11月10日,由中国电信集团网络和信息安全管理部、天翼安全科技有限公司主办,中国通信企业协会协办的“2023数字安全论坛”在广州举行。论坛以“数字安全,智享未来”为主题,长亭科技联合创始人兼首席安全研究员杨坤应邀参会,以“面向实战的资产风险管理实践”为题发表演讲,与行业伙伴共享网络安全防护实践经验,共商数字科技发展新愿景。
杨坤在演讲中指出,在业务持续信息化和数字化的推进下,风险呈现动态增加,如何有效治理资产风险成为了广大企业需要面对的挑战。攻击行为整体从外向内呈线性特点,都会经历互联网边界突破,以及内网横向移动的过程。”长亭科技基于多年攻防经验,从边界突破和内网渗透方面,统计了近些年来攻击利用手法,发现边界突破中,50%以上来自三无七边资产、影子资产,而内网渗透中,绝大多数利用的还是已知漏洞。已知风险未被有效治理,加之攻击技术不断升级,导致越来越多的漏洞曝光。
面对动态产生的风险,企业单位唯有持续安全运营,才能做好持续收敛。风险无法彻底消除,绝对安全亦不存在,但持续检测和收敛暴露面,持续识别和整改风险,则能缩短风险暴露时间窗口,为企业赢得宝贵的处置时间。
与此同时,虽然大量单位都建立了持续风险评估机制,但依然存在投入成本高,评估效果差,运转周期长的问题。据了解,95%企业每年只能做1-4次暴露面梳理或风险评估,因此风险暴露时间至少在3个月以上,而且每次评估人力物力投入至少在10万以上。究其原因,这主要是由小工具式作业、混合架构、新架构缺乏方案、资产量大导致的。在这种情况下,部分企业不得不面对“运营人员数量不断堆砌,效果难以提升”“漏洞推修成本越来越高,不得不降低预期,只追求合规”“实战中外网容易突破,内网随意穿梭”的困境。
从攻击者视角出发
构建统一的资产风险运营管理平台
长亭科技基于丰富的实战攻防经验,锚定两个关键点,“攻击者视角”和“统一运营平台”,提出从攻击者视角出发,构建统一的资产风险运营管理平台,并在多家单位落地实践。
第一个关键点是攻击者视角。在互联网暴露面风险治理层面,长亭专家团队积累了一套全自动资产发现平台——云图(Cloud Atlas)暴露面管理运营平台。该平台用于暴露面持续发现,能够增大攻击全局可见性,提升边界突破成功率,快速识别暴露面与风险。平台已帮助某运营商单位开展持续暴露面运营治理实战。
该解决方案可以核心总结为一个制度、一个平台和一个流程。其中制度定义了暴露基准,什么该暴露什么不该暴露;平台负责7x24持续监控;一旦发现偏离,通过自动化运营处置闭环流程去推动收敛闭环,这样使得暴露面风险能够得到持续的、快速的治理。
第二个关键点是统一运营平台。面对异构资产、多分支机构的资产,企业应当构建统一的风险评估和运营管理平台,实现一体化的漏洞扫描和风险评估,在处置方面,要和工单流程系统打通,实现自动化运营闭环流转,减少人工参与度。
在内网方面,长亭基于洞鉴(X-Ray)资产风险运营管理平台,在国有大行落地了面向千万级资产的风险管理平台,在总行落地了一套集中管理平台,在全国几十个分行一共500个区域部署探针,同时兼顾一朵私有云,实现了全量资产统一扫描。
在这个案例中,长亭协助客户打通了银行自身的工单流程,实现了漏洞自动化推修、自动复测,形成高效运转的闭环,最终以1个管理员+1个运营专家组成的运营人员组合,实现了千万级资产每个月可完整评估一次并完成整改、每月发现与修复高危漏洞量高达几千个的运营管理效果。
长亭持续调动自身核心技术优势,以安服专家团队力量与基于免费版xray扫描工具建立的万人白帽社区进一步驱动安全能力自生长,将指纹、PoC等服务中积累的攻防知识回流到知识库中,不断打磨产品的核心安全能力,持续优化资产风险运营管理解决方案。
作为一家精于实战化攻防的网络信息安全公司新锐,长亭科技不断驱动安全能力自生长,基于实战推进自动化能力演进,当前已服务包括中国银行、安信证券、中国平安内的千余家来自金融、通信、政企、能源等重要行业的企业级客户,其产品与服务所涉及的算法及核心技术均领先行业前沿标准,核心产品包揽Gartner、Forrester、IDC全球三大权威咨询机构大满贯认可,屡获业内殊荣。未来,长亭科技将继续秉持硬核技术导向,深化安全防护实战化、自动化能力演进,为企业带来更迅速、更精准、更智能的安全防护解决方案。