在上篇的资产采集中讲过,资产需要进行多系统采集和归并,漏洞其实也是需要采取同样的方式进行处理,这主要是因为国内比较大型单位在购置安全设备的时候较为分散,甚至为了异构的考虑而购置不同品牌的产品。同样是扫描器,有通用基于软件版本的扫描器,也有基于PoC的专精扫描器,不同厂家也有各自敝帚自珍的漏洞库数据,加上标准的CVE漏洞,因而对于归集众多扫描器的资产漏洞安全管理平台来说,漏洞的归集与标准化也是一个重要的内容。
资产管理方式的演进
我们都知道,以往资产管理更多的是为了漏洞扫描。经过十几年的验证,仅进行漏洞扫描和漏洞通报,并不能够真正解决安全的基础薄弱点加固的问题,核心原因是漏扫工作只能阶段性开展,一般都是以月度、季度开展,因而对脆弱性的发现与加固难以及时完成;另外受限于漏扫的扫描速度和安全性,重要系统是难以进行扫描的,更重要的是上级检查、通报会从资产和漏洞两个层面开展,仅仅只是漏扫现在只能成为漏洞检测的开端。
在漏扫的基础之上,基于PoC的漏洞检测模式已经逐步替代传统的漏扫成为主流。PoC进行精准的漏洞检测并且通过返回信息判定漏洞真实存在,将大幅减少以往人工验证漏洞的工作量,使漏洞扫描、漏洞通报、加固、复核能够系统自动完成,才使漏洞加固工作切实有效起来。
然而仅只是利用扫描器,针对全范围的资产开展扫描工作,工作量其实也是比较大的。如果利用情报匹配的方式将漏洞情报快速匹配影响资产范围,进行后续的精准验证和加固,实现快速通报、快速匹配、精准扫描、快速加固的应对漏洞专项通报预警工作。
漏洞修复的前提是对资产进行全面探测和识别,而内外部资产所采取的扫描方式、扫描探针、任务频率也需要不同,尤其是外部(指互联网)资产需要资产单位进行确权方可进行探测和识别。因而资产集中管理,在资产库的基础之上进一步的开展漏洞和合规扫描,既合法合规,又具有较好的实操意义。
企业资产安全管理的价值
资产安全管理已经成为当下越来越被认可的是基础能力,不仅需要全量掌握资产数据,区分内外部资产,并且还需要对于内外有关联的资产可以做到归一。金融单位特别多对外发布的资产,因而金融单位希望通过一套系统能快速的将外部的资产与内部的资产进行绑定,从而当发现暴露资产存在风险的时候能够迅速定位到内部资产,进而针对内部资产对应的运维人员下发整改通报,完成复核后就可以完成漏洞从检测到加固的闭环。
同样的,在一些政府或者重点的单位,同一台机器需要区分业务和管理,因为在进行资产扫描或者资产数据提取时,需要将业务和管理进行归一,从而在进行漏洞或者合规通报时仅通知一次即可,而不是因为有2个IP通知两次。
网络资产攻击面管理平台(CAASM)的核心价值就是完整资产库、完整信息库、风险探测与加固。
完整资产库在采集篇中介绍了很多,核心就是将资产纳管起来,特别是梳理清楚单位到底有多少资产,以及对外部的暴露面资产进行完整描绘,可以有效杜绝僵尸资产、违规上线资产,尤其是对于外包服务的单位的私搭乱建能够进行有效的管理,甚至对于供应链单位的资产数据也能纳入管辖范围,最大化的确保安全保护的外延。
有了资产库,就要发挥资产的价值,因而资产的全量信息就显得尤其重要,特别资产属于内外资产、对应的业务、责任人、位置、重要性等等信息,可以为态势感知系统提供详细的资产价值信息,态势感知的告警不再是简单的被攻击IP地址,更是包含了重要性、业务,甚至可以针对多个告警中的资产进行关联,甚至以攻击链的视角更深入的分析告警。
有了资产库、信息库,就可以针对资产开展深入的风险探查和合规检查了,自查资产的漏洞是网络资产攻击面管理领域中最直接的安全防护措施,找出自身薄弱点,进行必要的安全加固,从而达到事前的安全能力提升的价值。
黑客入侵的两大法宝就是钓鱼+漏洞利用,不断加强安全意识教育,提升全员的安全防护意识,可以有效防止被钓鱼;而漏洞利用则需要我们以攻击者的视角,重点加固和监控的就是暴露面的资产和漏洞。我们都知道,利用0DAY的攻击代价是非常大的,因而目前重点加固和防护的主要是易被利用的威胁级别高的1DAY漏洞,这也是资产安全管理平台结合PoC扫描探针进行漏洞集中管控的意义。俗话说“工欲善其事必先利其器”,善事是果,是我们要达到的事前提升防护门槛的果,而利器则是我们平时磨的刀,只有不断的磨刀,才能在真正起事时心不慌,防护起来有条不紊。
插播
灵洞.网络资产攻击面管理平台 Ai.Vul
灵洞.网络资产攻击面管理平台 Ai.Vul提供云上、云下全视角的数字资产盘点、暴露面检测、攻击面验证和实时的响应处置,实现完善的攻击面管理(ASM),针对高价值风险进行精准处置。
产品功能
• 数字资产盘点
突破传统的资产发现模式,采用 API 接口集成 CMDB、ITSM、EDR、主动扫描、被动探测和EASM平台未知资产数据,全方面获取企业内外部的主机资产、云资产和其他数字资产。
• 暴露面检测
通过集成资产盘点、弱点扫描、威胁情报等数据,通过多维度风险分析,打通资产与弱点、情报、响应间的关系,分析弱点可能产生的风险情况,帮助企业识别完整的资产暴露面。
• 攻击面验证
集成外部攻击面管理(EASM)平台数据,基于红队视角,通过多维度的自动化安全测试,沉浸式模拟攻击与利用,发现更深层的安全风险,并以攻击者视角绘制完整的资产攻击面。
• 响应处置
利用自动化技术对安全风险进行全生命周期的监控和运营。结合自动化编排,整合不断扩展的安全能力,实现攻击面的有效检测、分析研判、响应处置和持续监控。
产品特性
数字资产安全监控
多维度发现并监控企业数字资产及业务,消除被遗忘的资产和影子资产风险,全方位感知企业完整攻击面。
外部攻击面监测
发现暴露在外的安全风险及威胁,基于攻击者视角提炼高关联、高价值的攻击面情报数据,及时预警。
自动化安全测试
采取人工智能和自动化的手段自动化检测企业内外部攻击面,并进行企业安全防御体系的有效性测试,自动化验证外部攻击和内部威胁的攻击链路及影响。
风险优先级模型
融合威胁情报、资产管理、弱点管理等多种安全能力,结合漏洞优先级算法,计算最易被攻击风险点,明确风险响应优先级。
客户收益
1 最小化攻击面 3 缩短响应时间
2 降低未知风险 4 降低管理成本