Gartner指出,网络资产攻击面管理 (CAASM) 是一种新兴技术,它使安全团队能够解决持续的资产可见性和脆弱性挑战。CAASM解决方案从现有工具和数据源聚合数据,为组织提供完整攻击面的连续多维视图。
CAASM能够消除盲点,为安全运营团队提供快速跟踪,以实现主动的网络安全和风险管理。Gartner预计到2026年,凭借CAASM,95%以上的组织资产可见性将从目前不到1%增长到20%。
IT环境巨变
从线下机房到多个数据中心、云上资产;从PC设备、局域网到网络设备、业务应用、云服务、容器;
安全挑战升级
从漏洞管理到影子资产发现、资产脆弱性分析、数据泄露、软件供应链安全;
攻防不对称
网络攻击速度快、漏洞突破时间短,老旧组件隐患高;往往攻击方成功入侵后,防守方才发现弱点。
与此同时,安全运营的现状呈现出三个主要特征:
资产状态不清晰
受网络环境复杂、资产类型多元、业务更新频繁的影响,将全量资产信息统一收集和管理难度极大;
攻击面分布不明确
对于安全风险的感知大多来自于各类安全设备,安全设备自身彼此独立,难以形成全局视角的资产安全管理视图;
风险消除不及时
风险消除涉及安全管理、业务归口、IT运维多方协同配合,如果存在流程不完善或沟通不畅的情况,导致风险消除受阻。
安全态势更加复杂,
而安全运营面临多项挑战的情况下,
该如何破局?安小默有新招!
针对资产攻击面不断扩大、资产清单不完整、安全设备多样、数据不统一、资产变化难以感知的困境,默安科技提供了完善的安全解决方案。
默安科技推出的网络资产攻击面管理平台(简称CAASM平台),帮助企业全面清点网络资产,平台通过openAPI的方式与各类安全产品、网络设备集成,实现资产的集中视图,多源异构漏洞的集中闭环处置,安全引擎的集中管控、统一调度、联动响应。
图 CAASM平台产品架构图
Gartner《2021安全运营技术成熟度曲线》提出攻击面(ASM)的理念,核心是通过新兴技术,帮助安全团队解决资产可见性和脆弱性问题。
CAASM是面向企业综合管理内外网资产的综合解决方案,它可以借助现有的安全能力集成,结合外部攻击面(EASM)、端点检测与响应(EDR)等各类安全产品以及云平台的能力及数据,来盘点网络资产信息,收敛资产攻击面。
默安科技巡哨可以帮助企业发现未知资产、监控资产安全风险等;巡哨作为CAASM平台的一个安全能力引擎,为平台提供资产发现、漏洞扫描等能力;同时基于CAASM平台灵活的的插件化架构设计,支持低成本或0成本切换符合企业需求的能力引擎。
绘制企业全量的资产视图
绘制资产视图主要是通过主动发现和被动发现两种类型,其中主动发现可通过默安科技巡哨(智能资产风险监控系统)、第三方扫描器进行主动扫描和定时探活;被动发现则是定时获取来自CMDB、EDR、云平台、空间测绘平台的资产,再由平台将多源数据进行融合、标准化、归一化处理,最终形成最完善的资产清单。
维护准确且细致的资产台账
CAASM平台通过对资产细致的分析和分类,形成综合性资产台账,对资产的细粒度划分包括资产类型、映射关系、端口详情、组件服务、进程信息、系统账号、漏洞信息等;可以快速定位冗余的资产,帮助企业优化资源分配,梳理资产间的关系,降低企业被攻击的风险,并减少维护和安全成本。
持续检测及响应
CAASM平台结合威胁情报信息,可以更快速的检测到潜在的威胁。通过定时任务实时监控并分析受影响资产,提高风险发现的效率,保证更迅速地采取措施应对安全事件。能够提高企业对威胁的察觉和响应能力,有助于减少潜在的安全漏洞和不必要的损失。
多源漏洞数据管理
CAASM平台具备多引擎漏洞数据智能聚合的能力,聚合来自不同引擎的漏洞扫描结果。对不同引擎的相同漏洞进行合并,扩大漏洞信息字段,提供全面、准确的漏洞视图,并针对性地采取相应的补救措施。
漏洞优先级评估
攻击面持续监控的过程中需要制定漏洞修复优先级,尽可能第一时间消灭不可抵抗的安全风险;漏洞风险计算摒弃了基于CVSS评分的排序,而是融合了业务属性从业务重要度、漏洞可信度、资产暴露面、规避防护措施等多个维度出发,关联上下文环境、最新的漏洞情报进行动态评估。
安全风险闭环
CAASM平台通过扫描和评估网络资产,能够及时发现资产的漏洞风险,并跟踪漏洞修复进度和修复结果。这有助于企业提高漏洞的闭环能力,确保漏洞得到及时修复,减少被攻击的风险。通过自动化的漏洞管理和跟踪,企业可以更好地管理漏洞修复过程,并保持网络的安全状态。
需求与痛点分析
安全设备多样,增加关联负担,缺乏安全设备统一调度;
资产来源多样,资产清单不完整,缺乏完整资产台账;
多源安全数据缺乏联动性,输出资产、漏洞数据不统一,数据存在重复、优先级不明确的问题,缺乏多源异构漏洞全生命周期管理。
默安科技提供的解决方案
打通工具平台
企业日常使用的平台包括CMDB、漏扫、EDR、威胁情报平台等,提供统一的安全引擎管理功能,安全管理员可以实现根据当前业务场景、资产类型、安全需求选择合适的扫描引擎及扫描策略,无需切换多个安全设备,提高工作效率。通过统一的管理界面,有效降低管理负担。
建设带有安全属性的SCMDB资产台账
平台集成多个数据源,将带有资产业务属性的CMDB作为基准数据,支持配置安全设备上的资产同步规则(同步时间、过滤条件)。补全资产安全信息,细化资产颗粒度。
平台集中下发扫描任务到各个安全引擎,扫描完成后,各个引擎的漏洞会根据内置规则聚合后同步到平台上。可以快速获取去重后的资产漏洞风险,并持续跟踪漏洞修复进度和修复结果。实现各部门、各业务条线的漏洞收集与运营管理,在安全运营过程中满足高水平的漏洞治理要求,提升对安全漏洞或事件的响应指标。
带来的客户价值
提升资产可见性,优化资产资源
通过识别和监控所有网络资产。包括硬件、软件、云资源等,发现隐性或未授权的资产;通过资产查询识别不再需要或冗余的资产,优化资产分配,降低维护成本,提升安全性。
持续风险评估,提高风险闭环能力
持续评估资产相关的潜在安全风险,通过了解资产的漏洞和弱点,采取适当的措施来消除风险,通过扫描和评估网络资产,及时发现资产漏洞并持续跟踪漏洞修复进度和修复结果。
统一调度计划
对资产、暴露面、漏洞、情报集中管理,对各类安全工具统一接入管理,建立实战化安全运营体系。
默安科技凭借多年在智慧安全运营领域的实践与积累,推出的CAASM平台帮助企业全面清点网络资产,将多个安全引擎的安全数据集中管理,查询融合数据,综合对比安全风险并及时补救问题,打造完善的攻击面管理体系;CAASM产品不局限于单一的终端、服务器、网站、域名、应用等维度,而是将所有网络资产进行整合,多数据源交叉验证,用户可以快速查询到所有结果并作出更准确的判断,帮助企业在安全运营过程中满足高水平的安全风险治理要求,从而提升企业的整体安全性。
引用来源:
Making the Case for Cyber Asset Attack Surface Management (CAASM) ,Noetic Cyber,www.noeticcyber.com