一、前言

2021年8月17日,国务院正式发布《关键信息基础设施安全保护条例》(以下简称“条例”),明确了关键基础设施(以下简称关基)的范围、保护措施以及相关惩罚措施,旨在保护关键基础设施的安全。Gartner在2021年7月14日发布《2021安全运营技术成熟度曲线》,其中提到了两个新兴技术:网络资产攻击面管理(Cyber assetattack surface management,CAASM)和外部攻击面管理(External Attack Surface Management,EASM),旨在让安全团队可以对暴露资产以及攻击面进行管理。暴露资产都是一直是安全行业关注的重点问题,接下来本文将从技术和制度两方面,介绍网络空间暴露资产管理的一些思路。

二、关键信息基础设施安全保护条例

近年来,网络空间军备竞赛愈演愈烈,关键信息基础设施遭受网络攻击的安全事件也越发频繁。许多国家都将关键基础设施立法作为网络安全立法中的重中之重,并作为网络安全战略的核心内容。

早在2017年施行的《中华人民共和国网络安全法》第三章第二节就已经提及了关键信息基础设施运行安全,国家再次单独颁布关基保护《条例》,可见对其重视程度。接下来,从安全从业者关注视角,将《条例》介绍的内容进行的简单梳理,如主要包括四个方面:关基认定、安全运营、保障促进和奖惩措施。

图1. 《条例》提到的安全运营要点概述

2.1关基范围认定

各个国家的关基根据国情具体范围有所差异,如下图:

图2.各个国家关基认定范围(图片来源于网络)

我国的《条例》从草案到正式发布,关基的认定范围越来越明确,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。相较于网络安全法,《条例》中描述的关基范围新增了国防科技工业领域,值得重视。后半段的“以及”的描述相当于给关基范围认定定义了评判标准。此外,有关部门还需要对本行业本领域,因行制宜的对关基设施认定范围进行评判。

2.2关基安全运营体系

《条例》全篇提到“运营者”一词共28次,再次强调安全运营在关基设施保护中的重要性,其次关基安全产品应主要考虑运营者实际需求,安全运营能力建设有所倾向。这部分首先明确了关基防护中的各部门职责划分,以及安全防护与建设同步进行等。除了上层有关部门的工作职责和制度外,《条例》对具体的安全运营体系建设也有指导意义。

1.建立网络安全信息共享机制

考虑到网络空间资产和攻击的数据复杂性,单一组织或厂商不可能做到面面俱到,安全信息共享是必然。安全能力建设需要在自己核心领域发力下钻,是共享机制建立的前提。

2.建立网络安全监测预警制度

建立网络安全监测预警制度,及时掌握关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患。

3.建立网络安全事件应急预案

关基安全事件的舆情监控也是运营能力建设需要关注的重点,及时发现安全网络上新出现的安全事件,对暴露出来的安全问题进行及时跟进并治理,通过对安全事件产生原因进行技术分析,并扩展治理其他可能存在此类问题的资产服务。

4.安全产品和服务安全审查

对于安全设备和服务的安全审查,一方面是从供应链安全的角度关注安全运营中的问题,其次网络安全设备的暴露情况和自身安全问题需要优先关注并解决。

通过对《关键信息基础设施安全保护条例》梳理之后,不难发现对网络空间其他关键资产(物联网、工业互联网等)同样适用,但无论做哪种类型的资产,范围进行认定并识别是后续安全研究的前提,所以该《条例》中提及安全运营路线对网络空间资产相关研究有指导意义。

三、攻击面管理——新兴的安全运营技术

近年来,社会数字化转型持续进行中,十四五规划后更是突飞猛进。导致网络空间资产组成也随之发生变化。随着IoT、5G、云原生等技术发展,未来将会有更多的新兴资产和服务出现,因此信息安全研究人员需要实现一种智能的、业务驱动的决策机制,决定选择合适安全技术来管理企业资产安全风险。

2021年7月14日,Gartner发布的《2021安全运营技术成熟度曲线》提到了两种新兴技术,来进一步解决网络空间暴露资产的安全问题。分别是CAASM(网络资产攻击面管理)和EASM(外部攻击面管理)。

图3.2021安全运营技术成熟度曲线

从安全运营技术成熟度曲线可以看出,CAASM和EASM都处于启动期,这两种技术刚刚诞生,还是在概念阶段,但是引起了外界的广泛关注。下面就简单介绍下这两种新兴的安全运营技术。

3.1网络资产攻击面管理(CAASM)

3.1.1 CAASM介绍

网络资产攻击面管理一项新兴技术,旨在帮助安全团队解决的持续出现的资产和漏洞的挑战。相比于传统的攻击面管理,CAASM对有限的资产防护列表进行扩展,关注于整个企业的终端设备、服务器、移动设备以及应用程序等方面的资产管理(内网和公网)。使用多种资产数据API取代传统手动收集资产信息和繁琐的流程来管理资产信息。建立企业统一的资产库,管理员可以通过查询外部攻击面管理(EASM)和终端检测(EDR) 等资产管理工具的覆盖面。此外,CAASM能够支持查询功能来检查资产数据,并为漏洞修复提供支撑能力。

3.1.2 CAASM能力

  • 资产监控

对企业或者组织拥有的所有资产发现识别,以了解企业资产暴露面和攻击面。

  • 评估报告

通过对企业的暴露资产和脆弱性进行梳理,快速生成安全合规性报告。

  • 可视化

将已经收全部资产信息梳理并自动化整合到规范化视图中,较少人工参与。

  • 多源数据融合

绘制整个企业内多个团队的合并资产视图,如企业技术产品部门、漏洞管理团队和IT管理员等,他们可以从这个视图中查询到自己关心的信息。

  • 供应链安全管理

产品业务人员并不关心他们使用软件的安全性,所以信息管理部门需要对缺乏管理、控制的第三方应用程序等Shadow IT[1]服务信息的获取,对安全性进行评估。

3.2外部攻击面管理(EASM)

3.2.1 EASM介绍

CAASM是企业资产综合管理平台,而EASM是它的子模块,主要负责企业暴露资产的攻击面管理。EASM是指为发现面向互联网的企业资产和系统以及相关漏洞而部署的流程、技术和托管服务。例如:服务器、凭据、公共云服务错误配置以及可能被攻击者利用的第三方软件代码漏洞。

攻击者们想尽可能用最快的方式达到攻击的目的,目标已经不仅放在企业的网页和邮件等服务了。比如:VPN、公有云服务、第三方供应链产品和服务以及物联网设备等等。如果能突破任何一个地方,既可实现入侵的横向移动。况且企业的系统随着技术和业务的拓展,其资产信息也断的在变化,对外公开的系统的脆弱性当然也随之发生变化。所以必须经常掌握对企业暴露的资产情况,优先于攻击者发现其自身脆弱性,并且对修复进度情况跟踪,这样才可以减少受到攻击者攻击的可能性。

EASM应用场景:

  • IT、OT、IoT等数字资产发现

  • 资产脆弱性与修复管理

  • 云上资产发现和风险管理

  • 企业远程办公服务管理

  • 企业敏感数据泄露监测

  • 第三方供应链资产管理

  • 子公司与并购公司的资产管理

上述场景属于企业安全防护的关键领域,EASM在这些场景中发挥安全防护作用,可帮助安全管理者了解本企业资产在互联网上的暴露面,以及给出减少暴露面的策略。

3.2.2 EASM能力

EASM能力建设的思路与CAASM有很多相似之处,具体的能力如下:

  • 资产可视化

获取外部攻击面的实时视图,实时查看新资产。

  • 第三方供应链与子公司管理

查看完整 IT 生态系统,与业务相关的子公司、附属公司和供应链供应商。

  • 漏洞修复

使用内置功能简化修复。激活设置,通过集成将数据推送到工作流程中,执行资产删除等。

  • 修复跟踪

资产受到持续监控,可以轻松验证修复状态并了解情况。

  • 数据共享

将发现的资产安全风险自动分配给指定管理人员,共享数据以及导出报告。

  • 自定义告警

可自定义风险严重性逻辑以匹配用户风险偏好。可通过自定义告警的类型和频率减少人工投入。

我们都知道无论是“资产管理”和“脆弱性管理”都是安全圈的老面孔了,那为什么CASSM和EASM被称作是一种新兴技术呢?只是因为其名字中增加了“网络空间”和“外部”这样的修饰词么?显然不是这样的。有两点原因:其一:资产和漏洞管理虽然是昨天的问题,但是我们确实做得还不够好;其二:技术和业务的推进导致的资产动态变更以及“Shadow IT”带来的安全风险目前并没有很好的解决办法。随着IT环境的变化、攻防博弈日益“内卷”,将安全防御完全交给安全产品的时代即将结束,所以才有了CASSM和EASM。

四、资产攻击面识别运营思路

上文从政策和技术层面对资产攻击面管理进行了浅析,从中我们不难总结出对网络空间资产攻击面管理需要关注要。关于资产暴露面识别的运营思路我在2021年ISC网络空间测绘论坛上分享的《网络空间资产全量识别》议题已经做了介绍,提出了网络空间资产“动、全、恒”运营思路已经都覆盖到了。

  • 关键资产动态标记(动)

资产识别是个进行时问题,已经不再仅仅是传统的资产指纹方面的研究,而是需要一种动态识标记模式。首先对持续新出现的资产领域进行扩展标记,其次对资产的变更情况进行跟踪,还需对无效或不再暴露的资产指纹进行老化。资产变化与新出现的资产标记见我们上一篇文章《资产地址动态变化研究》(见往期回顾),其中的一些思路和方法也得到了行业友商的“认可”。

  • 暴露面全量识别(全)

资产的暴露面已经不仅限于传统的IT资产类型,更多的是对新兴资产和Shadow IT等未知的资产暴露面进行尽可能全量的识别。这样就需要从测绘数据本身出发,通过机器学习算法和人工专家知识相结合的方式来识别资产暴露面,一方面让识别求全的目标变得可能,另一方面即使没有任何先验知识,同样可以对未知暴露面发现。具体的模型和方法可以参考我们之前《物联网资产标记》系列文章。

  • 暴露面智慧运营(恒)

从测绘基础设施到关键资产发现,再到暴露面脆弱性评估,每一个环节都在持续的变化更新中,传统的“现用现做”的模式已经不能满足安全需求,需要建立动态流式的处理模式,所以智慧安全运营是有必要的。“动”是为了更好的做到“全”,而“恒”是二者实现的保障。只有做好暴露面智慧运营,我们才有可能优先于攻击者发现网络空间的脆弱性,进一步降低企业防守成本。当然因为篇幅原因,暴露面智能运营体系的方法、指标、流程以及相关的服务平台,我们会在后续的文章中做介绍。

五、总结

本文从制度和技术两个层面介绍资产攻击面管理的近况,首先对关基《条例》中提及的资产防护相关要求进行梳理,接着又介绍了Gartner提到的CAASM和EASM两种资产攻击面管理技术,并且聊了聊一种资产攻击面管理运营的解决思路。最后,就算技术和制度层面的即使我们做得再好,也不能解决全部的安全问题,因为还有更高阶的文化层面。攻防对抗,最终还是人与人之间的博弈,博弈过程中才催生了技术和制度的产生和进步,这就会使得两者都有一定的滞后性。所以想要更好的解决攻击面管理相关安全问题,还需要考虑攻防双方“人”的文化属性,也就是对“人”的测绘。

注释:[1] Shadow IT服务是Gartner的分析师Simon Mingay在一份研究报告中提出的。一般指的是一个部门或个人使用与IT相关的硬件或软件,而不了解企业内的IT或安全情况。现实情况中,一般企业中的企业员工依赖未经IT部门批准的软件;业务部门绕过IT部门,利用云上的应用程序高效快速的完成自己的工作。这些都可以称为“ShadowIT”。

参考链接

  1. http://www.cac.gov.cn/2017-07/11/c_1121294220.htm

  2. https://www.secrss.com/articles/33631

  3. https://www.cyfirma.com/jp/blogs/what_is_easm/

  4. Gartner《2021安全运营技术成熟度曲线》Hype Cycle for Security Operations, 2021

  5. 网络空间测绘专题——资产地址动态变化研究

声明:本文来自绿盟科技研究通讯,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。