SecOps2022—零零信安王宇談外部攻擊面管理(EASM)的挑戰與未來

5月6日,2022網路安全運營技術峰會(SecOps2022)圓滿舉行,會議以“數字時代,安全從攻擊面管理開始”為主題,匯聚國內知名咨詢機構、權威專家、企業領袖,聚焦於數字時代攻擊面管理技術創新與實踐,探索網路安全運營技術突破的新方向,推動網路安全行業的變革與發展。國內首份《中國攻擊面管理市場白皮書》於會上發布,全面梳理可解釋的攻擊面管理概念、市場現狀、攻擊面管理產品特徵與體系、行業實踐及發展趨勢。

图片alt

在我們此前的訪談節目《暢聊安全》第一期中,我們已經對攻擊面管理有了一個比較全面的瞭解,其中就提到攻擊面管理本身就包含有網路空間攻擊面管理(CAASM)以及外部攻擊面管理(EASM)兩個大的方向。在本次會議中,來自零零信安的王宇則基於自己投身於外部攻擊面管理領域兩年多的探索、實踐經驗,向觀眾分享了其對該技術領域在當前面臨的挑戰以及未來的發展路徑。

在發言中,王宇指出獲得攻擊者視角仍然是外部攻擊面管理的最大挑戰,其具體表現在為覆蓋更多風險所需的龐大數據體量。

在《暢聊安全》·第一期節目中,王宇曾表示相比網路空間攻擊面管理更多強調產品力不同的是,外部攻擊面管理更多是以一種數據服務的形式提供給組織、企業的。這意味着,數據量的大小將對其外部攻擊面管理工具能力的影響可謂是巨大的,正因如此,這也成為其要面對的挑戰之一。

图片alt

“如果想要把外部攻擊面管理做更為全面,進而可以覆蓋更多的風險,那麽就要對包括公開網路和非公開網路在內的整個網路進行探測。”王宇分享道,在公開和非公開網路中,暴露、泄露、販賣的組織機構和人員的業務數據、產品代碼、敏感信息、電子憑證、個人隱私等數據,都有可能會被攻擊者所利用。

因此,要做到發現這些風險,就必須要把所有可能會產生風險的威脅源全都涉及到。僅就公開網路而言,它包括了全球範圍內的IP庫、社交媒體、平臺應用、代碼倉庫等等,之所以要對其進行全面的探測,是在於它們都有可能成為組織、企業的風險來源,比如文檔的泄露可能是在網盤等應用上發生的,核心人員的郵件地址、手機甚至密碼等個人信息泄露可能是在社交媒體上發生的等等,再加上還需要探測的非公開網路,毫無疑問,這將是一個巨大的工作量。

王宇總結道,將外部攻擊面管理做到識別風險點更準,覆蓋風險面更全,以最終能夠獲得攻擊者視角並審視自身弱點,是當前該技術路線所面臨的主要挑戰。

王宇在分享中表示,外部攻擊面管理的未來也會是按照兩個方向去演進,分別是:

一、滲透測試即服務(PTaaS)

“滲透測試即服務並不是傳統意義上的滲透測試或攻防演練。”王宇談道,“它是一種在基於大數據的模式之下,以自動化為主,人工服務為輔的方式,我們將其稱之為持續紅隊攻擊測試(CART)。”

這一方式不僅可以將整個攻擊測試變得更加標準化,更重要的是在於可以實現常態化。眾所周知,傳統的滲透測試或攻防演練,少則兩三周,多則一兩月,所耗費的人力物力也不小,因此對於企業而言,能夠保證每年做兩次都相當難得,但我們都知道,攻防對抗是動態的,僅靠一年屈指可數的測試、演練去發現問題無疑是不夠的,相比之下,通過滲透測試即服務這一模式就可以很好地幫助企業消除這些痛點,通過常態化的CART可以保證及時的發現問題並告知企業,進而幫助企業能夠及早處置相關風險。

二、擴展威脅情報數據服務

包括上面所說的持續紅隊攻擊測試在內,外部攻擊面管理都是將發現的問題以報告的形式提交給企業,而對於擴展威脅情報而言,則並不只是報告的形式。

“擴展威脅情報實際上是以一種數據服務的形式提交給企業,比如可以給到企業的SIEM、SOC等安全管理系統,也可以給到像XDR、EDR等安全產品,去幫助企業提升自身的情報能力,為其綜合的風險分析去做數據支撐。”王宇介紹到。

【關於王宇所提到的擴展威脅情報(XTi),安全419已與其約定會圍繞這一話題展開進一步的交流,相關內容會另外單獨撰文探討,敬請關註。】

王宇認為,上述兩個方向在外部攻擊面管理在發展的過程中,將會演進成為兩條獨立的賽道,並且可以通過與SOAR、SIEM、MDR等做聯動,從而實現從發現風險到處置風險的全面覆蓋,進而也實現了從外部攻擊面管理產品到外部風險管理解決方案的進化。

在演講的最後,王宇分享了零零信安在做外部攻擊面管理過程中的一些實踐總結。

“從外部攻擊面管理技術實現的角度看,它需要設置大量的數據探針、大量的網路存儲、大量的數據分析,對於我們當前所看到的整個互聯網中的數千個威脅情報源,以每天上千萬甚至上億量級的數據進行提取和分析,隨後與風險進行關聯。”王宇總結道,“在整個外部攻擊面管理技術領域中,最重要的是數據採集、數據分析、數據關聯和對數據的風險評判。那麽不難看出,它實際上不是產品本身的能力,而是數據能力。”

具體到自身實踐層面,王宇表示,零零信安旗下的0.Zone是當前國內首款外部攻擊面管理(EASM)產品,已經可以做到對包括信息系統、移動端應用、敏感目錄、電子郵箱、文檔、產品代碼、供應鏈、暗網情報、人員以及組織等可導致形成攻擊點的潛在風險進行查詢。

0.Zone已正式公測 面向所有企業開放

安全419瞭解到,0.Zone在經過前期緊鑼密鼓的開發和內部測試後已開始公測,用戶只需註冊0.Zone(網址為:https://0.zone/),就可以通過輸入企業名稱查詢的方式,查看到相關企業的外部攻擊面管理的數據,非常方便快捷。王宇最後強調道,0.Zone是面向所有企業開放的系統,因此也歡迎廣大企業用戶能夠來親身體會一下外部攻擊面管理產品的實際效果,考慮到仍在公測階段,希望使用者在多包容的同時,也能夠多提出自己的建議。