2022網路安全運營技術峰會召開,賽迪顧問發布《中國攻擊面管理市場白皮書》

36氪獲悉,5月6日,主題為“數字時代,安全從攻擊面管理開始”的2022網路安全運營技術峰會(簡稱SecOps 2022)以雲峰會形式召開。會議主要圍繞數字時代安全運營技術趨勢、攻擊面管理研究與實踐等熱點議題展開討論。在會議中,咨詢機構賽迪顧問發布了《中國攻擊面管理市場白皮書》(以下簡稱白皮書),同時多位關註攻擊面管理的嘉賓也就此話題進行了分享。

據介紹,《中國攻擊面管理市場白皮書》是國內網路安全領域首份就攻擊面管理方向發布的白皮書。內容方面,白皮書剖析了中國攻擊面管理技術發展現狀,分享了攻擊面管理領域的創新技術和典型應用場景,並對攻擊面管理未來發展趨勢進行預測。

白皮書指出,攻擊面管理(ASM)是一種從攻擊者視角對企業數字資產攻擊面進行檢測發現、分析研判、情報預警、響應處置和持續監控的資產安全性管理方法,其最大特性就是以外部攻擊者視角來審視企業所有資產可被利用的攻擊可能性,而這里的所有資產包含已知資產、未知資產、數字品牌、泄露數據等等一系列可存在被利用的風險的資產內容。

攻擊面管理,最早由國際知名咨詢機構Gartner於2018年首次提出。在2021年7月,Gartner將攻擊面管理相關技術定義為網路安全運營技術中的新興技術。Gartner認為攻擊面管理由網路資產攻擊面管理(CAASM)、外部攻擊面管理(EASM)以及數字風險保護(DRPS)三部分組成。賽迪顧問本次發布的白皮書基於應用場景的維度,將攻擊面管理分為外部視角的攻擊面管理和內部視角的攻擊面管理,數字風險保護依據其外延與內核歸屬為外部視角的攻擊面管理。

其中,外部視角的攻擊面管理主要關註外部資產,使用一系列來源和方法來掃描全球的互聯網,尋找其面向外部的資產暴露面,並且對這種資產暴露面進行可視化。而內部視角的攻擊面管理關註企業數字化資產,發現功能主要通過與現有工具的API集成來工作,依賴於其他已部署的技術作為上下文,並富化從這些技術中提取的數據,以提供組織資產庫存的整體視圖。

图片alt

二者區別與聯系

在白皮書中,賽迪顧問將攻擊面管理框架體系自下向上分別為基礎技術、安全能力和應用場景三層。基礎技術為支撐攻擊面管理的技術能力集合,多種技術組合形成攻擊面管理的能力體系,根據不同的業務場景需求採用不同的能力組合,形成不同的應用場景下的攻擊面管理解決方案,為用戶提供有針對性的攻擊面閉環管理能力。

图片alt

攻擊面管理的框架體系

並且,在白皮書中建立了攻擊面管理的成熟度模型,主要是工具階段的被動防禦、平臺階段的主動防禦、流程化階段的對抗防禦、先知階段的優先防禦四個層級;提出了暴露面獲取、脆弱點發現、攻擊面挖掘、情報獲取能力等攻擊面管理要具備的12個能力域,從檢測發現、分析研判、情報預警、響應運營的閉環管控過程分解了響應的能力子項,從子能力的具備和完善情況來評價攻擊面管理的有效性。

此外,白皮書對於攻擊面管理的未來市場和技術的發展趨勢進行了預測。白皮書指出,在未來一段時間內,攻擊面管理將從傳統場景擴展到新興技術領域,將與業務風險管理融為一體;供應鏈和第三方風險管理將成為攻擊面管理的重要組成部分;自動化、智能化技術在攻擊面管理產品中得到廣泛應用。

另外在會議中,北京賽博英傑科技有限公司創始人兼董事長譚曉生、北京華雲安信息技術有限公司創始人兼CEO沈傳寶、PCSA安全能力者聯盟首席專家郭峰、北京零零信安科技有限公司創始人兼CEO王宇等也針對攻擊面管理展開討論。

以下是他們觀點的精選部分,供讀者參考:

北京賽博英傑科技有限公司創始人兼董事長譚曉生:近十年來網路安全思想、技術、產品、服務形態也處於快速發展中,中國網路安全正在經歷從重建設到建設與運營並重的轉變,在《2022年數說安全網路安全全景圖新增產品類別》中,偏運營屬性的產品占據絕大多數,其中就包括攻擊面管理(ASM)、安全運營MDR/MSS、安全訪問服務邊緣(SASE)等。在數字化加速轉型的今天,網路安全運營是提高網路安全防禦能力的必然之選。

中國信息協會信息安全專業委員會攻防與應急工作部秘書長、北京華雲安信息技術有限公司創始人兼CEO沈傳寶:隨着數字技術的發展和數字安全方案的演進,「對抗型防禦」一定是下一代安全防禦體系的演進方向。攻擊面管理既是「對抗型防禦」防禦理念落地實踐,也是網路安全運營技術的發展趨勢。

數字時代需要數字安全,華雲安提出以攻擊者視角構建涵蓋數字資產管理、自動化測試、優先順序評估、情報預警、快速處置五個步驟的完整攻擊者視角的攻擊面管理閉環。華雲安攻擊面管理重新定義了數字化時代的資產管理、漏洞管理、情報協同和響應處置。我們認為,攻擊面管理是數字安全的基礎能力,也就是安全運營的基石。

PCSA安全能力者聯盟首席專家郭峰:體系化對抗和系統性風險已經是數字安全時代的新背景,安全從合規走向實戰過程中,最重要的一關就是體系合成和運轉,不再依靠人工、手工臨時應對,需要具備敏捷、迭代、彈性、可擴展、一體化的管理和技術IT 信息化支撐平臺。因此,數字化組織需要構建有效落地的網路安全一體化防禦體系,實現數字化組織“看管監控”一體化的安全中樞。關於安全中樞的持續打造,需要在實現“資產清晰化、風險動態化、能力生態化”的基礎上,滿足“監測實時化、防禦體系化、威脅預警化、響應迅速化、信息共享化、指揮精確化”的安全監管一體化。

北京零零信安科技有限公司創始人兼CEO王宇:近年網路攻擊呈現組織化、團隊化、立體化趨勢。網路攻擊早已從漏洞、口令等技術手段逐漸演變成基於組織機構數字暴露面的通用漏洞、事件型0day、移動端應用/APK攻擊、API攻擊、文檔和文件泄露、企業敏感信息泄露、勒索軟體攻擊、電子憑證攻擊、供應鏈攻擊、社工庫攻擊等為一體的綜合型攻擊工程。

在此背景下,堆疊的剛性防禦體系不足以保護企業內部安全,外部攻擊面管理(EASM)也因此應運而生。外部攻擊面管理(EASM)提倡以攻擊者視角,正面對抗實戰型立體攻擊。未來EASM會向兩個方向演進:滲透測試即服務,以及擴展威脅情報。