gartner提出了一个新的理念其中一段CAASM(Cyber asset attack surface management,网络资产攻击面管理),其核心是通过使用新兴技术,使安全团队能够解决持续存在的资产可见性和漏洞挑战。
Gartner认为,CAASM解决方案允许组织查看所有资产,无论它们位于何处。同时通过API与现有工具集成来实现数据整合,CAASM能够支持查询功能来检查资产数据,并为漏洞修复提供支撑能力。
与之类似的是,早在去年3月,奇安信就在新一代安全体系框架中,提出了针对资产、配置、漏洞和补丁的系统安全工程,强调聚合IT资产、配置、漏洞、补丁等数据,提高漏洞修复的确定性,实现及时、准确、可持续的系统安全保护。
资配漏补发展的四个阶段
尽管Gartner将CAASM放在成熟度曲线的早期,但资产和漏洞的管理却并不是一个新的话题。如果从1992年克瑞斯托弗-克劳斯开发出第一款企业级漏扫工具开始算起,已经有近30年的历史,并且经历了四个发展阶段。
一、初始阶段
1992年,克瑞斯托弗-克劳斯(开发出第一款企业级漏洞扫描器后,漏扫作为一款网络安全检查的工具,进入了人们的视野。随着SIEM(information安全信息和事件管理)产品的出现,资产的漏洞属性开始作为事件关联分析的一个因素。
随着网络攻击的增加,越来越多的组织意识到漏洞的跟踪管理对于安全防护至关重要,因此很多漏洞扫描器的供应商开始提出VMS(漏洞管理系统),但也是单纯就漏洞本身进行统计分析,并未和其他环节打通。
尽管不久之后,CMDB(配置管理数据库)也被引入用于信息资产配置项信息的管理,但是CMDB并不包含安全配置信息。在这个阶段,资产管理还只是传统的信息资产的登记,CMDB只专注配置项的技术信息,VMS也只是做漏洞的扫描和统计分析,至于打补丁仍然是各个系统各自为战。
二、标准化、自动化阶段
美国政府意识到安全配置的重要性,他们在2010年启动SCAP(Security Content Automation Protocol,安全内容自动化协议) 试点 项目,用于解决高层政策法规(如FISMA,ISO27000系列)的实施落地、信息安全所涉及的各个要素标准化(如统一漏洞的命名及严重性度量以及系统配置核查工作自动化。
美国国家标准与技术研究院(NIST)将SCAP 分为两个方面:Protocol(协议)与Content(内容),协议包括XCCDF、OVAL、CVE、CCE、CPE、CVSS等,内容包括实际检查工作的数据,以及后来美国国防部国防信息系统局发布的STIG(Security Technical Implementation Guides)。值得注意的是,2011年之后,SCAP项目名称变更为SCM(Secure Configration Management,安全配置管理),主要面向网络运维人员和安全防护人员,整合运用现有工具的能力,例如漏洞评估、自动修复、配置评估,通过主动、持续地监视和加固操作系统、应用程序和网络设备的安全配置,来减少其攻击暴露面。
安全配置管理一般包括四个步骤:
第一步,资产发现。
第二步,将可接受的安全配置定义为每种受管设备类型的基线。比如,可以使用互联网安全中心(CIS)或国家标准与技术研究所(NIST)发布的指南,来实现这一目标。
第三步,根据预先定义的频率策略,来评估他们管理的设备。
第四步,应该确保有人修复了问题或准许它作为异常而存在。
美国政府通过SCAP和SCM项目,定义了资产相关的标准和基线,并且提出自动化核查以及周期性管理理念,使系统安全数字化分析和常态化运行管理成为可能。
三、自动化、常态化与新技术实践阶段
美国国防部(DoD)把SCM作为持续监控战略的一部分,其目标是进行企业级信息保障应用、工具和数据标准的集成和优化,以支持自动化风险管理和近实时感知。使得信息系统监控成为国防部持续监控战略的一部分——支持资产、系统配置和漏洞的初始数据集。具体体现在:
识别资产
检查系统配置是否符合政策和标准
搜索潜在漏洞
针对系统/网络的已知风险态势,对已知漏洞采取行动
报告状态并与需要了解的人共享信息
在践行SCM过程中,美国国防部使用了标准化、自动化的工具,针对网络+主机两个层面,实现持续的资产以及相关漏洞和配置数据的发现、通过制定安全策略+定义标准化的漏洞和配置内容,为这些工具提供内容支撑,对相关数据汇聚进行风险分析并提供接受风险+网络防御+事件响应的风险管理决策支撑,使用补救+缓解工具抑制风险。通过这种自动化、常态化系统安全运行确保基础架构的安全并从中受益。
同时,美国国防部非常强调SCM的运行效果,利用国防部两级运行中心在政策因素和威胁因素的双重驱动下,通过安全内容管理、策略符合性分析、资产配置态势感知、风险控制等运行化能力,对所有资产(包括固定资产、虚拟化资产、移动设备等)进行资产发现、持续监控、风险削减,确保系统安全。
通过SCM项目,美国国防部全面打通了以资产、配置、漏洞、补丁为核心的四大流程。但是在项目过程中遇到一些困难,包括安全配置持续维护困难、完全不同的信息安全保障工具集、手工报告效率低等问题。
四、在关键基础设施防护领域推广阶段
2010年4月,国土安全部(DHS)受美国行政管理和预算局(OMB)委任,建立了持续监测技术参考框架,即持续资产评估、态势感知和风险评分参考框架。持续监测的理念一方面强调持续,即以适当的频率收集数据;另一方面强调监测,即收集网络中的各种安全数据、状态数据等能体现安全态势的数据。通过多方面分析这些数据,对网络安全态势、风险等级进行评估,并将分析评估结果可视化,展现给管理网络安全风险的决策者。只有决策者全面了解了整个网络的安全状态后,才能结合机构的实际情况调整信息安全策略。单靠持续监测无法解决所有的安全问题,但可以让用户更了解自己的安全状况,不断改善安全策略,能够以积极主动的姿态防御安全威胁。
为此,国土安全部花费了上百亿美元打造了一个看起来相当完善的网络安全计划。不过,后续发生的网络攻击事件,引起了舆论对国土安全部安全计划的普遍质疑。对此,国土安全部以避免各个单位自行建设成本问题名义,提出集中开发“持续诊断与缓解项目”(CDM – Continuous Diagnostics and Mitigation)具体落实ISCM策略,CDM项目通过提供标准化工具和云服务(CMaaS)的方式,解决各联邦机构自行开发的成本和不统一问题。这些工具包括识别偏离基线的网络安全风险、区分风险影响的严重程度、促进网络安全人员解决最重大安全问题。
让CDM真正在关键基础设施领域推广开来的是一项法案的颁布。2019年9月26日,美国众议院通过了《网络安全漏洞修复法案》,该法案重点关注关键基础设施,旨在授权美国国土安全部(DHS)的网络安全和基础设施安全局(Cybersecurity and infrastructure Security Agency, CISA)协助关键基础设施的所有者和运营商制定针对严重漏洞的缓解策略。
针对2021年5月7日美国最大的成品油管道运营商Colonial Pipeline因受到勒索软件 DarkSide攻击事件,CISA和FBI的联合建议中提出要求各个组织加强安全姿态,抵御此类威胁。
为了落实《网络安全漏洞修复法案》,增强关键基础设施的安全性,国土安全部会更加依仗CDM。
实施CAASM需要持续的安全运行
尽管NIST、DoD、DHS针对资产、配置、漏洞、补丁四大流程的打通进行了大量的实践,使多源的安全配置数据融合成为可能。那么回过头来看,Gartner为什么在此时提出CAASM这样一个概念呢?实际上,在多年的实践过程中,DoD和DHS都遇到了类似的问题:如何持续的维护安全配置?如何实现工具的标准化?如何利用新的技术实现数据的碰撞和融合?即便现在,绝大多数组织对于安全配置的管理并一样没有真正落实到位。
所以,Gartner提出的CAASM首先是利用新型技术,其次是通过API与现有工具集成来实现数据整合。其目标包括为多个团队提供所有资产的整合视图,其中包括:
跨越IT和基础架构、安全、风险等;
全面了解攻击面;
了解安全控制覆盖范围和有效性;
了解缺乏治理和控制的影子信息化资产;
简化审计准备和合规报告。
对此,Gartner建议用户在使用CAASM工具之前需要确定核心需求,如实现更全面的资产可见性、安全漏洞的自动修复等,同时盘点可与 CAASM 产品集成的所有可用 API,并确保有可用于集成的帐户。
另外,为了帮助机构选择更加适合自己的产品,Gartner推荐了几个具有代表性的CAASM供应商。
其中,Brinqa公司重点在于漏洞分级和处理研判。该公司可以通过知识驱动,对所有相关的安全、环境和威胁数据进行建模和关联分析,以提供用于漏洞的优先排序、修复建议和报告,从而更快地补救高风险的漏洞。
JupiterOne公司提供了一个云上资产管理平台,通过建立关系视图将策略、基础设施、终端、问题与身份之间进行关联,帮助用户完成漏洞修复、验证的闭环。
Panaseer公司则强调对资产风险的持续监控。该公司能够自动地、持续地集成安全、IT和业务领域的多源数据,从而发现现有资产清单以外的未知资产,建立起一个全面的资产清单,同时通过分析控制措施是否遵守了NIST、CIS或PCI等框架标准,持续监测和衡量控制和风险。
Sevco Security公司同样重点关注资产变化,该产品能够基于API的方式,汇集多远数据,通过资产关联引擎建立融合的资产库,展现完整资产库存图,形成统一资产库存报告。
AirTrack Software能够提供一款兼具深度和广度的CMDB,它结合了传统资产管理和一定的安全特性,能够获得一个跨越多个来源的资产的整体视图,识别未受管理的设备,管理资产的补丁状态,并对需要进行修复的资产进行跟踪。
从Gartner强调的核心能力以及推荐厂商中可以看出,CAASM的目标和SCM的区别,在于强调了资产的整合视图以及能够解决持续存在的资产可见性和漏洞规避问题。这也是奇安信提出系统安全所想要解决的问题。
驱动CAASM落地的奇安信系统安全构想图
奇安信在2020年新一代安全体系框架中,参考SCM和CDM对系统安全进行了专门的工程化设计,系统安全运行体系平台依托大数据架构,将通过数据接口和控制接口进行同步,获取经过融合的资产信息、安全配置信息、漏扫及主机加固等多维度获取的漏洞信息、广义补丁等信息。这些信息将在系统安全运行体系平台进行处理,实现两两关联分析,如“资产+配置”、“资产+补丁”、“资产+漏洞”及“资产+补丁+配置”等,以最大化获取并展示资产的系统及管理属性,资产配置信息,资产当前的漏洞及补丁状态等,从而指引系统安全的运行过程,安全策略管理及修复管理等进行系统安全风险管理。
需要强调的是,系统安全工作不仅要落实到大数据平台和自动化工具上,还要把闭环的运行工作落到安全服务工作以及IT运维服务工作中。因此,系统安全平台需要与态势感知平台、威胁检测平台、终端管理及情报运营平台等进行有效联动,从而最大化实现资配漏补四大流程闭环的价值,最终将系统安全防护从依靠自发自觉的模式提升到体系化支撑模式,实现及时、准确、可持续的系统安全防护。
为了帮助客户解决这些问题,奇安信随即在2021年推出业内首个系统安全运行构想图,该构想图强调需要用“数据驱动”的实战化安全运行模式,打通资产管理、配置管理、漏洞管理和补丁管理四大基础安全流程,环环相扣融入整个大运维环境,从而收缩攻击面、保持安全姿态。
该运行构想图借鉴了SCM的实践,并且符合CAASM的理念,运用新型大数据技术能力,通过威胁情报碰撞、深度学习模式匹配等大数据分析技术使得系统安全的模糊信息显化出来,实现安全内容与个体资产信息的碰撞,精准驱动发现、采集与整改,即通过数据分析驱动安全工作任务,更聚焦效果输出。运行采用“前店后厂”的模式,“后厂”专注于配置、漏洞、补丁等安全内容的生产,“前店”融入大运维实现系统安全整改。