实战 | 外部攻击面管理:从被动防御到主动出击
2024-1-19 17:57:36 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

文 | 广发银行 刘远欢 李晓真 高领云

网络空间已成为继陆、海、空、天之外的第五主权空间,网络安全已上升至国家战略的高度,和国家安全深度绑定。维护网络安全成为事关经济发展、社会稳定、国家安全和人民群众合法权益的重大课题。随着科技与金融的深度融合发展,各行业服务不再受制于时空局限的同时网络安全风险敞口也在进一步加大,面临着日趋严峻的网络安全攻击形势。近年来,国家和政府对网络安全重视程度越来越高,习近平总书记在2016年4月19日网络安全和信息化工作座谈会上发表的重要讲话中就指出,要“摸清家底,认清风险,找出漏洞”。监管机构近年也在不断加大互联网资产与风险监管力度,要求加强对互联网暴露资产与风险的摸排与自查。

互联网资产面临的挑战不断

随着新技术的不断发展,机构内外部关联服务的不断增加,互联网资产的数量规模、种类已经越来越庞大,互联网资产暴露面难以控制,企业内部互联网资产底数往往难以统计;而业务和网络环境愈加复杂、变化愈加迅速,漏洞风险普遍存在,漏洞利用更呈武器化趋势,轻易就能突破企业安全防线。
互联网暴露面资产直接面向外部攻击者的威胁,如若企业缺乏快速高效的安全监测手段,不能及时处理新发漏洞,将难以抵御漏洞利用入侵;缺乏能够有效整合互联网资产监测、漏洞扫描、漏洞处置机制,也难以利用自动化技术提升应急效率。
传统被动的安全防御体系已经难以应对当前的网络安全威胁,主动、快速、准确地掌握互联网资产变化情况,高效地感知资产安全状态成为互联网资产安全管理工作的重要内容。

攻击面风险管理的探索与实践

广发银行高度重视网络安全,持续思考、探索网络安全对抗能力建设,积极探索主动防御的方式,以攻击促防护、以对抗促能力提升。结合外部攻击面管理(EASM)理念,针对银行互联网暴露资产多、变化快的情况,从掌握自身需要防护的网络空间暴露面出发,建设了基于攻击面管理的网络空间防御体系平台。

1.平台工作原理

平台依托网络空间测绘技术和漏洞检测技术,以资产安全为核心,以互联网暴露面信息数据为驱动,集“暴露面采集”“资产识别”“脆弱性分析”“风险评估”“应急处置”五大模块,对互联网攻击面进行闭环管理(如图所示)。

图 平台攻击面闭环管理流程

“暴露面采集”模块:应用网络空间测绘技术,根据关键字、图片、备案信息、证书等数字特征,从网络攻击角度全面探测采集包含URL、IP、端口等网络空间数字资产的暴露面信息。

“资产识别”模块:对探测采集的暴露面资产信息进行关联分析、变化统计、组件梳理等,构建已纳入管理资产、未纳入管理资产、互联网威胁资产(钓鱼仿冒等)等多类别资产画像。

“脆弱性分析”模块:选择资产开展针对性端口、服务及漏洞扫描,根据漏洞状态、利用信息、风险态势等建立漏洞信息库,结合资产画像信息,输出攻击面风险分析情报。

“风险评估”模块:对前序脆弱性分析及银行自身网络防控情况、业务开展情况进行动态计算,综合分析攻击面在网络空间中的风险和危害,快速配置有效的处置建议。

“应急处置”模块:基于风险评估结论进行漏洞修复闭环处置,并根据处置结果动态调整资产画像和漏洞信息库,实现资产变化感知,持续有效地对攻击面进行快速管控。

2.平台技术架构

平台的建设以网络空间测绘和漏洞检测作为两项基础支撑技术,网络空间测绘技术为平台提供大量基础资产数据,搭建起互联网资产数据“底座”;漏洞检测技术则成为互联网资产发现漏洞、定位风险、划分风险等级的强有力工具。此外,为了处理庞大的资产数据,平台采用了多层次的数据处理结构模型,实现海量数据在各个阶段的高速流转、读取和存储。

(1)多集群网络空间测绘服务。网络空间测绘技术是指以网络空间资源为对象,采用网络探测、网络分析、实体定位等技术,通过探测、采集、处理、分析和展示等手段,获得网络空间实体和虚拟资源在网络空间的位置、属性和拓扑结构,并将其映射至地理空间,以地图等形式展现相关态势,据此进行空间分析与应用的理论与技术。平台利用网络空间测绘服务集群,从庞大的网络空间获取符合特征的互联网资产作为基础资产库,通过分析、提取、标记和绘制资产画像进一步构成互联网暴露面信息库。

(2)多源异构的漏洞扫描模块。平台通过PoC漏洞检测引擎和Web漏洞检测引擎相结合的模式,调用接口对确定的目标进行针对性PoC漏洞专扫,快速、精准发现高价值隐患威胁,包含了针对26种类型漏洞的超过4000漏洞PoC和600以上的漏洞Exp库。不仅如此,后续还可根据需要增加开源的漏洞扫描框架接口,保证漏洞库的高覆盖性和扫描模块的强大。

(3)多层次数据处理结构模型。平台采用多层级的数据处理结构模型,数据在不同的流程阶段由相应的数据模块进行处理,对原始数据采集、资产筛选采用分布式,在资产识别、处置等后续环节采用集中处理方式,提高系统整体运行效率。主要分为数据采集层、数据分析层和数据存储层。数据采集层通过端口扫描、协议识别和网络爬虫等模块对网络系统的资产信息进行数据采集。数据分析层主要对数据采集层采集到的原始数据进行关联性分析、资产动态变化统计、资产组件管理、资产风险分析等。数据存储层由全文搜索存储、高速缓存存储和关系型数据库存储等几部分组成,为系统提供大容量的资产信息存储。

3.平台效能要点

平台的建设运营,实现了对互联资产数据全面、高效、精准的采集和分析;配合漏洞扫描等安全检测,有效定位脆弱资产和风险漏洞,增强银行面向网络空间的安全监控和应急响应能力,帮助有效预测风险,前移网络攻防战线,拉长攻击路径,提升攻击难度,帮助防守方在拉锯战中争取主动,提升网络安全防护效能。

(1)全局性攻击视角设计。黑客在对目标系统进行攻击之前,会先做大量全面的信息收集,重点寻找一些边缘资产,发现防御薄弱环节,然后挖掘可利用的漏洞进行攻击。并且他们在短暂攻击失败之后会持续关注目标系统变动情况,一旦发现新的可利用环节就会再次实施攻击,直到成功入侵。平台设计就是从攻击角度出发,针对攻击的全周期流程制定对应有效的管控措施,持续监测资产变动情况和定位漏洞,及时修复和响应,消除威胁,不给攻击者可利用的时间窗口,避免出现“亡羊”再“补牢”。

(2)体系化网络资产梳理。暴露在互联网的任何信息资产都有可能被利用进行攻击,包括IP、URL、端口、公众号、小程序,以及泄露的文档或者代码等。这些已确定资产、未确定资产、威胁资产,都是需要纳入管理的资产范围。平台通过手工录入、测绘引擎推荐、资产画像的绘制和人工筛选四个步骤,对暴露在互联网的资产进行全面收集和整理,解决以往资产不清、不全、信息不详细的问题,实现网络资产“看得全、理得清、查得到”的目标。

(3)闭环式攻击面管理。面对资产信息管理不到位、漏洞风险定位不清晰、漏洞责任人不明确、整改结果得不到反馈等各项风险管理问题,平台通过自动、持续的迭代优化,不断对自身资产和外部威胁进行动态感知,快速管控攻击面,减少黑客利用的时间窗口,配套持续改进的采集策略,形成良性循环。通过网络资产收集和整理,以及对选定资产进行漏洞扫描和检测这两大核心功能,做到资产新增和变动能够及时纳入管理,漏洞风险能够及时发现处置,结合漏洞通报、责任人处置、处置反馈和漏洞复测等辅助流程,全程跟踪确保整改动作落实到位,实现了对攻击面的闭环式管理。

小 结

网络安全形势复杂,网络空间威胁不断演进变异、加速迭代,网络安全、业务安全、技术安全交织,网络安全问题往往已超出单纯的技术、系统保护范畴。广发银行基于攻击面管理的网络空间防御体系平台,实现了对外部攻击面的体系化管控,从技术上、管理思路上提供了面向网络空间资产暴露的解决方案,但于整体的网络安全防范而言,还需要更体系化的思考和设计,需要从技术、管理策略、产品、人员能力、安全意识等多道防线共同努力,需要多方携手合作,才能提升整体的网络安全防护能力和水平。

(来源:金融电子化)

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664203461&idx=6&sn=b9aafc41d5daebe09f98d9b7fa646758&chksm=8b59863cbc2e0f2afaee4bcb5d2c4e2ee24c1486c43d5423d46dc003a84ccba91fab1555d59f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh