云计算的快速应用和远程办公方式的兴起,使得现有的联网架构出现更多安全盲点,企业组织的网络攻击面迅速扩大。然而大多数企业组织跟踪相关安全变化、清点数字化资产的能力却难以跟上其发展需要。在此情况下,攻击面管理(Attack Surface Management,简称“ASM”)技术应运而生,并且受到行业用户广泛关注。
为了更好地了解攻击面管理技术的发展态势和应用价值,总结攻击面管理技术的建设应用经验,发现当前有代表性的攻击面管理技术及解决方案,安全牛以第十版《网络安全行业全景图》中“攻击面管理”细分领域收录数据为基础,进一步开展了《攻击面管理技术应用指南》报告研究工作。2023年12月22日,报告正式发布。
本次报告中,安全牛分析师通过问卷调查、企业访谈、用户评价等形式,综合调研了21家国内提供攻击面管理相关技术产品和服务的供应商,覆盖EASM、CAASM以及DPRS等典型攻击面管理技术类型,并从品牌影响力、市场应用、技术先进性、产品可用性和服务支持能力5大维度,评估收录了目前领域中的10家代表性国内厂商(见下表),并对其产品应用特点进行了总结分析。
报告关键发现
攻击面管理并不是一个新的技术,而是将多种已有安全技术融合在一起,聚焦于攻击风险管理的思路和解决方案,需遵循以风险策略为中心、业务驱动、持续可见、自动化和平台集成等原则建设应用;
研究发现,目前国内主流攻击面管理方案在资产发现、漏洞管理方面技术成熟度较高,但是在风险优先级判断、供应链安全、多场景适应、数据挖掘深度等方面有待进一步提升,也是未来企业选型攻击面管理方案时应重点关注的因素;
安全牛认为,攻击面管理并不适合所有类型的企业采购应用。企业在不同的安全建设阶段,应有不同的关注重点,并采取不同的风险管理方法。只有在企业完成基础性安全合规建设,进入持续检验安全防护措施和运营策略的有效性时,对攻击面管理的需求才会显著体现;
做好攻击面管理对企业本身的安全运营能力有较高要求,需要持续监测网络环境变化与新出现的风险,攻击面管理的过程和结果应该能够被安全管理人员和决策者清晰地全面地看到和理解,以便及时调整和优化攻击面管理的策略和方案;
目前,国内攻击面管理市场处于快速增长的阶段,2022年我国攻击面管理市场规模约为4.6亿元(产品+服务),预计到2026年,攻击面管理的市场规模将超过为14.5亿元,复合年增长率约为28%,增长原因主要包括网络安全环境复杂严峻、合规要求更加严格、实战化攻防演练需求等。
攻击面管理能力建设
在国标《GB T 20984-2022 信息安全技术信息安全风险评估规范》中,描述了信息安全风险评估的要素包括资产、脆弱性、威胁和安全措施,基本要素之间的关系是威胁利用资产存在的脆弱性导致风险,该标准能够帮助企业有效开展信息安全风险评估工作,同时也可以作为攻击面管理能力建设的参考。
参考上述标准,安全牛建议,企业在开展攻击面管理核心能力建设时,应该重点关注资产识别、攻击面识别、风险分析、收敛和验证以及持续监控能力。
图:攻击面管理核心能力和建设关键点
01
资产发现能力
资产发现能力是指通过发现、存储和管理企业内外部各类资产,全面掌握企业网络资产情况。资产识别是攻击面管理的基础,只有全面了解网络中所有的资产,才能更好地进行攻击面管理。
02
攻击面识别能力
攻击面识别能力是指识别可能被攻击者利用的漏洞、错误配置、弱口令,或者可能发生的数字风险,以及第三方引发的风险,只有发现真实的攻击面风险,才能有效地进行控制。
03
攻击面分析能力
攻击面分析能力是攻击面管理的核心能力之一,攻击面分析技术应收集并利用威胁情报,分析并确定攻击面的优先级。
04
攻击面收敛与验证能力
攻击面收敛就是通过减少攻击面和潜在攻击路径,确保能够满足企业的安全需求的安全性的方法。攻击面验证则是评估攻击面收敛后安全控制的有效性,促使闭环流程管理,及时调整措施,确保安全措施的有效性。
05
持续监控能力
持续监控能力是指对网络中的所有资产和攻击面进行实时监测,持续监控是攻击面管理的重要环节之一,包括资产和攻击面的整体可视化,到异常情况的发现和告警,这些环节都需要结合具体的业务需求和安全策略进行设计和实施。
攻击面管理技术实现
攻击面管理并不是一个新的技术,它是将多种已有安全技术融合在一起,聚焦于攻击风险管理的思路和方法。构建攻击面管理的技术框架包括基础环境、基础数据、中台能力、ASM应用,这些基础技术共同支撑了ASM的CAASM、EASM和DRPS的应用领域,与人员、平台以及管理服务一起实现了攻击面管理的网络安全管理、安全合规、攻击面收敛等场景的应用。
图:攻击面管理建设框架
根据攻击面管理的能力建设要求,其方案中需要具备的关健技术主要包括资产识别技术、攻击面识别技术、风险分析技术、威胁情报、攻击面收敛策略和验证技术、以及自动化和人工智能等技术,可以帮助企业实现提升网络安全风险管理和控制水平。
攻击面管理实施挑战与建议
调研发现,在攻击面管理方案的建设过程中,企业用户经常会遇到项目复杂度高、风险分析不准确、资产发现难度大、攻击类型难分析、集成部署困难等实施问题,具体包括:
挑战一、组织不同部门之间会存在数据孤岛多、陈旧设备多、安全人员不足等情况,造成了攻击面管理项目的实施场景复杂、实施成本高。
安全牛建议:提前做好全面需求分析,在此基础上进行一体化的架构设计,搭建统一平台,实现系统和设备自动采集,融合归一,提高效率,解决部门数据孤岛;同时,积极利用服务商提供的大模型专家知识库,提高风险识别的能力。
挑战二、攻击面风险分析结果不准确。大部分企业用户没有明确的风险评级标准或评级指标,无法对风险级别进行准确的设定,导致攻击面风险分析结果不准确,需要安全专家人工进行分析。
安全牛建议:首先,企业应该基于组织的实际业务环境,结合行业最佳实践、合规要求,制定风险评估标准和指标;其次,企业应该与服务商共同设定产品风险指标,并根据实施的结果和经验,逐步进行优化和调整;第三、可以通过攻击路径模拟,实现攻击风险的真实度量,并根据度量值对风险进行准确排序。
挑战三、数据挖掘深度不够。攻击面的攻击路径和手段复杂多变,实际场景存在多种网络环境,但现在的安全产品对复杂攻击路径还存在解析能力不足、关联分析能力不足等问题,进攻路径动态变化也会增加风险分析的难度。
安全牛建议:第一、选择升级为具有人工智能和机器学习的新一代安全分析工具,自动识别新的攻击模式,预测可能的攻击路径,以及进行大规模的数据分析,帮助提升产品对复杂攻击路径的解析和关联分析能力;第二、可以采用威胁情报服务,获取更多关于攻击手段和攻击路径的信息,从而提供更有针对性的防御措施。
挑战四、适应场景较少,对于物联网、工业互联网、视频app等新媒体的环境很难进行攻击面的识别。
安全牛建议:针对新的环境或平台需要新的威胁模型,同时根据威胁模型调整安全策略,如在物联网设备上部署安全控制,可利用人工智能和机器学习技术分析网络流量,识别可能的安全威胁。
挑战五、对第三方服务商的供应链攻击面安全管控能力较弱。供应链攻击面安全是指保护供应链中的所有环节,以防止对供应链的完整性、认证、保密性和可用性产生威胁。
安全牛建议:首先,建立详细的供应链清单或地图,制定白名单。对白名单供应商开展严格的安全审查,并进行合同条款管理;同时,利用供应商威胁情报,感知供应商风险威胁,如安全事件、硬件或软件的篡改,信息的泄露或篡改,以及服务的中断等可能的威胁。
挑战六、现有攻击面管理解决方案在与第三方安全工具的集成协同方面,普遍会存在问题。
安全牛建议:用户在选择攻击面管理方案时考虑与现有设备和系统的兼容性和集成性,优先选择已经预集成或使用标准化API接口的产品。
国内代表性厂商分析
本次报告从品牌影响力、市场应用、技术先进性、产品可用性和服务支持能力5大维度,对当前市场上实际能够提供攻击面管理方案和服务的国内安全厂商进行了评估分析,并收录其中具有较高应用代表性的10家厂商(排名不分先后,按首字母序排列)。
华顺信安
华云安
绿盟科技
魔方安全
奇安信
矢安科技
360数字安全
天融信
亚信安全
知道创宇
目前,《攻击面管理技术应用指南》报告已经在安全牛商城上架,获取完整版本报告,请点击识别下方二维码:
相关阅读