攻击面分析及应对实践

ccc908 2023-05-02 13:27:00

本文结合 CASSM 和 EASM 两个新兴的攻击面管理技术原理对资产管理,综合视图(可视化),风险评估,风险修复流程四个关键模块进行简述,为企业攻击面安全风险管理提供可落地的建设思路参考。

一、攻击面概述

攻击面是企业所有网络资产在未授权的情况下便能被访问和利用的所有可能入口的总和。

随着物联网、5G 、云计算等技术发展和社会数字化转型持续发展,当下的网络空间资产的范围和类型也发生了巨大变化,同时未来将会有更多的新兴资产和服务出现,如何去建立更加合适高效的安全技术体系来管理企业面临的攻击面安全风险将是安全运营工作面临的新挑战。

行业趋势:

Gartner 在 2021 年 7 月 14 日发布《 2021 安全运营技术成熟度曲线》中明确提到了攻击面的两个新兴技术:网络资产攻击面管理( Cyber assetattack surface management)和外部攻击面管理( External Attack Surface Management),目标是为了让安全团队对暴露资产以及攻击面进行科学高效的管理,从攻击者视角审视企业网络资产可能存在的攻击面及脆弱性,建立对企业网络攻击面从检测发现、分析研判、情报预警、响应处置和持续监控的全流程闭环安全分析管理机制。

图片

从安全运营技术成熟度曲线可以看出,CAASM 和 EASM 还处于启动期,这两种技术虽然刚刚诞生,还处于概念阶段,却已经引起了外界的广泛关注。

  • CAASM

CAASM 是一项新兴技术,旨在帮助安全团队解决持续的资产暴露和漏洞问题。它使组织能够通过与现有工具的 API 集成来查看所有资产 (包括内部和外部),查询合并的数据,识别安全控制中的漏洞和漏洞的范围,并纠正问题。其取代传统手动收集资产信息和繁琐的流程来提高资产管理的效率。

另外,CAASM 通过确保整个环境中的安全控制、安全态势和资产暴露得到理解和纠正,使安全团队能够改善基本的安全能力。部署 CAASM 的组织减少了对自产系统和手工收集流程的依赖,并通过手工或自动化工作流来弥补差距。此外,这些组织可以通过提高可视化安全工具的覆盖率来优化可能有陈旧或缺失数据的记录源系统。

综合来说对于组织有以下优点:

  1. 对组织控制下的所有资产的全面可见性,以了解攻击表面区域和任何现有的安全控制缺口。

  2. 更快速的合规审计报告通过更准确,及时、全面的资产以及安全控制报告。

  3. 资产综合视图,减少人力投入。

  • EASM

EASM 是指为发现面向外部提供服务的企业资产,系统以及相关漏洞而部署的集流程,技术,管理为一体的服务,比如服务器,凭证,公共云服务配置错误,三方合作伙伴软件代码漏洞等。EASM 提供的服务里会包含 DRPS,威胁情报,三方风险评估以及脆弱性评估,以及供应商能力评估等细分服务。

EASM 主要包含 5 个模块:

  1. 监控,持续主动扫描互联网与领域相关的环境(如云服务,面向外部的内部基础设施)以及分布式系统。

  2. 资产发现,发现并测绘面向外部的资产与系统

  3. 分析,分析资产是否存在风险或脆弱点。

  4. 优先级评估,对风险及脆弱性进行优先级评估并告警。

  5. 修复建议,提供对应风险以及脆弱性的修复建议。

从行业趋势来看,攻击面管理已经逐渐走入了各大安全厂商的商业化战略里,这不仅体现了这一技术的市场需求急迫性同时体现了一定的商业化实践价值。

从 EASM 和 CAASM 的技术定义中我们不难发现,其核心内容可以归纳为 4 个模块,分别是资产管理,综合视图(可视化),风险评估,风险修复流程。

这四个模块恰好与我们目前的安全能力建设思路不谋而合,因此后续主要围绕这四个模块来总结我们在攻击面风险管理上的实践心得。

二、攻击面风险管理落地实践

行业内通常把攻击面管理定义为从攻击者的角度对企业网络攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全管理方法,其最大特性就是以外部视角来审视企业网络资产可能存在的攻击面及脆弱性。

攻击面主要体现在企业暴露给攻击者各个层面的安全弱点,攻击者可利用不同手段实现攻击行为。因此对攻击面风险有效管理的 “First of all” 就是资产管理

2.1 安全资产管理模块

 

做资产管理之前需要先对全网资产进行梳理,确认资产范围和类型框架。

2.1.1 安全资产梳理

资产梳理的思路按照业务,系统,主机以及其他四个维度来进行梳理。

  • 业务维度

    包含域名,URL,公网 IP,依赖包管理资产以及应用资产。

  • 系统维度

    包含 API 接口,公网 IP 内部映射关系,公网端口内部映射关系,内网集群 VIP-LVS,内网应用集群 VIP-Nginx,内网端口资产,内网 IP 资源状态资产。

  • 主机维度

    包含主机 IP 资产,容器资产,k8s 资产,主机端口资产,中间件资产,数据库资产,操作系统资产,账号信息资产,进程信息资产,其他应用服务资产。

  • 其他维度

    包含资产补丁状态,资产负责人及所属组织。

图片

由于篇幅问题,以上仅包含二级项目,其实二级以下根据不同的企业场景还具有更多的分项,例如从 vivo 互联网来说,业务维度的域名我们细分了 11 项,包括管理后台域名,公网埋点域名,埋点 SDK 域名,DB 域名,主机域名,信管域名,内网接口域名,公网接口域名,线上业务域名,静态资源域名,其他域名等。

资产梳理没有一个万能公式,最佳实践是从实际的基础架构出发结合业务场景来对全网资产定好框架。

2.1.2 构建可靠的资产信息来源库

资产库主要有三个数据来源。

  • CMDB:主要的资产信息供应渠道

  • HIDS:补充主机相关资产信息,如进程,账号,网络链接等资产信息

  • VCS:主动资产信息采集用以补充资产库

通常安全资产库的建设往往会面临技术上的难点,比如资产信息采集工具的适配性,采集工具的稳定性,对生产造成影响的概率最小性,资产完整的可靠性等等,但技术问题往往并不难解决,借助开源工具,商业化产品甚至自研工具都能解决绝大部分问题,而真正难以头疼的是与资产归属方(业务方)的大量复杂的沟通确认工作。

从以往的最佳实践来看,从业务方的视角来建设资产库,宣贯业务价值能够更顺畅地开展资产信息采集工作,例如资产管理系统可以绘制整个企业内多个团队的合并资产视图,其可包括业务团队、运维团队、安全团队等,大家都可以从这个视图中查询到自己关心的信息,通过价值宣导来激发协作方的支撑意愿。

2.1.3 建设资产主动发现能力

在资产管理中,往往存在资产主动上报监管难,资产变更频率高而产生的资产信息滞后以及一些非法资产接入的问题,因此需要建设资产主动发现能力来补全这一块的资产信息,有条件的话可以以此作为资产变审计体系的输入源。

  • 流量解析:通过流量分析识别隐匿资产、老化资产、影子资产等资产信息。

  • 扫描工具:IAST/DAST/SAST,NMAP 工具等对资产进行识别补充以及维持。

  • 安全日志及告警:梳理无标资产对资产库进行补充。

另外,需要注意的是,在资产主动发现过程中需要谨慎考虑扫描工具或引擎的工作频率以及工作时间段,避免影响生产。

2.2 综合视图模块

建设综合视图并不是为了绘图而绘图,它是经过一定的数据分析并结合业务场景的资产关联链测绘,具备良好的逻辑性及可读性的综合视图,无论是直接使用者(安全运营团队)还是非直接使用者(业务或运维)都能够通过综合视图获取各自需要的资产信息。

2.2.1 资产关系链测绘

资产关联能力建设的目的是去测绘资产关系链从而将系统各模块的安全事件进行关联,全链路分为两条分别是公网 IP / 域名到内网主机的关系映射链以及内网主机到内网 IP / 域名以及公网 IP / 域名的关系映射链。

图片

2.2.2 资产全局视图

图片

针对以上两个资产强相关模块,如果以一年期来建设的话,可以参考以下建设计划:

图片

2.3 风险评估模块

2.3.1 风险发现

风险发现来源包含两大块:

  • 纵深防御体系:一体化的纵深防御协防平台提供基础的告警源数据。

  • 主动扫描:以防守方视角对全网资产脆弱性进行定期扫描,一般搭建自动化扫描系统定期持续对全网设施 / 节点进行漏洞扫描。

  • 人工渗透测试:从攻击方视角组织人力配合工具从外部对信息资产进行脆弱性测试。

  • 基线合规扫描:解决内部基线合规问题,如弱密码,root 权限,外发管控等。

通过搭建自动化漏洞扫描平台对以及扫描任务进行集中管理,相关的安全人员对扫描产生的各类风险发现做进一步的确认,若确认是漏洞的风险就会通过自动创建漏洞工单,并将创建的漏洞工单同步到漏洞管理系统进行后续漏洞修复的跟踪,后续漏洞的修复进度也会同步到自动化漏洞扫描平台进行同步跟进。

图片

值得一提的是,漏洞扫描平台并非只是一味地将扫描工具及扫描结果集成,一个能有效解决风险发现的系统必然是从场景出发,落地到实际问题上。以下是三个应用场景的举例:

图片

 

2.3.2 风险评估

安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,另外,风险评估的落地形态可以是一套评分规范或是数学模型,其可以从全局视角来评估整体安全态势并以具体分值的形式来呈现。

标准的风险评估过程主要有四块:

  • 资产识别与赋值:对评估范围内的所有资产进行识别,并调查资产破坏后可能造成的损失大小,根据危害和损失的大小为资产进行相对赋值。

  • 威胁识别与赋值:即分析资产所面临的每种威胁发生的频率,威胁包括环境因素和人为因素。

  • 脆弱性识别与赋值:从管理和技术两个方面发现和识别脆弱性,根据被威胁利用时对资产造成的损害进行赋值。

  • 风险值计算:通过分析上述测试数据,进行风险值计算,识别和确认高风险,并针对存在的安全风险提出整改建议。

从落地实践来看,对各个信息节点的评估赋值需要张弛有度,过细的赋值方案会难以展开,过粗的赋值方案难以有好的效果,企业应结合自身发展现状,人力,技术条件以及安全目标来制定赋值方案。

图片

图片

2.4 风险闭环

针对于安全运营工作来说,风险管理的实际工作本质上是漏洞管理,风险闭环是漏洞从发现再到消除的一系列管理过程,即漏洞的生命周期管理。

其实在实际的风险管理过程中,许多风险是没有形成闭环管理的,其原因大多可以归纳为以下几点:

  • 计划制定的不切实际

  • 没有进行原因分析

  • 进行了原因分析但未实施对策

  • 未检查执行效果

因此,在制定闭环策略或流程时应充分考虑以上几个问题。以下例子是按照漏洞来源制定的不同的闭环策略:

图片

三、总结

企业攻击面梳理已变得非常重要,攻击面不清晰将导致严重后果。攻击面风险管理一方面需持续加强企业攻击面安全防护的监管指导,强化攻击面安全管理制度和流程,明确各相关主体的责任和管理要求,定期开展攻击面梳理排查,加强对企业攻击面安全防护工作的监督。建立更健全攻击面防护的立健全攻击面防护的标准规范,推动政策引导、标准约束等方面的落地实践,提升企业安全防护能力。

另一方面,需要持续强化攻击面安全防护技术的研究和应用。扩展攻击面分析研究场景,融合大数据分析、人工智能等先进技术,全面开展企业攻击面风险分析,提高攻击面检测排查能力以及应急处置能力。结合持续身份认证、细粒度访问控制、数据流安全审计、数据隐私保护等安全机制赋能攻击面预防检测工作,提升对攻击面利用类安全事件的响应能力,还应密切关注当下复杂网络安全形势下攻击面攻击和防御两方面的技术发展趋势,从资产管理基础出发,建立适应各企业开展攻击面安全治理的平台和工具。

总的来说,攻击面的应对实践方式应是从攻击面梳理着手,落地到资产梳理,同步建设网络空间测绘及风险扫描能力,配合脆弱性评估对风险进行整体评估,建设统一的风险视图对风险进行全局的把控,以及结合风险闭环工具及流程等最终对攻击面进行有效收敛。


小知识分享:每一个HTML 文档中,都有一个不可或缺的标签:<head>,在几乎所有的HTML文档里, 我们都可以看到类似下面这段代码:

<head><meta charset=utf-8><meta http-equiv=content-type content=text/html; charset=utf-8><meta name=renderer content=webkit/><meta name=force-rendering content=webkit/><meta http-equiv=X-UA-Compatible content=IE=edge,chrome=1/><meta http-equiv=Content-Type content=www.sxhxtt.cn ;charset=gb2312><meta name=viewport content=width=device-width, initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0, user-scalable=no></head>

head标签作为一个容器,主要包含了用于描述 HTML 文档自身信息(元数据)的标签,这些标签一般不会在页面中被显示出来,主要告知搜索引擎本页面的关键字以及对应网址,在SEO中传递相关权重起到非常重要的作用。

...全文
583 回复 打赏 收藏 转发到动态 举报
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
内容概要:本文提出了一种基于改进扩散模型的高海拔地区新能源高波动出力场景生成方法,并提供了完整的Python代码实现。该方法针对高海拔地区风能、光伏等新能源出力波动剧烈、不确定性高的特点,通过优化扩散模型的结构与训练策略,有效捕捉历史数据的概率分布特征与时序相关性,从而生成高质量、多样化的出力场景。文中详细阐述了模型的数学推导、网络架构设计、损失函数优化及采样算法改进,并通过实验证明其在拟合精度、场景多样性与稳定性方面优于传统生成模型,为电力系统在高比例新能源接入下的规划、调度与风险评估提供了可靠的场景输入支持。; 适合人群:具备一定Python编程能力和机器学习基础,从事新能源发电预测、电力系统分析、智能优化、场景生成等方向研究的科研人员、高校研究生及工程技术人员。; 使用场景及目标:①用于高海拔地区风电、光伏出力的不确定性建模与多场景生成;②支撑含高渗透率新能源的电力系统随机优化调度、鲁棒决策与风险评估;③为相关学术研究、论文复现与算法改进提供可运行的技术方案与代码基础; 阅读建议:建议读者结合所提供的完整资源(代码、数据集、说明文档)进行实践操作,重点关注扩散模型的前向加噪与反向去噪过程的设计细节,以及如何将其适配于新能源时序数据的生成任务,通过参数调优与对比实验深入理解模型的生成机制与性能边界。
内容概要:本文围绕基于静态约束法的配电网电动汽车接入容量评估展开研究,提出了一种在新型电力系统背景下评估主动配电网对电动汽车承载能力的方法。研究通过构建数学模型,结合潮流计算与关键约束条件(如电压越限、线路过载等),量化分析配电网可承受的最大电动汽车充电负荷容量,旨在识别规模化电动汽车接入带来的潜在运行风险,并为电网规划与运行提供科学依据。文中配套提供了完整的Matlab代码实现,便于仿真验证与结果复现。此外,该研究与分布式光伏承载力评估、电动汽车可调能力分析等方向形成技术联动,展现了多主题协同的研究体系。; 适合人群:具备电力系统分析基础理论知识及Matlab编程能力的高校研究生、科研机构研究人员,以及从事新能源并网、智能配电网规划与运行等相关领域的工程技术人员。; 使用场景及目标:①用于学术研究中的模型复现与论文撰写支撑;②评估实际配电网中电动汽车大规模接入的可行性与安全边界,指导充电基础设施布局;③作为高校教学案例,帮助学生深入理解电网承载力评估的核心原理、建模方法与仿真技术; 阅读建议:建议结合文中提及的相关研究方向(如二阶锥规划、多面体聚合方法等)进行对比学习,充分利用所提供的Matlab代码与网盘资料开展仿真实验,重点关注约束条件的设定逻辑与潮流计算模块的实现细节,以深化对评估模型机理与工程应用价值的理解。
内容概要:本文围绕“考虑隐私保护的分布式联邦学习电力负荷预测研究”展开,提出了一种基于Python实现的联邦学习框架,旨在解决居民或行业电力负荷预测中用户电表数据隐私泄露的风险。该研究通过构建分布式机器学习模型,使各参与方在不共享原始数据的前提下协同训练全局模型,有效实现了数据“可用不可见”。文中详细阐述了联邦学习的整体架构设计、本地模型训练流程、参数加密传输与安全聚合机制,并结合差分隐私等技术进一步增强系统的隐私保护能力。同时,研究利用真实电力负荷数据集进行了实验验证,展示了方法在预测精度与隐私保障之间的良好平衡,并提供了完整的代码实例与复现指南,便于后续研究与应用拓展。; 适合人群:具备一定机器学习基础和电力系统背景知识,从事智慧能源、隐私计算或人工智能相关方向研究的研究生、科研人员及工程技术人员。; 使用场景及目标:① 实现跨区域、跨主体的电力负荷协同预测,打破数据孤岛;② 在确保用户用电数据隐私安全的前提下提升负荷预测准确性;③ 推动联邦学习在智能电网、需求响应、虚拟电厂等场景中的实际部署与应用。; 阅读建议:建议结合文中提供的Python代码与网盘资料进行动手实践,重点关注联邦学习的通信轮次设计、模型聚合算法(如FedAvg)的实现细节以及差分隐私噪声添加策略,深入理解其对模型性能与隐私强度的影响,为进一步优化与创新奠定基础。
VDA_Band_19.1_3rd edition_2026 English Inspection of Technical Cleanliness 内容概要:本文档为德国汽车工业协会(VDA)发布的第三版《技术清洁度检验:功能相关汽车部件的颗粒污染检测》(VDA 19.1),系统规范了汽车行业中零部件技术清洁度的检测方法与流程。文件涵盖从取样、提取、过滤到分析的全流程标准化操作,重点更新了干法提取(如 Stamp Test 和刷吸法)、小于50µm颗粒的检测、光学子系统和SEM/EDX标准分析方法,并引入统一材料分类体系以提升结果可比性。同时明确了“标准分析”与“自由检验”的区别,前者用于高兼容性检测,后者允许客户与供应商协商定制参数。文档还强化了对非可测组件的技术清洁保障、测量不确定度评估及方法验证的要求,并提供了多个实际案例支持应用落地。; 适合人群:适用于汽车制造业中从事质量控制、工艺开发、供应商管理及相关检测实验室的技术人员和管理人员,尤其适合具备一定质量管理或洁净度检测基础的专业人员。; 使用场景及目标:①用于制定和执行零部件清洁度检测标准;②指导 incoming/outgoing 检验及生产过程监控;③支持失效分析与质量改进项目;④作为企业内部审核和技术交流的依据; 阅读建议:建议结合VDA 19.2及其他相关标准配套使用,重点关注各章节中的起始参数设定、方法选择逻辑及附录中的检查表示例,在实际操作中同步开展方法验证与人员培训,确保检测结果的有效性和可追溯性。

794

社区成员

发帖
与我相关
我的任务
社区描述
区块链技术专区
区块链 技术论坛(原bbs)
社区管理员
  • 区块链技术
  • ccc908
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧