攻擊面管理技術(shù)應(yīng)用指南 2024_第1頁
攻擊面管理技術(shù)應(yīng)用指南 2024_第2頁
攻擊面管理技術(shù)應(yīng)用指南 2024_第3頁
攻擊面管理技術(shù)應(yīng)用指南 2024_第4頁
攻擊面管理技術(shù)應(yīng)用指南 2024_第5頁
已閱讀5頁,還剩176頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

任何組織和個人不得以任何形式復(fù)制或傳遞本報告的全部或部分內(nèi)容,不得將本報告內(nèi)容作為訴訟、仲裁、傳媒所引用之證明或依據(jù),不得用于營利或用于未經(jīng)允許的其他用途。任何經(jīng)授權(quán)使用本報告的相關(guān)商業(yè)行為都將違反《中華人民共和國著作權(quán)法》和其他法律法規(guī)以及有關(guān)國際公約的規(guī)定。未經(jīng)授權(quán)或違法使用本報告內(nèi)容者應(yīng)承擔其行為引起的一本報告僅供本公司的客戶使用。本公司不會因接收人收到本報告而視其為本公司的當然客戶。任何非本公司發(fā)布調(diào)查資料收集范圍等的限制,本報告中的數(shù)據(jù)僅服務(wù)于當前報告。本公司以勤勉的態(tài)度、專業(yè)的研究方法,使用合法合規(guī)的信息,獨立、客觀地出具本報告,但不保證數(shù)據(jù)的準確性和完整性,本公司不對本報告的數(shù)據(jù)和觀點承擔任何法律責任。同時,本公司不保證本報告中的觀點或陳述不會發(fā)生任何變更。在不同時期,本公司可發(fā)出與本報告所載資料、在任何情況下,本報告中的信息或所表述的意見并不構(gòu)成對任何人的行為建議,或需求??蛻魬?yīng)考慮本報告中的任何意見是否符合其特定狀況,若有必要應(yīng)尋求專家意見。任何出現(xiàn)在本報告中的包括但不限于評論、預(yù)測、圖表、指標、指標、理論、陳述均為市場和客戶提供基本參考,您須對您自主決定的行為負責。本公司不對因本報告資料全部或部分內(nèi)容產(chǎn)生的,或因依賴本報告而引致的任何損失承擔任何責任,不對任何因本報告目錄第一章攻擊面管理背景概述 7 7 第二章攻擊面管理能力框架 第三章攻擊面管理應(yīng)用場景分析 第四章攻擊面管理應(yīng)用實施方法 4.3攻擊面管理實施思路與方法 4.4攻擊面管理應(yīng)用挑戰(zhàn)與建議 第五章人工智能攻擊面應(yīng)對初探 第六章攻擊面管理成功案例分析 案例一:某城商行統(tǒng)一安全管理平臺運營項目(綠盟科技提供) 案例二:某新能源汽車控股集團攻擊面管理案例(魔方安全提供) 案例三:某科技集團網(wǎng)絡(luò)空間風險暴露面治理實踐案例(亞信安全提 第七章國內(nèi)外攻擊面管理技術(shù)研究 7.3國內(nèi)外攻擊面管理技術(shù)差距分析 7.4國內(nèi)攻擊面管理未來發(fā)展趨勢 第八章攻擊面管理廠商推薦 隨著數(shù)字經(jīng)濟的蓬勃發(fā)展和全球網(wǎng)絡(luò)安全形勢的日益嚴峻,網(wǎng)絡(luò)安全防御手段面對不斷演變的網(wǎng)絡(luò)威脅,越來越無法滿足企業(yè)和組織的安全需求。攻擊面管理(ASM)應(yīng)運而生一種新興的安全理念,它通過持續(xù)監(jiān)控和分析企業(yè)網(wǎng)絡(luò)資產(chǎn)和暴露面,識別潛在的安全風險,并采取相應(yīng)的措施進行緩近年來,攻擊面管理在國內(nèi)外市場都得到了快速紛將攻擊面管理列為重要的安全趨勢,并對其發(fā)展前景給予了高度評價。在國內(nèi),隨著《中華人民共和國網(wǎng)絡(luò)安全法》等一系列法律法規(guī)的出臺,以及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例的實施,企業(yè)和組織對網(wǎng)絡(luò)安全的重視程度不斷提高,受到了廣大讀者的歡迎和好評。今年,安全牛延續(xù)去年的工作,再次推出《攻擊面管理技術(shù)應(yīng)用指南2024版》。本報本報告將重點關(guān)注攻擊面管理的概念發(fā)展、技術(shù)應(yīng)用,深入分析國內(nèi)市框架和關(guān)鍵技術(shù),并對國內(nèi)外市場發(fā)展趨勢進行研究。此外,本報告還將新增一章對AI攻擊面進行探討,分析AI技術(shù).攻擊面管理需要管理和技術(shù)并重。攻擊面管理不僅是技術(shù),更需要管理支撐,制定相應(yīng)的管理標準和規(guī)范,推.適用于較高成熟度階段的企業(yè)實踐。實施攻擊面管理需要企業(yè)具備一定的基礎(chǔ)設(shè)施與技術(shù)能力,與基礎(chǔ)設(shè)施深.國內(nèi)市場的初級發(fā)展與資產(chǎn)數(shù)據(jù)挑戰(zhàn)。當前國內(nèi)攻擊面管理仍處于發(fā)展早期階段。核心難點在于企業(yè)普遍面臨資產(chǎn)數(shù)據(jù)質(zhì)量參差不齊、數(shù)據(jù)冗余與缺失的問題,亟需加強數(shù)據(jù)治理與質(zhì)量管控,數(shù)據(jù)質(zhì)量直接影響了攻擊風險的發(fā)現(xiàn).平臺化與融合方向。攻擊面管理平臺正從單點工具轉(zhuǎn)向與其他安全技術(shù)有機融合。一方面,CBAS正逐步整合為統(tǒng)一平臺,實現(xiàn)數(shù)據(jù)共享與功能互補;另一方面,與其他安全平臺的循.關(guān)注重點從外部擴展至內(nèi)部。國內(nèi)用戶正從關(guān)注外部攻擊面(EASM)轉(zhuǎn)向內(nèi)部攻擊面(CAASM)。用戶意識到內(nèi)網(wǎng)資產(chǎn)通常比外網(wǎng)資產(chǎn)更加敏感,在此趨勢下,將外部與內(nèi)部攻擊面管理有機融合,為企業(yè)提供更全面的資產(chǎn)視圖.資產(chǎn)數(shù)據(jù)質(zhì)量的核心地位與治理需求。企業(yè)已積累大量資產(chǎn)數(shù)據(jù),但數(shù)據(jù)質(zhì)量參差不齊是當前痛點。企業(yè)期望.從資產(chǎn)到風險的價值轉(zhuǎn)移。攻擊面管理的價值正從傳統(tǒng)的資產(chǎn)管理拓展到風險管理層面。用戶不僅期望通過攻.開始關(guān)注全鏈路威脅展示與溯源。用戶不再滿足于對孤立風險點的識別,而是希望通過跨設(shè)備、跨系統(tǒng)的數(shù)據(jù).AI技術(shù)應(yīng)用初步嘗試,成效有限。盡管廠商積極探索利用人工智能(AI)技術(shù)實現(xiàn)自動資產(chǎn)發(fā)現(xiàn)、漏洞識別與風險評估,然而當前成果仍然有限。技術(shù)應(yīng)用仍處于初級階段,有待進一步優(yōu)化算法模型、提升數(shù)據(jù)訓(xùn)練質(zhì)量與增強應(yīng).行業(yè)定制與深耕趨勢。國內(nèi)攻擊面管理正在走向行業(yè)化應(yīng)用,針對不同行業(yè)的需求與業(yè)務(wù)場景提供差異化方案。.安全驗證需求崛起。目前大多數(shù)用戶已經(jīng)完成基礎(chǔ)安全建設(shè)階段,進入攻防演練等驗證階段,需要利用攻擊面第一章攻擊面管理背景概述供應(yīng)鏈攻擊、APT攻擊等新型網(wǎng)絡(luò)威脅層出不窮,其復(fù)雜性和破壞力不斷增強。此外,隨著人工智能技術(shù)的快速發(fā)展和廣泛應(yīng)用,AI攻擊面也逐漸成為網(wǎng)絡(luò)安全的新焦點。AI技為了應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全形勢,各國政府和行業(yè)組織紛紛出臺了相關(guān)的安全合規(guī)要求和標準。例如,美國國家標關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例等。這些政策法規(guī)和標準不僅對企業(yè)和組織的安全管理提出了更高的要求,也促進了攻擊攻擊面管理作為一種主動防御策略,通過持續(xù)監(jiān)控與分析網(wǎng)絡(luò)資產(chǎn)及其暴露面,可以及時發(fā)現(xiàn)潛在安全風險,并迅速采取緩解與應(yīng)對措施,不僅能有效降低安全事件的發(fā)生概率與影響范圍,更可全面保障業(yè)務(wù)連續(xù)性與數(shù)據(jù)安全性。因此,77?勒索軟件攻擊持續(xù)高發(fā)。勒索軟件攻擊在全球范圍內(nèi)持續(xù)高發(fā),攻擊目標也更加廣泛,包括政府、金融、醫(yī)療、教育等關(guān)鍵領(lǐng)域。攻擊者通常采用加密數(shù)據(jù)、破壞系統(tǒng)等手段,勒索高額贖金,給受害者帶來巨大的經(jīng)濟損失和?漏洞利用攻擊仍是主流。攻擊者利用各種漏洞和弱點,例如零日漏洞、供應(yīng)鏈漏洞、社會工程學(xué)等,對目標系統(tǒng)2020年美國聯(lián)邦政府數(shù)據(jù)泄露事件,導(dǎo)致全球包括美國各級政府部門、北約、英國政府、歐洲議會、微軟等至?針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊日益增多。關(guān)鍵信息基礎(chǔ)設(shè)施是國家安全和社會穩(wěn)定的重要支撐,攻擊者針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊日益增多,例如能源、交通、醫(yī)療等領(lǐng)域。這些攻擊可能導(dǎo)致關(guān)鍵服務(wù)的癱瘓和社會秩序的?APT攻擊持續(xù)活躍。APT攻2022年俄烏危機期間,烏克蘭十多個政府網(wǎng)站遭到網(wǎng)絡(luò)攻擊近年來,國內(nèi)網(wǎng)絡(luò)攻擊手段也層出不窮,攻擊目標廣泛,攻擊方式多樣化且日趨高級,對我國各行各業(yè)的企業(yè)和組織88教育等多個行業(yè)。攻擊者通常采用加密數(shù)據(jù)、破壞系統(tǒng)等手段,勒索高額贖金,給受害者帶來巨大的經(jīng)濟損失和業(yè)務(wù)中斷。攻擊者不再僅僅滿足于加密數(shù)據(jù)勒索贖金,而是更傾向于攻擊關(guān)鍵信息基礎(chǔ)設(shè)施、大型企業(yè)等高價值?APT攻擊持續(xù)活躍,趨于長期化和隱蔽化。APT攻擊通常由國家或組織支持,目標是竊取敏感數(shù)據(jù)、破礎(chǔ)設(shè)施或進行長期潛伏和滲透。APT攻擊手段復(fù)雜、技術(shù)高超,對安全防護體系構(gòu)成了嚴峻挑戰(zhàn)。攻擊者潛更長,攻擊手段更加隱蔽,攻擊目標更加精準,對安全防護?內(nèi)部人員威脅不容忽視。內(nèi)部人員泄露數(shù)據(jù)、破壞系統(tǒng)的事件時有發(fā)生,企業(yè)應(yīng)加強內(nèi)部人員的安全管理和安全?供應(yīng)鏈攻擊成為新興威脅。攻擊者利用供應(yīng)鏈中的薄弱環(huán)節(jié),例如軟件漏洞、第三方服務(wù)、人員疏忽等,對目標企業(yè)進行滲透和攻擊。供應(yīng)鏈攻擊的隱蔽性和破壞性極強,一旦成功,將會對整個供應(yīng)鏈造成嚴重的安全風險和數(shù)據(jù)泄露事件頻發(fā)。近年來,國內(nèi)數(shù)據(jù)泄露事件頻發(fā),例如2023年,某高校因3萬余條師生個人信息數(shù)據(jù)泄露被罰根據(jù)安全牛2024年企業(yè)用戶調(diào)研結(jié)果顯示,用戶對外部高級攻擊的擔憂程度最高(80%其次是內(nèi)部人員安全風險(42.86%)和供應(yīng)鏈攻擊風險(40%)。用戶擔心的網(wǎng)絡(luò)安全風險主要原因中,系統(tǒng)漏洞占比最高(68.57%其次99安全牛認為,未來網(wǎng)絡(luò)攻擊主要有以下趨勢:攻擊面將持續(xù)擴大,攻擊鏈條將向左移動,攻擊將更具針對性和事件驅(qū)?攻擊鏈條將向左移動。攻擊者將更多地利用攻擊鏈左側(cè)的戰(zhàn)術(shù),例如社工、釣魚等,以獲取初始訪問權(quán)限。利用AI技術(shù),攻擊者可以更輕松地獲取個人信息、偽造?攻擊將更具針對性和事件驅(qū)動性。攻擊者將聚焦更具針對性和事件驅(qū)動性的攻擊機遇,例如大型體育賽事、地緣?AI將被更廣泛地用于攻擊。從生成式分析到自動化攻擊,AI將被攻擊者用于攻擊的各個階段。攻擊者可以利用?網(wǎng)絡(luò)攻擊將更加復(fù)雜和難以預(yù)測。隨著攻擊技術(shù)和工具的不斷發(fā)展,網(wǎng)絡(luò)攻擊將更加復(fù)雜和難以預(yù)測。攻擊者將隨著網(wǎng)絡(luò)安全威脅的日益嚴峻和攻擊面的不斷擴大,各國政府和行業(yè)組織都加大了對網(wǎng)絡(luò)安全的監(jiān)管力度,出臺了一系列安全合規(guī)要求和標準,強調(diào)了攻擊面管理的重要性,要求企業(yè)和組織應(yīng)識別和評估其所有攻擊面,并采取相應(yīng)的措施進行保護和監(jiān)控。攻擊面管理已經(jīng)成為網(wǎng)絡(luò)安全的重要組成部分,是企業(yè)和組織保障網(wǎng)絡(luò)安全、數(shù)據(jù)安全和業(yè)務(wù)安全的重在國際范圍內(nèi),盡管“攻擊面管理”這一概念并未在多數(shù)政策、法規(guī)和標準中以獨立名詞的形式明確提出,但許多國外的網(wǎng)絡(luò)安全法規(guī)、標準和指導(dǎo)原則已對與攻擊面管理密切相關(guān)的實踐(如資產(chǎn)識別、脆弱性管理、持續(xù)監(jiān)控、風險評估與處置等)提出了要求。這些政策和標準為組織構(gòu)建和完善攻擊面管理體系提供了監(jiān)管和合規(guī)層面的依據(jù)。以下是一些主?美國(U.S.)相關(guān)法規(guī)、政策與框架愿性框架,為識別、保護、檢測、響應(yīng)和恢復(fù)安全能力提供指導(dǎo)。其中資管理流程進行標準化。SP800-53中對持續(xù)監(jiān)控、資產(chǎn)配置管理、脆弱性評估的要求可輔助建立系統(tǒng)化的攻擊面√美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)相關(guān)指令。CISA發(fā)布的綁定√行政命令(EO14028)“提升國家網(wǎng)絡(luò)安全”。強調(diào)軟件√通用數(shù)據(jù)保護條例(GDPR)。盡管GDPR重點關(guān)注個人數(shù)據(jù)保護,但其對數(shù)據(jù)處理安全性的要求鼓洞管理、持續(xù)監(jiān)控及風險評估均有明確要求。尤其是ISO/IEC27002中細化了安全控制措施,√英國“網(wǎng)絡(luò)安全基礎(chǔ)認證(CyberEss√CIS控制(CISControls)。由國際非營利組織CenterforInternetSecurity發(fā)布的安全控制指南在最新版本中強√MITREATT&CK框架?!坦?yīng)鏈安全標準與法規(guī)(如美國EO14028中對軟件供應(yīng)鏈安全的強調(diào))。要求組織在供應(yīng)鏈層面做到資產(chǎn)和組領(lǐng)性文件,要求樹立正確的網(wǎng)絡(luò)安全觀,堅持積極防御、有效應(yīng)對,增強網(wǎng)絡(luò)安全防御能力和威懾能力,切實維?網(wǎng)絡(luò)安全相關(guān)法律?!吨腥A人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律推動了網(wǎng)絡(luò)安全風險防控的重視,要求企業(yè)不僅要保護關(guān)鍵信息基礎(chǔ)設(shè)施,還要保護個人信息和數(shù)據(jù)安全,減少因資產(chǎn)暴露面過大而帶來的安全風險。如《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條要求網(wǎng)絡(luò)運營者應(yīng)保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止營者應(yīng)及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風險。如《中華人民共和國數(shù)據(jù)安全法》要求數(shù)據(jù)處理者采取必要措施保障數(shù)據(jù)安全,防止數(shù)據(jù)泄露、篡改和破壞。如《中華人民共和國個人信息保護法》?《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》。該條例于2021年9月生效,要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者采取必要措施基礎(chǔ)設(shè)施的安全保護提出了明確要求,包括分析識別、安全防護、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置六個方面,提出應(yīng)提升關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)對網(wǎng)絡(luò)攻擊能力。如針對發(fā)生的網(wǎng)絡(luò)安全事件或發(fā)現(xiàn)的網(wǎng)絡(luò)安全威脅,提前或及時發(fā)出安全警示。建立威脅情報和信息共享機制,落實相關(guān)措施,提高主動發(fā)現(xiàn)攻擊能力。以應(yīng)對攻擊受惡意攻擊所造成的資源損害,能夠及時發(fā)現(xiàn)安全漏洞、發(fā)現(xiàn)、監(jiān)測攻擊行為和處置安全事件。節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為;應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析,實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析;當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊工業(yè)和信息化部、公安部等主管部門根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民保障數(shù)據(jù)安全進行了明確的要求,如第三十四條,行業(yè)監(jiān)管部門及其委托的數(shù)據(jù)安全評估機構(gòu)工作人員對在履行),展數(shù)據(jù)安全風險評估,重點評估以下內(nèi)容六)發(fā)生數(shù)據(jù)遭到篡改、破壞、泄露、丟失或者被非法獲取、非法?2024年10月29日,工業(yè)和信息化部印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案(試行)》,要求建全數(shù)據(jù)安全事件應(yīng)急組織體系和工作機制,提高數(shù)據(jù)安全事件綜合應(yīng)對能力,確保及時有效地控制、減輕和消除√GB/T30284《信息安全技術(shù)漏洞管理要求》:√GB/T29246《信息安全技術(shù)信息安全能力成熟度模型》:鼓勵√GB/T20988《信息安全技術(shù)網(wǎng)絡(luò)安全應(yīng)急處置(1)增強企業(yè)的風險可見性。隨著數(shù)字化轉(zhuǎn)型的深入,企業(yè)的數(shù)字資產(chǎn)分布變得更加廣泛和復(fù)雜,包括內(nèi)部網(wǎng)絡(luò)、云服務(wù)、移動設(shè)備等。攻擊面管理平臺能夠全面梳理這些資產(chǎn),幫助企業(yè)清晰了解自身的風險狀況,及時發(fā)現(xiàn)潛在的安全(2)滿足合規(guī)要求。在嚴格的法規(guī)環(huán)境下,企業(yè)需要確保其網(wǎng)絡(luò)安全措施符合相關(guān)法律法規(guī)。攻擊面管理平臺能夠(4)應(yīng)對數(shù)字化轉(zhuǎn)型帶來的挑戰(zhàn)。數(shù)字化轉(zhuǎn)型導(dǎo)致IT架構(gòu)重塑,大多數(shù)組織的(5)能力融合降本提效。將攻擊面管理需要的各類能力整合到一個平臺上,提升速度和準確性,減少頻繁切換安全(6)提升安全響應(yīng)速度。攻擊面管理平臺能夠迅速發(fā)出預(yù)警,并提供詳細的攻擊路徑和相關(guān)信息,協(xié)助企業(yè)能夠快(7)優(yōu)化安全資源配置。通過對攻擊面的評估和分析,企業(yè)可以明確安全工作的重點和優(yōu)先級,將有限的安全資源第二章攻擊面管理能力框架新一代攻擊面管理防護理念強調(diào)持續(xù)監(jiān)控、主動防御、風險導(dǎo)向和智能化。攻擊面管理能夠幫助企業(yè)提升資產(chǎn)管理效率與安全可見性、風險管理與安全控制、合規(guī)性保障與安全運營效率。企業(yè)應(yīng)明確攻擊面管理目標,構(gòu)建人員、流程和技術(shù)三方面的能力框架,并掌握新一代攻擊面管理關(guān)鍵技術(shù),如自動化工具和平臺、AI驅(qū)動的資產(chǎn)發(fā)現(xiàn)和漏洞識別、攻擊面2.1攻擊面管理發(fā)展歷程攻擊面管理的發(fā)展歷程體現(xiàn)了網(wǎng)絡(luò)安全防護理念的不斷演進過程,包括從被動響應(yīng)到主動防御,從靜態(tài)分析到動態(tài)分析,從孤立的安全產(chǎn)品到全面的安全解決方案。未來,攻擊面管理將繼續(xù)朝著更加智能化、自動化和一體化的方向發(fā)展,早期網(wǎng)絡(luò)安全防護以被動響應(yīng)為主,安全人員主要事件,并進行事件響應(yīng)。安全防護的重點是識別和響應(yīng)已知的攻擊,對未知威脅的防護能力不足。例如,早期的防火墻主隨著IT環(huán)境的日益復(fù)雜,企業(yè)開始重視資產(chǎn)的識別和管理,并使用漏洞掃描、配置檢查等工具來發(fā)現(xiàn)和評估資產(chǎn)的安全風險。安全防護的重點是識別和管理資產(chǎn),對攻擊路徑和攻擊面的分析還不夠深入。例如,企業(yè)開始使用漏洞掃描器企業(yè)開始從攻擊者的視角來審視自身的安全防御體系,并使用攻擊面管理工具來識別和評估暴露面風險。安全防護的重點是識別和管理暴露面風險,對內(nèi)部攻擊面和動態(tài)攻擊面的關(guān)注還不夠。例如,企業(yè)開始使用攻擊面管理平臺來識別和企業(yè)開始將攻擊面管理與實戰(zhàn)攻防相結(jié)合,使用入侵和攻擊模擬(BAS)等技術(shù)來驗證安全防御體系的有效性,并進行持續(xù)改進。安全防護的重點是主動地識別和管理2.2攻擊面管理概念的改變通過持續(xù)識別發(fā)現(xiàn)企業(yè)的攻擊面,并對整體攻擊風險進行收斂和驗證,實現(xiàn)有效控制攻擊風險的管理方法。攻擊面是指從攻擊者的視角開展網(wǎng)絡(luò)安全的風險管理,類型包括外部攻擊面管理(EASM)、網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)、數(shù)字風險保護服務(wù)(DRPS能力包括資產(chǎn)識別、攻擊面識別、攻擊面分析、收斂與驗證和持續(xù)監(jiān)2023年的攻擊面管理研究報告中,用戶則對攻擊面的概念理解并不充分,還存在很多問題與困惑;大部分廠商的攻經(jīng)過一年多的實踐,企業(yè)用戶對攻擊面的理解更加清晰,已經(jīng)能夠準確地了解攻擊面主動防御的概念,其應(yīng)用場景也開始貼合結(jié)合實戰(zhàn)需求而應(yīng)用落地。根據(jù)2024年安全牛用戶調(diào)研顯示,目前74.28%的用戶表示比較或非常了解攻擊面隨著用戶需求和理解的不斷深入,攻擊面管理的概念和內(nèi)涵在不斷豐富與演變,更加適應(yīng)當前的網(wǎng)絡(luò)安全威脅和技術(shù)?從關(guān)注外部攻擊面到關(guān)注內(nèi)部攻擊面。用戶?從資產(chǎn)梳理轉(zhuǎn)向資產(chǎn)治理優(yōu)化。用戶的資產(chǎn)數(shù)據(jù)已經(jīng)基本建立,用戶更加關(guān)注資產(chǎn)的質(zhì)量,例如資產(chǎn)的數(shù)據(jù)的資產(chǎn)重復(fù)、屬性等數(shù)據(jù)缺失、數(shù)據(jù)沖突等,并希望利用健全的一張圖作為基礎(chǔ),實現(xiàn)攻擊鏈路的可視化。根據(jù)安全牛調(diào)研數(shù)據(jù),77.14%的用戶希望攻擊面可以實現(xiàn)資產(chǎn)關(guān)聯(lián)分類,自動歸屬,重要性標簽,并資產(chǎn)全景圖。并且?從單點資產(chǎn)管理到全鏈路風險防護。用戶更加關(guān)注全鏈路風險防護,更加關(guān)注攻擊者可能利用的攻擊路徑和攻擊目標,進行跨設(shè)備的數(shù)據(jù)關(guān)聯(lián)分析,識別完整的攻擊鏈路。根據(jù)安全牛?從合規(guī)檢查到有效性驗證。隨著用戶安全建設(shè)能力的提高,用戶從合規(guī)檢查轉(zhuǎn)向安全有效性驗證,并且更關(guān)注檢?持續(xù)監(jiān)控。攻擊面管理需要持續(xù)監(jiān)控攻擊面的變化,例如新增資產(chǎn)、變更資產(chǎn)、退役資產(chǎn)、新的漏洞、新的攻擊隨著用戶對攻擊面管理的深入理解和應(yīng)用場景的不斷增加,其需求也在不斷增多。原有的攻擊面管理目標正轉(zhuǎn)化為以是這些數(shù)據(jù)普遍問題存在數(shù)據(jù)重復(fù)、缺失、沖突等問題,需要對不同資產(chǎn)設(shè)備進行對接、融合和核對,實現(xiàn)資產(chǎn)?驗證實戰(zhàn)化。攻擊面管理要更加貼近實戰(zhàn),能夠幫助用?自動化和智能化。攻擊面管理需要自動化和智能化的工具來提高效率和效果,例如自動化資產(chǎn)發(fā)現(xiàn)、自動化漏洞?產(chǎn)品服務(wù)化。攻擊面管理功能要能提供相應(yīng)的產(chǎn)品服務(wù)和專家服務(wù)的形式提供,用戶可以借助專家能力,以及便2.3攻擊面管理的能力框架攻擊面管理目標從之前主要針對IT資產(chǎn)和互聯(lián)網(wǎng)資產(chǎn)識別,轉(zhuǎn)變?yōu)檎w攻擊面的持續(xù)可視化,對攻擊面風險開展?!蚬裘婀芾沓晒Φ年P(guān)鍵因素:?資產(chǎn)數(shù)據(jù)和關(guān)聯(lián)要全和準。攻擊面管理的首要任務(wù)是全面、準確地識別和管理企業(yè)的所有資產(chǎn),需要攻擊面管理系統(tǒng)具備強大的資產(chǎn)發(fā)現(xiàn)能力,并準確識別資產(chǎn)的屬性信息,同時,攻擊面管理系統(tǒng)還需要能夠識別資產(chǎn)之間的?攻擊面需要“管理+技術(shù)”。攻擊面管理不僅僅是技術(shù)問題,也需?攻擊面需要安全與運維協(xié)同。攻擊面管理需要安全團隊和IT運維團隊的協(xié)同配合,才能有效地進行資產(chǎn)管理、?◎????◎??◎???◎?企業(yè)需要有一定的基礎(chǔ)設(shè)施基礎(chǔ)。攻擊面管理的實施需要企業(yè)具備一定的基礎(chǔ)設(shè)施基礎(chǔ),攻擊面管理系統(tǒng)需要能互聯(lián)網(wǎng)資產(chǎn)識別更全面。攻擊面管理應(yīng)能夠識別企業(yè)所有面向互聯(lián)網(wǎng)的資產(chǎn),包括組織架構(gòu)、域名、IP地址、子域名、SSL證書、Web應(yīng)用程序、API資產(chǎn)與業(yè)務(wù)關(guān)聯(lián)更清晰。攻擊面管理應(yīng)能夠?qū)①Y產(chǎn)與業(yè)務(wù)系統(tǒng)進行關(guān)聯(lián),例如識別某個Web應(yīng)用程序?qū)儆谀膫€全面覆蓋各種攻擊向量。攻擊面管理應(yīng)能夠識別所有可能的攻擊向量,包括漏洞、配置缺陷、弱口令、身份和訪攻擊面路徑圖。攻擊面管理應(yīng)能夠繪制攻擊面路徑圖,清晰地展示攻擊者可能利用的攻擊路徑,并評估攻擊成功風險可視化。攻擊面管理應(yīng)能夠?qū)︼L險進行可視化展示,例如通過攻擊路徑圖、風險熱力圖等方式展示風險,以?收斂攻擊面。攻擊面管理應(yīng)能夠采取措施降低風險暴露,例如漏洞修復(fù)、安全加固、訪問控制等,并能夠驗證安◎攻擊面管理能力之五“持續(xù)監(jiān)控”的特點:?持續(xù)驗證。攻擊面管理應(yīng)能夠持續(xù)驗證安?自動化。攻擊面管理應(yīng)能夠自動化執(zhí)行攻擊面收斂為了支撐新的攻擊面管理能力框架,攻擊面管理的關(guān)鍵技術(shù)涵蓋了資產(chǎn)識別、漏洞掃描、風險評估、持續(xù)威脅暴露管?被動掃描技術(shù)。通過監(jiān)聽網(wǎng)絡(luò)流量(例如ARP請求、DNS查詢等來識別網(wǎng)絡(luò)中的活動主機和開放端口,并識別主機的操作系統(tǒng)、服務(wù)類型等信息。例如,使用tcpdump工具監(jiān)聽網(wǎng)絡(luò)流量,可以分析流量中的主機信息?網(wǎng)絡(luò)空間測繪技術(shù)。通過對互聯(lián)網(wǎng)上的資產(chǎn)進行掃描和探測,例如IP地址、域名、網(wǎng)站等,來識別企業(yè)的外部資產(chǎn)和攻擊面。例如,使用Shodan搜索引擎搜索企業(yè)的IP地址和域名,可以發(fā)現(xiàn)企業(yè)暴露在互聯(lián)網(wǎng)上的資產(chǎn)?威脅情報技術(shù)。通過收集和分析各種威脅情報,例如漏洞信息、攻擊事件、惡意軟件等,來識別與企業(yè)資產(chǎn)相關(guān)的威脅信息。例如,訂閱威脅情報平臺的漏洞信息,可以及時了解最新的漏洞信息,并識別企業(yè)資產(chǎn)中受影響的?融合。采用數(shù)據(jù)融合技術(shù),將不同來源的資產(chǎn)數(shù)據(jù)進行融合,例如根據(jù)資產(chǎn)的唯一標識符進行融合,并解決數(shù)據(jù)?清洗。對采集到的數(shù)據(jù)進行清洗,例如去除重復(fù)數(shù)據(jù)、糾正錯誤數(shù)據(jù)等,例如知其安的攻擊面管理平臺,支持對?漏洞掃描。通過漏洞掃描工具對資產(chǎn)進行掃描,發(fā)現(xiàn)資產(chǎn)中存在的安全漏洞。例如,使用漏洞掃描器對服務(wù)器進?配置檢查。通過配置檢查工具對資產(chǎn)進行檢查,發(fā)現(xiàn)資產(chǎn)中存在的配置缺陷,例如,網(wǎng)絡(luò)設(shè)備中存在的弱口令、?敏感信息識別。通過敏感信息識別工具對資產(chǎn)進行掃描,發(fā)現(xiàn)資產(chǎn)中存在的敏感信息,例如機密文件、源代碼、?數(shù)據(jù)泄漏檢測。通過數(shù)據(jù)泄漏檢測工具對網(wǎng)絡(luò)流量進行監(jiān)控,關(guān)注文件的上傳、下載、郵件發(fā)送等,發(fā)現(xiàn)數(shù)據(jù)泄?暗網(wǎng)監(jiān)控。通過暗網(wǎng)監(jiān)控工具對暗網(wǎng)進行監(jiān)控,發(fā)現(xiàn)是否有企業(yè)敏感信息泄露到暗網(wǎng)。例如,使用暗網(wǎng)監(jiān)控工具?定量風險評估。使用數(shù)學(xué)模型對風險進行量化評估,例如計算風險發(fā)生的概率和損失。例如,使用CVSS評分模?基于風險的優(yōu)先級排序。對威脅暴露進行風險評估,并根據(jù)漏洞的CVSS評分、漏洞的利用難度、漏洞的實際業(yè)?多維度的安全驗證。使用多維度的安全驗證,例如漏洞掃描、配置檢查、滲透測試、入侵和攻擊模擬等,以驗證安全控制措施的有效性。例如模擬各種類型的攻擊,例如勒索軟件攻擊、APT攻擊、DD?自動化的安全響應(yīng)。開展自動化的安全響應(yīng),例如自動下發(fā)漏洞修復(fù)指令、自動加固安全配置等,以提高安全響?持續(xù)的改進。根據(jù)新的威脅和漏洞情報,持?基于圖論的攻擊路徑分析。將網(wǎng)絡(luò)拓撲結(jié)構(gòu)和資產(chǎn)之間的連接關(guān)系表示為圖,對網(wǎng)絡(luò)拓撲結(jié)構(gòu)進行自動發(fā)現(xiàn)和建模,并結(jié)合漏洞信息、威脅情報等信息,分析攻擊者可能利用的攻擊路徑,并評估攻擊成功的可能性。例如,使用攻擊路徑分析工具可以分析攻擊者從互聯(lián)網(wǎng)到企業(yè)內(nèi)網(wǎng)關(guān)健服務(wù)器的攻擊路徑,并識別攻擊路徑上的未打補丁?基于攻擊鏈的攻擊路徑分析。根據(jù)攻擊鏈模型,分析攻擊者可能采取的攻擊步驟,并識別每個步驟可能利用的漏?攻擊路徑可視化。將攻擊路徑分析的結(jié)果以圖形化的方式展示出來,例如攻擊路徑圖、攻擊樹等,以便于用戶理解和分析。例如,使用攻擊路徑圖可以清晰地展示攻擊者可能利用的攻擊路徑、攻擊路徑上的薄弱環(huán)節(jié),以及攻?模擬攻擊。模擬各種類型的攻擊,例如模擬攻擊者利用社會工程學(xué)手段獲取初始訪問權(quán)限、模擬攻擊者在內(nèi)網(wǎng)進?安全評估。對企業(yè)的整體安全狀況進行評估,并提供改進建議。例如,根據(jù)模擬攻擊的結(jié)果,評估企業(yè)安全防御第三章攻擊面管理應(yīng)用場景分析攻擊面管理的應(yīng)用場景非常廣泛,不同行業(yè)和規(guī)模的用戶對攻擊面管理的需求存在差異,攻擊面管理產(chǎn)品和服務(wù)需要針對用戶的實際需求進行交付,才能更好地滿足用戶的需求,幫助用戶提升安全防護能力,接下來我們將從不同的行業(yè)用金融行業(yè)經(jīng)常遭受網(wǎng)絡(luò)釣魚攻擊造成用戶信息泄露,遭受因系統(tǒng)漏洞攻擊而造成銀行系統(tǒng)中斷,遭受勒索軟件攻擊而造成◆攻擊面管理場景:◆攻擊面管理目標:政府行業(yè)是國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分,其安全關(guān)系到國家安全和社會穩(wěn)定。政府行業(yè)常擁有大量的關(guān)鍵信息基礎(chǔ)設(shè)施,例如政府網(wǎng)站、政務(wù)系統(tǒng)等。存儲和處理大量的敏感政府數(shù)據(jù),例如公民個人信息、政府機密文件等。面◆攻擊面管理場景:◆攻擊面管理目標:能源行業(yè)是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,其安全關(guān)系到國家能源安全和經(jīng)濟發(fā)展。能源行業(yè)擁有大量的關(guān)鍵信息基礎(chǔ)設(shè)施,例如電力系統(tǒng)、石油管道等。并且工業(yè)控制系統(tǒng)(ICS)和運維技術(shù)(OT)環(huán)境復(fù)雜,安全防護難度大。?!艄裘婀芾韴鼍埃骸艄裘婀芾砟繕耍横t(yī)療行業(yè)涉及大量的敏感醫(yī)療數(shù)據(jù),例如患者個人信息、病歷等,其安全和隱私保護至關(guān)重要。并且醫(yī)療設(shè)備和系統(tǒng)◆應(yīng)用攻擊面管理的場景:◆攻擊面管理目標:大型企業(yè)的資產(chǎn)數(shù)量眾多,類型多樣,包括傳統(tǒng)IT資產(chǎn)、云資產(chǎn)、物聯(lián)網(wǎng)設(shè)備、OT設(shè)備等,并且網(wǎng)絡(luò)環(huán)境復(fù)雜,包◆攻擊面管理場景:?全面識別和管理企業(yè)的攻擊面,包括所有類型的資產(chǎn)和網(wǎng)絡(luò)環(huán)境?對攻擊面進行精細化的風險評估,并根據(jù)風險評估結(jié)果進行優(yōu)先級排序?動化地執(zhí)行攻擊面收斂操作,例如自動化漏洞修復(fù)、自動化安全配置加固等◆攻擊面管理應(yīng)用建設(shè)◎第一階段:攻擊面可視化◆應(yīng)用攻擊面管理的場景:◆攻擊面管理目標:?建立統(tǒng)一的攻擊面視圖,全面◆關(guān)鍵點:◎第二階段:攻擊面風險管理◆應(yīng)用攻擊面管理的場景:◆攻擊面管理目標:◆關(guān)鍵點:◎第三階段:攻擊面持續(xù)監(jiān)控與優(yōu)化◆應(yīng)用攻擊面管理的場景:◆攻擊面管理目標:◆關(guān)鍵點:中型企業(yè)的資產(chǎn)數(shù)量適中,類型多樣,一般包括傳統(tǒng)IT資產(chǎn)、云資產(chǎn)等,但是網(wǎng)絡(luò)環(huán)境較為復(fù)雜,包括物理網(wǎng)絡(luò)、安全人員需要兼顧多種安全工作。由于安全防護能力相對薄弱,缺乏專業(yè)的安全管理工具和平臺,安全人員缺乏專業(yè)的安全知識和技能,中型企業(yè)容易成為攻擊者的目標??赡茉馐芾账鬈浖⑨烎~郵件等攻擊。并難以對攻擊面進行全面、有效◆應(yīng)用場景:◆攻擊面管理目標:◆關(guān)鍵點:小型企業(yè)的資產(chǎn)數(shù)量較少,類型相對單一,主要包括傳統(tǒng)IT資產(chǎn)和一些基礎(chǔ)的云服務(wù)。安全防護能力薄弱,通常只◆應(yīng)用場景:◆攻擊面管理目標:◆關(guān)鍵點:第四章攻擊面管理應(yīng)用實施方法4.1攻擊面管理實施原則在構(gòu)建攻擊面管理體系的過程中,企業(yè)需要遵循一些關(guān)鍵原則,才能確保攻擊面管理體系的有效性和可持續(xù)性。以下?風險導(dǎo)向原則。攻擊面管理應(yīng)以風險管理為核心,識別、評估和控制網(wǎng)絡(luò)安全風險。應(yīng)將有限的資源集中到高風?主動防御原則。攻擊面管理應(yīng)強調(diào)主動發(fā)現(xiàn)和防御,例如通過模擬攻擊、漏洞驗證、威脅情報等手段來識別和降?適應(yīng)性原則。應(yīng)根據(jù)企業(yè)的具體情況進行?智能化原則。應(yīng)積極探索人工智能(AI)技術(shù)在攻擊面管理中的應(yīng)用,例如自動化資產(chǎn)發(fā)現(xiàn)、智能化風險評估、?4.2攻擊面管理實施目標?針對高風險資產(chǎn)和漏洞,采取措施進行緩解和處置,例如漏洞修復(fù)?加強跨部門的溝通和協(xié)作,例如安全團隊、I?將攻擊面管理與其他安全技術(shù)和平臺進行集成,例如與漏洞管理、威脅情報、安全運營中心(S?持續(xù)監(jiān)控攻擊面的變化,例如新增資產(chǎn)、變更資產(chǎn)、退役資產(chǎn)、?對風險進行分析和優(yōu)先級排序,例如識別高風險資產(chǎn)?對風險進行可視化展示,例如通過攻擊路徑圖、?對安全事件進行響應(yīng)和處置,例如安全事件的?對安全事件進行溯源和分析,例如識別攻擊?構(gòu)建全面、持續(xù)、有效、主動、協(xié)同、自動化、智能化4.3攻擊面管理實施思路與方法構(gòu)建一個完善的攻擊面管理平臺架構(gòu),可以幫助企業(yè)有效地實施攻擊面管理,降低安全風險,提升安全防護能力。以◎主動發(fā)現(xiàn):配置掃描的IP地址范圍、端口范圍、協(xié)議等。◎被動發(fā)現(xiàn):配置網(wǎng)絡(luò)流量鏡像,將網(wǎng)絡(luò)設(shè)備的流量鏡像到攻擊面管理平臺。?例如,可以將核心交換機的流量鏡像到攻擊面管理平臺,以?集成現(xiàn)有安全產(chǎn)品數(shù)據(jù):集成現(xiàn)有安全產(chǎn)品數(shù)據(jù),融合處理形成資產(chǎn)清單?針對資產(chǎn)清單實現(xiàn)資產(chǎn)之間、資產(chǎn)與業(yè)務(wù)的◆關(guān)鍵點:?資產(chǎn)發(fā)現(xiàn)的全面性和準確性:應(yīng)盡可能地發(fā)現(xiàn)所有?資產(chǎn)數(shù)據(jù)的融合和清洗:對收集的資產(chǎn)數(shù)據(jù)進行融?資產(chǎn)分類和標記的合理性:根據(jù)企業(yè)的實際情況和安全需求,對資產(chǎn)進行合理的分類和標記,以便于后續(xù)的風險?資產(chǎn)管理的自動化和智能化:盡可能地自動化資產(chǎn)管理流程,例如自動化資產(chǎn)發(fā)現(xiàn)、自動化資產(chǎn)分類、自動化資攻擊面識別是指識別所有可能被攻擊者利用的攻擊向量,例如漏洞、配置缺陷、弱口令、身份和訪問管理缺陷等。攻◎配置檢查:對資產(chǎn)進行配置檢查,發(fā)現(xiàn)資產(chǎn)中存在的配置缺陷,例如弱口令、未授權(quán)訪問等。?對配置檢查結(jié)果進行分析和評?例如,可以使用漏洞掃描器對網(wǎng)絡(luò)設(shè)備進行配置檢查,發(fā)?對數(shù)字風險識別結(jié)果進行分析和評估,?例如,使用數(shù)據(jù)泄露監(jiān)測平臺監(jiān)控暗網(wǎng)◎第三方風險識別:通過收集和分析第三方的安全信息,識別和評估第三方風險,例如供應(yīng)鏈攻擊、合作伙伴安全?對第三方風險識別結(jié)果進行分析和評估,?例如,對供應(yīng)商進行安全評估,了解◆關(guān)鍵點:?識別方法的全面性和有效性:攻擊面識別應(yīng)采用多種方法,例如漏洞掃描、配置檢查、威脅情報分析等,并確保?識別結(jié)果的準確性和及時性:攻擊面識別應(yīng)盡可能準確識攻擊面風險分析是指對攻擊面進行風險評估,識別高風險資產(chǎn)和漏洞,并進行優(yōu)先級排序。風險分析是攻擊面管理的◎風險評估:對資產(chǎn)和漏洞進行風險評估,例如根據(jù)資產(chǎn)的重要性、漏洞的嚴重程度、威脅情報等因素進行評估,?例如,可以使用風險評估模型對服務(wù)器和漏洞進行風險評估,例如根據(jù)CVSS評分模型,評估服務(wù)器中存在的漏◎風險優(yōu)先級排序:根據(jù)風險評分、資產(chǎn)的重要性、業(yè)務(wù)影響等因素,對風險進行優(yōu)先級排序,以便于企業(yè)進行風?配置風險優(yōu)先級排序規(guī)則,例如根據(jù)風?例如,將風險評分較高的漏洞優(yōu)先進?例如,使用攻擊路徑圖展示攻擊者可能利用的攻擊路徑,使◆關(guān)鍵點:?風險評估的準確性和全面性:應(yīng)盡可能準確評估風險,并考慮各種因素,例如資產(chǎn)的重要性、漏洞的嚴重程度、?風險分析的科學(xué)性和有效性:應(yīng)采用科學(xué)的風險分析方法,例如定量分析、定性分析等,并能夠有效地識別高風?風險可視化的直觀性和易用性:風險可視化應(yīng)易于理解◆功能:◆關(guān)鍵點:?暴露面發(fā)現(xiàn)的全面性和準確性:應(yīng)盡可能地發(fā)現(xiàn)所有暴露?風險評估的準確性和及時性:應(yīng)盡?安全加固的有效性和及時性:應(yīng)采取有效的措施對暴露?監(jiān)控的實時性和全面性:應(yīng)實時監(jiān)控暴露面的變化,并攻擊面驗證應(yīng)驗證企業(yè)安全防御體系的有效性,例如通過模擬攻擊、滲透測試等方式,發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中存在的安全漏◆功能:?支持對攻擊面驗證結(jié)果進行分析和評估◆關(guān)鍵點:?驗證方法的科學(xué)性和有效性:應(yīng)采用科學(xué)的驗證方法,例如模擬攻擊、滲透測試、漏洞掃描等,并能夠有效地評?驗證結(jié)果的準確性和全面性:應(yīng)盡可能準確評估安全?驗證流程的自動化和智能化:盡可能地自動化驗監(jiān)控建設(shè)應(yīng)實時監(jiān)控企業(yè)的攻擊面信息,例如資產(chǎn)的變化情況、漏洞的變化情況、網(wǎng)絡(luò)流量的異常情況等,并及時發(fā)?實時采集和分析企業(yè)的攻擊面?支持自定義監(jiān)控指標和告警規(guī)則,例如可以根據(jù)企業(yè)的實際?提供監(jiān)控報表和趨勢分析,例如可以查看資產(chǎn)◆關(guān)鍵點:?監(jiān)控的全面性和實時性:應(yīng)盡可?監(jiān)控報表的直觀性和易用性:監(jiān)控報表應(yīng)易于理解和攻擊態(tài)勢感知應(yīng)實時感知企業(yè)的攻擊面態(tài)勢,例如當前面臨的威脅、攻擊者的活動軌跡、攻擊的影響范圍等,并提供?實時采集和分析企業(yè)的攻擊面信息,例如資產(chǎn)?關(guān)聯(lián)分析不同來源的數(shù)據(jù),例如將漏洞信息與資產(chǎn)信息進行?提供態(tài)勢分析報告和可視化展示,例◆關(guān)鍵點:?態(tài)勢感知的準確性和實時性:應(yīng)盡可能?態(tài)勢分析的科學(xué)性和有效性:應(yīng)采用科學(xué)的態(tài)勢分析方法,例如攻擊鏈分析、威脅情報分析等,并能夠有效地識?態(tài)勢展示的直觀性和易用性:態(tài)勢展示應(yīng)易于理解和4.4攻擊面管理應(yīng)用挑戰(zhàn)與建議組織在實施攻擊面管理時常面臨多方面挑戰(zhàn),包括對底層資產(chǎn)數(shù)據(jù)的準確收集與持續(xù)更新難題、不同安全工具與平臺之間數(shù)據(jù)孤島與整合困難、無法準確全面地識別攻擊面,以及攻擊面風險評價不準確等。針對這些問題,安全牛根據(jù)調(diào)研?資產(chǎn)風險運營vsSOC:資產(chǎn)風險運營是通過檢查來提前發(fā)現(xiàn)潛在的安全隱患,并及時采取措施進行管理。而?數(shù)據(jù)標準化:建立統(tǒng)一的資產(chǎn)數(shù)據(jù)標準,對不同來源的數(shù)據(jù)進行標準化處理,例如統(tǒng)一IP地址的格式、MAC地?數(shù)據(jù)融合:采用數(shù)據(jù)融合技術(shù),將不同來源的資產(chǎn)數(shù)據(jù)進行融合,例如根據(jù)資產(chǎn)的唯一標識符進行融合,并解決?數(shù)據(jù)質(zhì)量控制:對資產(chǎn)數(shù)據(jù)進行質(zhì)量控制,例如安全牛建議:造成的原因主要是攻擊面的復(fù)雜性和動態(tài)性,以及用戶對攻擊面缺乏了解等因素,導(dǎo)致攻擊面識別的準?加強安全意識培訓(xùn):加強對員工的安安全牛建議,造成的原因主要是風險評估的因素眾多、數(shù)據(jù)來源分散、分析方法復(fù)雜等因素,以及用戶缺乏風險評估?建立科學(xué)的風險評估模型:根據(jù)企業(yè)的實際情況和安全需求,建立科學(xué)的風險評估模型,并選擇合適的風險評估?采用威脅情報:采用威脅情報平臺,例如威脅情報平臺、安全運營中心(SOC)等,獲取最新的威脅情報,并用可以提供自動化發(fā)現(xiàn)和識別資產(chǎn)、自動化風險評估和驗證、智能化風險處置建議、自動化工單流轉(zhuǎn)和協(xié)作和可視第五章人工智能攻擊面應(yīng)對初探發(fā)起更復(fù)雜的攻擊,也可能自身存在安全漏洞和風險。人工智能技術(shù)的?預(yù)訓(xùn)練模型污染:攻擊者在預(yù)訓(xùn)練模型中注入惡意數(shù)據(jù)或代碼,導(dǎo)致模型在使用過程中出現(xiàn)錯誤或偏差,甚至被?依賴庫投毒:攻擊者在AI模型依賴的庫中注入惡意代碼,導(dǎo)致模型在調(diào)用庫時執(zhí)行惡意代碼。例如,攻擊者通例如,攻擊者可以向一個垃圾郵件過濾模型的訓(xùn)練數(shù)據(jù)中注入大量的正常郵件,導(dǎo)致模型將垃圾郵件識別為正常?對抗樣本攻擊:攻擊者通過對輸入數(shù)據(jù)進行微小的修改,生成對抗樣本,導(dǎo)致模型對對抗樣本的識別出現(xiàn)錯誤。攻擊者可以通過API訪問一個AI模型,并收集模型的輸入和輸出數(shù)據(jù),然后利用這些數(shù)據(jù)訓(xùn)練一個與目標模型?數(shù)據(jù)污染:攻擊者篡改或破壞AI系統(tǒng)的訓(xùn)練數(shù)據(jù)或推理數(shù)據(jù),導(dǎo)致模型的準確性和可靠性下降,甚至出現(xiàn)錯誤?提示詞注入:攻擊者向AI應(yīng)用的輸入框中注入惡意提示詞,導(dǎo)致應(yīng)用執(zhí)行惡意操作或泄露敏感信息。例如,攻?操作建議:選擇合適的對抗樣本生成技術(shù):根據(jù)模型的類型和應(yīng)用場景,選擇合適的對抗樣本生成技術(shù),例如?測試模型:使用生成的對抗樣本對模型進行測?分析測試結(jié)果:分析測試結(jié)果,識別模型的薄弱環(huán)節(jié),并采取相應(yīng)的措施進行改進,例如增加訓(xùn)練數(shù)據(jù)、改進模例如,針對圖像識別模型,可以使用FGSM方法生成別為長臂猿。通過測試模型在對抗樣本攻擊下的準確率,可以評估模型的魯棒性,并針對性地進行改進,例如使用對抗訓(xùn)?操作建議:最小化模型暴露:僅將必要的模型功能暴露給用戶,例如通過API接口提供模型訪問,而不是直接暴例如,對于一個在線翻譯模型,可以通過API接的用戶和權(quán)限。同時,可以對模型的代碼進行混淆,例如使用代碼混淆工具對代碼進行重命名、替換、插入等操作,增加?操作建議:制定審計計劃:制定詳細的模型安全審?選擇審計工具:選擇合適的模型安全審?分析審計結(jié)果:分析審計結(jié)果,識別模型例如,對一個推薦系統(tǒng)模型進行安全審計,可以使用靜態(tài)代碼分析工具掃描模型代碼,發(fā)現(xiàn)代碼中存在的安全漏洞,例如SQL注入漏洞、跨站腳本攻擊漏洞等。同時,可以使用動態(tài)測試工具模擬用戶行為,測試模?操作建議:身份驗證:對用戶進例如,對于AI模型的訓(xùn)練數(shù)據(jù),可以設(shè)置訪問權(quán)限,僅允許數(shù)據(jù)科學(xué)家和模型訓(xùn)練工程師訪問數(shù)據(jù)。同時,可以對?操作建議:識別敏感數(shù)據(jù):識?選擇脫敏方法:根據(jù)數(shù)據(jù)的類型和應(yīng)用場景,選?驗證:對脫敏后的數(shù)據(jù)進行驗證例如,對于包含用戶姓名、地址、電話號碼等個人信息的訓(xùn)練數(shù)據(jù),可以使用假名化技術(shù)對敏感信息進行替換,例如?操作建議:制定審計計劃:制定詳細的代碼安全審?選擇審計工具:選擇合適的代碼安全審?分析審計結(jié)果:分析審計結(jié)果,識別代碼例如,對一個AI驅(qū)動的聊天機器人應(yīng)用進行代碼安全審計,可以使用靜態(tài)代碼分析工具掃描應(yīng)用代碼,發(fā)現(xiàn)代碼中存在的安全漏洞,例如跨站腳本攻擊漏洞、SQL注入漏洞等。同時,可以使用動態(tài)測試工具模擬用戶行為,測試應(yīng)用是否?操作建議:選擇合適的漏洞掃描工具:根據(jù)應(yīng)用的類型和技術(shù)架構(gòu),選擇合適的漏洞掃描工具,例如Web漏洞?配置掃描規(guī)則:根據(jù)應(yīng)用的安全需求?分析掃描結(jié)果:分析掃描結(jié)果,識別應(yīng)用在的安全漏洞,例如跨站腳本攻擊漏洞、SQL注入漏洞等。同時,可以對應(yīng)用的A?操作建議:制定測試計劃:制定詳細的安全測?選擇測試方法:根據(jù)應(yīng)用的安全需求,選擇合適的安全?分析測試結(jié)果:分析測試結(jié)果,識別應(yīng)用例如,對一個AI驅(qū)動的自動駕駛系統(tǒng)進行安全測試,可以進行滲透測試,模擬攻擊者對系統(tǒng)進行攻擊,例如嘗試控制車輛的方向盤、剎車等,以發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞。同時,可以進行模糊測試,向系統(tǒng)發(fā)送大量的隨機數(shù)據(jù),測試例如,將AI模型訓(xùn)練服務(wù)器與企業(yè)內(nèi)網(wǎng)進行隔離,可以使用VLAN技術(shù)將服務(wù)器劃分到一個獨立的網(wǎng)絡(luò)區(qū)域,并通過防火墻限制對該區(qū)域的訪問權(quán)限。同時,可以部署入侵檢測系統(tǒng),監(jiān)控服務(wù)器的網(wǎng)絡(luò)流量,并及時發(fā)現(xiàn)異常情況,例如?操作建議:關(guān)閉不必要的端口和服務(wù)例如,對AI模型訓(xùn)練服務(wù)器進行攻擊面收斂,可以關(guān)閉服務(wù)器上不必要的端口,例如Telnet、FTP等。同時,可以?監(jiān)控安全事件:監(jiān)控服務(wù)器上的安全事件第六章攻擊面管理成功案例分析該銀行為落實有關(guān)安全規(guī)劃建設(shè)目標,進一步滿足監(jiān)管相關(guān)要求,提升資產(chǎn)安全管理水平,完善安全策略有效性驗證工作機制,增強互聯(lián)網(wǎng)安全監(jiān)測及處置質(zhì)效。擬開展信息安全管理體系建設(shè),建立統(tǒng)一安全管理中心,并開展持續(xù)安全風?資產(chǎn)管控難:缺乏互聯(lián)網(wǎng)資產(chǎn)暴露發(fā)現(xiàn)和管理手段,風險視角下現(xiàn)有科技資產(chǎn)的安全底賬覆蓋面不全,不能快速?漏洞管理復(fù)雜:沒有建立實時漏洞信息獲取和響應(yīng)機制,熱點漏洞與現(xiàn)有資產(chǎn)難以快速進行關(guān)聯(lián),未建立漏洞處?安全風險分散:不同工具和服務(wù)發(fā)現(xiàn)的安全風險、問題等分布在不同平臺,無法做到統(tǒng)一管理,導(dǎo)致安全風險難?知家底:建設(shè)內(nèi)外網(wǎng)IT資產(chǎn)、新媒體應(yīng)用服務(wù)、數(shù)字資產(chǎn)等多維度多數(shù)據(jù)來源的資產(chǎn)數(shù)據(jù)采集能力,建設(shè)安全?常態(tài)化:建立持續(xù)的威脅評估手段,結(jié)合情報和資產(chǎn)指紋對企業(yè)敏感服務(wù)、仿冒投毒、數(shù)據(jù)泄露、安全漏洞、配?重閉環(huán):打通統(tǒng)一安全管理平臺與工單平臺的流程對接,形成處置流程,并且對處置結(jié)果與持續(xù)監(jiān)測/復(fù)測結(jié)果?構(gòu)建統(tǒng)一的安全管理平臺,整?在運維管理區(qū)部署統(tǒng)一安全管理平臺,接入已有的漏洞掃描設(shè)備、被動流量設(shè)備,接入互聯(lián)網(wǎng)攻擊面服務(wù)數(shù)據(jù),接入行內(nèi)已有的第三方CMDB、OA數(shù)據(jù)、終端管控平臺數(shù)據(jù),以及云控制器和SIME管理平臺等,建立?通過適配器實現(xiàn)對本地多種數(shù)據(jù)來源的輕量化識別和有效利用,通過搭建反向代理,可以安全地獲取云端SaaS服務(wù)數(shù)據(jù);優(yōu)化現(xiàn)有風險管理流程,開展風險生命周期統(tǒng)一管理運營,實現(xiàn)風險問題流轉(zhuǎn)、轉(zhuǎn)派、驗證,以及不?統(tǒng)一的安全管理平臺:該項目中通過平臺整合了行內(nèi)多種安全數(shù)據(jù)和工具,并補充了安全策略有效性驗證環(huán)節(jié)工?攻擊面管理方法論:從攻擊者的視角來審視和管理企業(yè)的安全風險,指導(dǎo)安全運營人員聚焦關(guān)鍵風險,及時處置?安全運營機制:優(yōu)化行內(nèi)現(xiàn)有風險管理流程,建立了依托統(tǒng)一安全管理平臺的安全風險運營機制,實現(xiàn)了對安全?與現(xiàn)有安全產(chǎn)品的集成:將統(tǒng)一安全管理平臺與現(xiàn)有的安全產(chǎn)品進行集成,例如漏洞掃描設(shè)備、CMDB、終端管?攻擊視角管理方法提升風險管理水平:通過匯總CMDB、終端平臺、互聯(lián)網(wǎng)測繪平臺、漏洞掃描工?策略有效驗證提升安全防護能力:實現(xiàn)了多種維度實時風險發(fā)現(xiàn)的安全能力,快速響應(yīng)并處置潛結(jié)合業(yè)務(wù)現(xiàn)狀,配置合理的策略,形成風險優(yōu)先級修復(fù)的最優(yōu)解,以最低的修復(fù)成本,達到最優(yōu)的安全效果;對安全修復(fù)工作進行有效性驗證,確保修復(fù)工作達到預(yù)期;實現(xiàn)對數(shù)據(jù)資產(chǎn)泄露風險的監(jiān)控能力,提供關(guān)停和下架■安全牛評價:金融行業(yè)作為數(shù)字化轉(zhuǎn)型的先鋒,其IT架構(gòu)日趨復(fù)雜,混合云、移動應(yīng)用、開放API等新技術(shù)應(yīng)用廣泛,導(dǎo)致資產(chǎn)類型激增、邊界日益模糊,安全管理難度加大。同時,金融行業(yè)對數(shù)據(jù)安全和合規(guī)性要求極高,面臨的網(wǎng)絡(luò)攻擊也更加復(fù)雜和有針對性,任何安全漏洞和風險都可能導(dǎo)致嚴重的損失,例如資金損失、客戶信該方案的關(guān)鍵能力在于整合多種安全數(shù)據(jù)和工具,構(gòu)建統(tǒng)一的安全管理平臺,并采用攻擊面管理的思路,從攻擊者的方案的優(yōu)勢在于其針對性、創(chuàng)新性和可落地性。針對金融行業(yè)的需求和痛點,實現(xiàn)了對多維度資產(chǎn)的全面覆蓋、持續(xù)監(jiān)控和閉環(huán)管理,并從攻擊者的視角來審視和管理企業(yè)的安全風該案例為其他金融機構(gòu)提供了參考經(jīng)驗,特別是對于面臨類似挑戰(zhàn)的城商行和其他中小型金融機構(gòu),具有一定借鑒意某新能源汽車控股集團是全球汽車品牌組合價值排名前十的企業(yè)之一,致力于成為具有全球競爭力和影響力的智能電?用戶信息和車聯(lián)網(wǎng)敏感數(shù)據(jù)泄露風險高:新能源汽車行業(yè)擁有大量的用戶信息和車聯(lián)網(wǎng)敏感數(shù)據(jù),這些數(shù)據(jù)極易?影子資產(chǎn)缺乏納管能力:業(yè)務(wù)快速發(fā)展和擴張導(dǎo)致影子資產(chǎn)數(shù)量激增,安全團隊難以全面掌握和管理這些資產(chǎn),?業(yè)務(wù)資產(chǎn)上線變更頻繁,缺乏有效監(jiān)測手段:頻繁的業(yè)務(wù)上線和變更導(dǎo)致互聯(lián)網(wǎng)資產(chǎn)風險暴露面不斷變化,安全?新業(yè)態(tài)數(shù)字資產(chǎn)缺乏統(tǒng)一監(jiān)控和管理手段:小程序、API等新業(yè)態(tài)數(shù)字資產(chǎn)的興起,使得資產(chǎn)的數(shù)字化特征更加?安全漏洞情報預(yù)警能力不足:難以將漏洞情報與資產(chǎn)信息有效關(guān)聯(lián),無法快速定位受影響資產(chǎn),導(dǎo)致漏洞修復(fù)效?下屬機構(gòu)的風險難以綜合掌控:下屬機構(gòu)眾多,安全管理水平參差不齊,集團難以全面掌控其安全風險,存在安?資產(chǎn)碎片化嚴重,安全運營缺乏統(tǒng)一平臺:多種安全工具和運維工具并存,導(dǎo)致資產(chǎn)數(shù)據(jù)碎片化嚴重,安全運營?主動資產(chǎn)發(fā)現(xiàn)和模糊關(guān)聯(lián):平臺利用主動掃描和模糊關(guān)聯(lián)技術(shù),全面識別集團及其子公司的互聯(lián)網(wǎng)資產(chǎn),并進行?影子資產(chǎn)監(jiān)測:通過關(guān)鍵字特征和關(guān)鍵圖案識別,平臺能夠?數(shù)據(jù)下架服務(wù):魔方安全針對真實的敏感泄露事件提供數(shù)據(jù)下架服務(wù),實現(xiàn)敏感信息泄露事件全生命周期的閉環(huán)?漏洞通報預(yù)警:通過微信群等?全網(wǎng)資產(chǎn)安全運營中心:平臺作為全網(wǎng)資產(chǎn)安全運營中心,通過掃描探針、流量探針和資產(chǎn)適配器,快速對接第?資產(chǎn)數(shù)據(jù)匯總和提純:平臺利用關(guān)聯(lián)清洗算法,實現(xiàn)全網(wǎng)資產(chǎn)信息的匯總和提純,并打通業(yè)務(wù)屬性與管理屬性,?資產(chǎn)標簽化管理:平臺自動對資產(chǎn)來源進行標簽化管理,有效對比分析第三方產(chǎn)品部署覆蓋度情況,洞察安全管?全面的資產(chǎn)發(fā)現(xiàn)能力:CSM平臺能夠發(fā)現(xiàn)各種類型的資產(chǎn),包括傳統(tǒng)IT資產(chǎn)、影子資產(chǎn)和新業(yè)態(tài)數(shù)字資產(chǎn),有?可視化的安全態(tài)勢感知:平臺提供直觀的可視化界面,幫助安全團隊快速了解資產(chǎn)安全態(tài)勢,及時發(fā)現(xiàn)和應(yīng)對安風險控制,有助于企業(yè)自動發(fā)現(xiàn)全部的網(wǎng)絡(luò)IT資產(chǎn),梳理暴露面,形成完整、及時更新的資產(chǎn)數(shù)據(jù)庫;網(wǎng)絡(luò)空間資?業(yè)務(wù)特征指紋,識別資產(chǎn)濫用行為,強化公司規(guī)范和要求?全網(wǎng)范圍排查影子資產(chǎn),讓企業(yè)對■安全牛評價:新能源汽車行業(yè)作為新興產(chǎn)業(yè),其業(yè)務(wù)模式和IT架構(gòu)都處于快速發(fā)展和變化之中,安全防護體系建設(shè)通常滯后于業(yè)務(wù)發(fā)展,面臨著數(shù)據(jù)泄露、供應(yīng)鏈攻擊、勒索軟件攻擊等多種安全威脅。同時,新能源汽車行業(yè)涉及大量的敏感數(shù)據(jù),例如用戶信息、車聯(lián)網(wǎng)數(shù)據(jù)等,一旦發(fā)生數(shù)據(jù)泄露事件,將會對企業(yè)造成巨大的全運營,實現(xiàn)對攻擊面的持續(xù)監(jiān)控和及時響應(yīng)。方案的優(yōu)勢在于針對新能源汽車行業(yè)的特殊需求和痛點,實現(xiàn)了對多維度資產(chǎn)的全面覆蓋、持續(xù)監(jiān)控和閉環(huán)管理,覆蓋了EASM和CAASM兩種場 某科技集團企業(yè)是一家綜合解決方案服務(wù)提供商,涉及軟件開發(fā)、系統(tǒng)運維和系統(tǒng)集成等領(lǐng)域,擁有30余家全資控股公司。該集團主要為金融、運營商和政府客戶提供綜合解決方案,具有一定行業(yè)影響力。近期接監(jiān)管單位通知,其備案網(wǎng)站被篡改為不良網(wǎng)站,且公共存儲空間中存在大量敏感信息。該事件引起了內(nèi)部高層的高度關(guān)注,迫切需要采取措施以?敏感數(shù)據(jù)保護:公共存儲空間中敏感信息的泄?合規(guī)性問題:金融和政府客戶對數(shù)據(jù)安全有嚴格要求?數(shù)據(jù)安全工作未落實:集團早已推行數(shù)據(jù)安全管理,但是見效慢,如何快速讓數(shù)據(jù)安全見效利用亞信安全星海·外部攻擊面管理平臺,每月針對其自身互聯(lián)網(wǎng)資產(chǎn)及數(shù)據(jù)泄露情況進行持續(xù)探測。?暴露面梳理:基于亞信安全外部攻擊面管理服務(wù),對主機類資產(chǎn)、web類資產(chǎn)、公眾號、小程序等暴?針對于互聯(lián)網(wǎng)暴露資產(chǎn)發(fā)現(xiàn):未授權(quán)訪問、測試資產(chǎn)暴露、弱口令、釣魚仿冒、影子資產(chǎn)等大量資產(chǎn)風險?針對于數(shù)據(jù)泄露情況,在網(wǎng)盤、文庫、代碼托管平臺發(fā)現(xiàn)大量項目信息?數(shù)據(jù)閉環(huán)治理:針對于異常數(shù)據(jù),提供數(shù)據(jù)下架服務(wù),完成數(shù)據(jù)閉環(huán)治理?降本增效,高效高質(zhì):降低人工成本,通過自動化能力,摸清家底,發(fā)現(xiàn)風險,持續(xù)提升運營效率■安全牛評價:亞信安全的外部攻擊面管理解決方案通過自動化風險評估和專家驗證相結(jié)合的方式,不僅能夠幫助企業(yè)識別和管理互 降低人工成本,提高資產(chǎn)摸排及滲透測試效率。該案例為其他科技服務(wù)企業(yè)提供了參考經(jīng)驗,特別是對于面臨類似挑戰(zhàn)的險較高。隨著數(shù)字化轉(zhuǎn)型的深入,該金融公司面臨日益嚴峻的網(wǎng)絡(luò)安全挑戰(zhàn)。尤其是在近年來,外部攻擊面不斷擴大,高?影子資產(chǎn)管理難:由于機構(gòu)眾多,歷史遺留問題突出,存在大量未納入管理的“影子資產(chǎn)”,難以全面掌握資產(chǎn)?合規(guī)壓力大:金融行業(yè)監(jiān)管嚴格,需要滿足各種安全合規(guī)要求,例如“兩高一弱”、勒索軟件防護等,但由于缺?人員安全意識薄弱:員工安全意識不足,容易遭受釣魚攻擊等社會工程學(xué)攻擊,尤其是在當前地緣政治風險加劇?供應(yīng)商安全風險管理難:對供應(yīng)商的安全評估和管理不足,難以有效識別和控制供應(yīng)鏈安全風險,容易遭受來自◎項目目標:?建立全面的外部攻擊面管理體系,?項目需求:?項目實施內(nèi)容:?聯(lián)合ASBAS評估組織整體防護能力、防釣魚意識水平聯(lián)動攻鑒系統(tǒng),評估邊界安全設(shè)備的防護能力,并對泄露?監(jiān)控供應(yīng)商風險情報,即時預(yù)警供應(yīng)商風險通過覓影平臺評估供應(yīng)商風險評分,輸出風險評估報告,用于供應(yīng)商?信息泄露多渠道監(jiān)控,提供下架閉環(huán)服務(wù)針對泄露在公開文庫、網(wǎng)盤、代碼倉庫的文件/文件夾,提供從平臺下安全團隊通過內(nèi)置“兩高一弱、弱口令、勒索專項”合規(guī)模板,可以快速掃描,快速確定影響面并生成專業(yè)報告。也安全團隊根據(jù)覓影平臺提供的泄露郵箱下發(fā)釣魚郵件,評估泄露郵箱的人員安全意識水平,針對性開展防釣魚培訓(xùn)及歐盟的《網(wǎng)絡(luò)彈性法案》要求供應(yīng)商主動披露漏洞,但僅要求供應(yīng)商向監(jiān)管單位披露漏洞需要在24小時內(nèi),但是要■安全牛評價:業(yè)在安全防護方面面臨巨大壓力。尤其是在“影子資產(chǎn)”管理、安全合規(guī)檢查、人員安全意識提升、邊界安全防護能力評估和供應(yīng)商安全風險控制等方面,傳統(tǒng)安全手段和工具難以有效應(yīng)對,亟需有效的解決方案來解決這些痛點。方案的優(yōu)勢助金融機構(gòu)有效提升安全防護能力和安全運營效率,具有較強的創(chuàng)新性和先進性。該案例對其他行業(yè),特別是同樣面臨嚴第七章國內(nèi)外攻擊面管理技術(shù)研究國外技術(shù)發(fā)展較為成熟,產(chǎn)品功能完善,部分產(chǎn)品已融入AI技術(shù)并支持云原生環(huán)境。國內(nèi)技術(shù)發(fā)展較晚,但近年來發(fā)展迅速,市場規(guī)模不斷擴大,產(chǎn)品不斷涌現(xiàn),并與云安全、零信任架構(gòu)等技術(shù)融合發(fā)展。國內(nèi)企業(yè)在攻擊面管理產(chǎn)品應(yīng)7.1國外攻擊面管理技術(shù)現(xiàn)狀近年來,隨著云計算、移動辦公、物聯(lián)網(wǎng)等新技術(shù)的廣泛應(yīng)用,企業(yè)攻擊面迅速擴張,傳統(tǒng)的邊界安全防御手段已不足以應(yīng)對日益復(fù)雜的安全挑戰(zhàn)。國外攻擊面管理技術(shù)在這一背景下不斷發(fā)展演進,以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)。主要過去,攻擊面管理主要關(guān)注外部攻擊面,即面向互聯(lián)網(wǎng)的資產(chǎn)和服務(wù)。例如,外部攻擊面管理(EASM)工具主要用于發(fā)現(xiàn)未知的外部資產(chǎn)、評估其風險敞口并提供修復(fù)建議。然而,隨著企業(yè)IT架構(gòu)日益復(fù)雜,內(nèi)部攻擊面的安全問題也日益凸顯。因此,攻擊面管理正從外部轉(zhuǎn)向全面,擴展到內(nèi)部攻擊面、云攻擊面、物聯(lián)網(wǎng)攻擊面等,涵蓋了企業(yè)所有的數(shù)字評估和威脅情報功能來識別和評估風險。Tenable的Nessus和SecurityC早期的攻擊面管理主要依賴于靜態(tài)分析,例如漏洞掃描、配置檢查等,例如定期對服務(wù)器進行漏洞掃描,檢查系統(tǒng)配置是否符合安全基線等。由于高級持續(xù)性威脅(APT)攻擊的增多,攻擊技術(shù)和手法不斷更新,靜態(tài)分析方法難以發(fā)現(xiàn)動例如攻擊路徑分析、入侵和攻擊模擬等,以便更全面地識別和評估風險,例如模擬攻擊者對企業(yè)網(wǎng)絡(luò)進行攻擊,并分析攻例如,Randori的攻擊面管理平臺可以模擬攻擊者的行為,對企業(yè)網(wǎng)絡(luò)進行攻擊模擬,并評估攻擊成功的可能性,從傳統(tǒng)的攻擊面管理通常是一個靜態(tài)的過程,而持續(xù)威脅暴露管理(CTEM)則強調(diào)持續(xù)監(jiān)控和管理攻擊面,CTEM是一個循環(huán)的過程,包括五個階段:范圍界定、發(fā)現(xiàn)、優(yōu)先級排序、驗證和行動,CTEM的目標是幫助組織持續(xù)改進其安全早期的攻擊面管理是孤立的,與其他安全產(chǎn)品和流程缺乏聯(lián)動,例如攻擊面管理平臺與SOC、SIEM等平臺之間的數(shù)7.2國內(nèi)攻擊面管理技術(shù)現(xiàn)狀攻擊面管理正在經(jīng)歷從外部到內(nèi)外兼顧、從單點產(chǎn)品到平臺化解決方案、從通用場景到行業(yè)深耕的轉(zhuǎn)變。同時,網(wǎng)絡(luò)資產(chǎn)管理更加重視數(shù)據(jù)治理和準確性,外部攻擊面管理也更加注重數(shù)據(jù)的準確性和漏洞發(fā)現(xiàn)能力。此外,攻擊面管理的驅(qū)動力也從合規(guī)驅(qū)動轉(zhuǎn)向驗證驅(qū)動,更加注重安全體系的有效性驗證。最終,攻擊面管理的核心理念正在從以資產(chǎn)為中心轉(zhuǎn)早期的攻擊面管理主要關(guān)注外部攻擊面,即暴露在互聯(lián)網(wǎng)上的資產(chǎn)和漏洞。由于越來越多的攻擊者利用內(nèi)網(wǎng)漏洞和弱點進行攻擊,用戶意識到內(nèi)網(wǎng)資產(chǎn)通常比外網(wǎng)資產(chǎn)更加敏感,一旦被攻擊,造成的損失更加嚴重。攻擊面管理從關(guān)注互聯(lián)例如,綠盟提供的CTEM解決方案,融合內(nèi)外部數(shù)據(jù)對整體攻擊面進行統(tǒng)一管理,亞信安全和知道創(chuàng)宇計劃未來將攻擊模擬等其他安全產(chǎn)品進行集成,實現(xiàn)對風險的全面管理,未來還將提供實時監(jiān)測和預(yù)警功能,幫助用戶進行持續(xù)的安為用戶提供一站式的攻擊面管理解決方案。知其安網(wǎng)絡(luò)攻擊面管理平臺將融合后的資產(chǎn)數(shù)據(jù)輸出給其他安全平臺進行安全網(wǎng)絡(luò)資產(chǎn)管理CAASM的資產(chǎn)可以通過各種設(shè)備獲取到較多的數(shù)據(jù),但是數(shù)據(jù)存在數(shù)據(jù)缺失、資大部分廠商的產(chǎn)品都可以實現(xiàn)全面地發(fā)現(xiàn)企業(yè)未知的影子資產(chǎn)、泄露數(shù)據(jù)等。主要差異化現(xiàn)在表現(xiàn)為外部資產(chǎn)的準確例如,亞信安全采用重復(fù)核對,保證互聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)的準確性;綠盟和亞信提供幾小時內(nèi)的快速下架服務(wù),方便用戶攻擊面風險運營是指以攻擊者視角,持續(xù)識別、評估和管理企業(yè)網(wǎng)絡(luò)暴露面的風險,并通過有效手段降低安全風險,提升安全防護水平。主要驅(qū)動是安全威脅態(tài)勢的嚴峻性、網(wǎng)絡(luò)暴露面的不斷擴大、合規(guī)壓力的增加等。攻擊面風險運營平臺通過融合EASM、CAASM,并集成其他多種安全產(chǎn)品,例如漏洞掃描器、威脅情報平臺、攻擊模擬工具、安全運營中心并與其他安全技術(shù)進行更深度的融合。為客戶提供持續(xù)的泛資產(chǎn)識別、威脅評估和有效性驗證、可落地的威脅管理機制、全局視角的運營度量和安全態(tài)勢的攻擊早期的企業(yè)主要是開展合規(guī)建設(shè),攻擊面管理產(chǎn)品主要是面對滿足合規(guī)要求的資產(chǎn)梳理和合規(guī)檢查。隨著國家對網(wǎng)絡(luò)安全的重視程度提升,攻擊演練頻繁,攻擊手段和攻擊目標不斷變化,企業(yè)的安全需要轉(zhuǎn)變?yōu)橐詫崙?zhàn)對抗為目標,更加注隨著全球供應(yīng)鏈的復(fù)雜性增加,廠商開始重視廠商供應(yīng)鏈的安全性和穩(wěn)定性,有助于確保供應(yīng)鏈的透明度和安全性,同時提高供應(yīng)鏈的韌性和響應(yīng)能力,以應(yīng)對潛在的供應(yīng)鏈打擊。目前主要應(yīng)例如,知道創(chuàng)宇通過利用情報監(jiān)控技術(shù),對廠商供應(yīng)鏈進行實時監(jiān)控,以預(yù)防和應(yīng)對供應(yīng)鏈中的安全威脅。矢安科技7.3國內(nèi)外攻擊面管理技術(shù)差距分析國內(nèi)攻擊面管理技術(shù)與國外相比,在產(chǎn)品成熟度、功能完善性和智能化程度方面存在一定差距。國內(nèi)廠商的產(chǎn)品在自動化、智能化、攻擊路徑分析和入侵模擬等方面還有待提升。建議國內(nèi)用戶選擇攻擊面管理產(chǎn)品時,優(yōu)先考慮功能完善、Randori等,其攻擊面管理產(chǎn)品功能完善,能夠提供全面的攻擊面管理能力。國內(nèi)廠商的攻擊面管理產(chǎn)品在功能和性能方(2)產(chǎn)品功能完善度:相比國外,國內(nèi)攻擊面管理產(chǎn)品功能相對單一,部分產(chǎn)品的功能還不夠完善。例如,國外廠商的攻擊面管理產(chǎn)品大多能夠提供更精確的攻擊路徑分析和入侵模擬功能,例如,Randori的攻擊面管理平臺可以模擬攻擊者的行為,對企業(yè)網(wǎng)絡(luò)進行攻擊模擬,并評估攻擊成功的可能性,從而識別高風險資產(chǎn)和漏洞。而國內(nèi)廠商的攻擊面管(3)智能化程度:國外攻擊面管理產(chǎn)品在AI技術(shù)深度還有待提升。例如,CrowdStrike的7.4國內(nèi)攻擊面管理未來發(fā)展趨勢安全牛預(yù)測,未來的攻擊面管理將更加自動化、智能化、云原生化,并與企業(yè)的安全運營和業(yè)務(wù)風險管理流程更緊密自動化和人工智能(AI)的深入應(yīng)用。隨著AI人工智能技術(shù)和自動化技術(shù)的發(fā)展,自動化和人工智能應(yīng)用將在自動化基于風險的攻擊面管理。攻擊面管理將從單純的資產(chǎn)發(fā)現(xiàn)和枚舉,轉(zhuǎn)變?yōu)榛陲L險的管理,更加關(guān)注對業(yè)務(wù)造成實際影響的風險。攻擊面管理工具將提供更精細的風險量化功能,幫助企業(yè)評估不同攻擊路徑的風險等級,并制定相應(yīng)的緩解主動式攻擊面管理。攻擊面管理工具將提供攻擊全路徑模擬功能,幫助安全團隊識別潛在供應(yīng)商安全受到關(guān)注。隨著全球供應(yīng)鏈的復(fù)雜性增加,供應(yīng)鏈攻擊日益增多,給企業(yè)帶來巨大風,未來供應(yīng)鏈安全將云原生攻擊面管理興起。隨著云計算的普及,云原生攻擊面管理技術(shù)應(yīng)運而生,將更好地支持云原生環(huán)境,例如,提第八章攻擊面管理廠商推薦選擇合適的攻擊面管理產(chǎn)品需要考慮市場表現(xiàn)、產(chǎn)品技術(shù)能力、技術(shù)創(chuàng)新能力、運營管理能力和服務(wù)與支持能力等關(guān)鍵指標。本報告推薦了十家具有代表性的廠商,并詳細介紹了它們的產(chǎn)品特點、優(yōu)勢和推薦理由,為企業(yè)選擇合適的解決報告從品牌影響力、市場表現(xiàn)、產(chǎn)品技術(shù)能力、產(chǎn)品創(chuàng)新能力、管理與服務(wù)五大能力維度,對當前國內(nèi)新一代攻擊面北京華順信安信息技術(shù)有限公司(以下簡稱“華順信安”)成立于2015年,北京華順信安科技有限公司是一家以網(wǎng)◆典型產(chǎn)品介紹?明見·FORadar,互聯(lián)網(wǎng)資產(chǎn)攻疑似資產(chǎn)、威脅資產(chǎn)、資產(chǎn)漏洞、數(shù)據(jù)泄露等問題,挖掘客戶暴露在互聯(lián)網(wǎng)側(cè)的未知資產(chǎn),以攻擊者視角洞悉資?FOBrain,網(wǎng)絡(luò)資產(chǎn)攻擊面管理平臺,以攻擊者視角聚焦企業(yè)網(wǎng)絡(luò)空間資產(chǎn),幫助客戶全面掌握資產(chǎn)動態(tài)、洞察資產(chǎn)風險,以攻促防,從攻防實戰(zhàn)的角度審視安全防御體系,梳理企業(yè)的攻擊面,構(gòu)建實戰(zhàn)化、一體化的攻擊面◆推薦理由◆適合場景北京華云安信息技術(shù)有限公司(以下簡稱“華云安”)成立于2019年,致力于構(gòu)建人工智能驅(qū)動的下一代網(wǎng)絡(luò)安全防御體系,構(gòu)建面向未來的智能化防御整體解決方案。自成立以來,陸續(xù)發(fā)布了靈洞·網(wǎng)絡(luò)資產(chǎn)攻擊面管理系統(tǒng)(Ai.Vul)、靈刃·智能滲透與攻擊模擬系統(tǒng)(Ai.Bot)、及靈知·互聯(lián)網(wǎng)情報監(jiān)測預(yù)警中心(Ai.Radar)等核心產(chǎn)品;2023年,公司繼續(xù)深化安全驗證產(chǎn)品與服務(wù)體系,構(gòu)建了包括攻擊面管

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論