“安全風險是否存在”并不是一個問題
因為它隨時都有可能發(fā)生
對話伊始,主持人張毅依然還是從較為宏觀的視角與嘉賓一同就當前數(shù)字經(jīng)濟發(fā)展如火如荼的背景之下,網(wǎng)絡(luò)安全在發(fā)展趨勢方面呈現(xiàn)出怎樣的特點這一話題展開探討。
融通開源數(shù)據(jù)研究院院長文仲慧表示,從學術(shù)的角度看,網(wǎng)絡(luò)安全其實同信息安全和網(wǎng)絡(luò)空間安全有所不同,但從應(yīng)用的角度看,現(xiàn)在普遍用“網(wǎng)絡(luò)安全”一詞來統(tǒng)稱概括這三者。結(jié)合網(wǎng)絡(luò)活動本身的特點,文仲慧對當前網(wǎng)絡(luò)安全形勢的特點歸納為以下4點:
01 戰(zhàn)時、平時不分
02 軍用、民用不分
03 硬傷、軟傷不分
04 顯性、隱性不分
總體而言,由于網(wǎng)絡(luò)活動具有著不受時間、地點約束且應(yīng)用廣泛的特點,上述所談?wù)摰?點之中的因素在彼此之間已經(jīng)很難區(qū)分,也由此給當前的網(wǎng)絡(luò)安全帶來巨大挑戰(zhàn)。其中第3點所談的硬傷、軟傷,則主要從物理或硬件層面的損傷及虛擬或軟件層面的損傷兩個維度去看待安全的重要性,文仲慧表示,硬件層面的損傷大多都可以計算出具體的損失,但軟件層面的損傷卻難以計算,從這個角度看,時刻保證網(wǎng)絡(luò)安全在當前數(shù)字經(jīng)濟時代下,是重中之重的事情,同時,安全也須做到時刻守護而容不得一絲放松。
楊雷對文仲慧所表達的觀點表示非常認同,尤其是在戰(zhàn)時、平時不分這一點上,他也結(jié)合自身的體會進行了一些分享。楊雷表示,現(xiàn)在的安全是在原有的合規(guī)基礎(chǔ)之上增加了一層內(nèi)涵。在2016年以前,絕大部分用戶在做安全時普遍會按照標準化的方式去建設(shè),以垂直分層、水平分區(qū)這一思路去購買諸多安全設(shè)備等等。而在現(xiàn)在,用戶在購買設(shè)備的同時,還會去關(guān)注如何將設(shè)備利用好。之所以會有這種變化,正是由于網(wǎng)絡(luò)安全具有常態(tài)化、碎片化的特點,再加上攻防雙方之間彼此對抗的過程具有動態(tài)化的特點,因此“安全風險是否存在”并不是一個問題,因為它隨時都有可能發(fā)生。
如果說早年間還可以通過以合規(guī)的方式去進行安全建設(shè),那么現(xiàn)在無疑是不夠的,因為它難以滿足現(xiàn)狀所需,需要采用新的思維方式、新的技術(shù)手段去解決安全問題,在楊雷看來,用戶現(xiàn)在也開始意識到這一點,因為越來越多的用戶都開始以體系化而非單一化的思維去考慮安全問題,這也是用戶層面近幾年表現(xiàn)較為突出的變化之一。
結(jié)合前面兩位嘉賓的發(fā)言,金飛則從云科安信所專注的攻擊面管理角度繼續(xù)延續(xù)這一話題,他表示,在全球化、數(shù)字化的背景下,數(shù)字資產(chǎn)邊界已遠遠超出我們所想象的范圍,與此同時,在我國當前的經(jīng)濟規(guī)模不斷增長、經(jīng)濟總量占世界經(jīng)濟比重也越來越高的情況下,就會成為某些國家或某些利益的斗爭面,因此總體來看,無論是科技的發(fā)展還是國際形勢的變化,我們當前所面臨的網(wǎng)絡(luò)安全風險肯定要比十年前更多。“既然整體環(huán)境已然如此,那么與之相匹配的,是必須提高我們的防御能力。”金飛表示,“如果說以往做信息安全重在建設(shè)本身,也就是建設(shè)者視圖的角度,而網(wǎng)絡(luò)安全呈現(xiàn)高頻對抗特點的當前,則需要從另一個視角去提升自身的安全能力,在我看來,攻擊面管理恰恰是能夠以一個攻擊者視圖的角度去幫助我們做到這一點。”
OSINT-ASM
將原有攻擊面管理概念進一步延展
?安全419注意到,在2022年8月的ISC2022大會上,云科安信發(fā)布OSINT-ASM開源情報攻擊面管理的概念,而在本期《暢聊安全》節(jié)目中,恰好與此相關(guān)的雙方都有嘉賓到場,主持人張毅也圍繞OSINT-ASM(開源情報攻擊面管理)到底是怎樣的概念等相關(guān)話題與和位嘉賓展開了探討。
金飛表示,現(xiàn)在的網(wǎng)絡(luò)攻擊之所以細粒度高,是在于它攻擊的目標開始多元化,以往可能只會對數(shù)字資產(chǎn)進行有針對性的攻擊,現(xiàn)在則還會將使用數(shù)字資產(chǎn)的人也同樣作為攻擊目標,并且將其作為一個非常重要的切入點。在他看來,數(shù)字資產(chǎn)中出現(xiàn)漏洞、風險的頻率雖然不會比人更高,但人也許會成為放大劑、催化劑,“假設(shè)有1條攻擊路徑被確認,后面有1萬個人在使用這條攻擊路徑,那么對我們而言,它不是1條攻擊路徑,而是1萬條。”金飛介紹道,“如果某些熱衷于在社交媒體或其他平臺分享信息的員工,掌握著公司的重要資產(chǎn),那么該員工個人在互聯(lián)網(wǎng)上的這些暴露面也許就會對公司形成巨大的安全隱患,如果他的電腦被控制,相關(guān)權(quán)限被攻擊者獲取,那么后果不堪設(shè)想。”
通過上述闡述,大家不難想到經(jīng)常說的社會工程學(簡稱社工),金飛認為,社工實際上只提供了一種方法論,并未與攻擊完全相融合,而云科安信所提出的OSINT-ASM概念則相當于以一種遞歸篩選的方式去確定數(shù)字資產(chǎn)的邊界,隨后在這一邊界內(nèi)尋到數(shù)字資產(chǎn)的使用者,并進一步找出其中安全意識最淺薄的那群人,并將其與最危急的漏洞相關(guān)聯(lián),以發(fā)現(xiàn)最有效路徑。事實上,OSINT-ASM本身并非是原有攻擊面概念所包含的內(nèi)容,但云科安信的做法則是在基礎(chǔ)之上做進一步的豐富,從某種角度上看,這也是一種創(chuàng)新性的做法。
談到融通開源數(shù)據(jù)研究院與云科安信之間在OSINT-ASM方面的合作時,文仲慧介紹道,開源網(wǎng)絡(luò)情報意指從網(wǎng)絡(luò)空間中公開來源信息中所獲取的情報,它既可以作為一個獨立的分支去運作,也可以作為其他系統(tǒng)的補充和支持,融通開源數(shù)研院則是在這兩方面均與云科安信有著較為深入的合作,在研究和落地兩方面以相互賦能的方式實現(xiàn)相互促進,進而得以讓開源網(wǎng)絡(luò)情報發(fā)揮出在實踐中發(fā)揮出更大價值和更好效果。
攻和防相當于硬幣兩面
只有兩者面積相同時才是最佳狀態(tài)
近些年來,安全這件事情本身同以往相比發(fā)生了很大的變化,如我們開始更多去談從傳統(tǒng)的被動防御到現(xiàn)在的主動防御,從合規(guī)建設(shè)到現(xiàn)在的強調(diào)實戰(zhàn)能力等等,但歸根到底,目的還是為了抵御網(wǎng)絡(luò)上這些攻擊者發(fā)起的攻擊,對于用戶來說,如果能夠?qū)⒎烙M可能地前置,那么相對也會提升防御成功的概率,大幅降低甚至規(guī)避這些攻擊以及相關(guān)損失。
說到主動防御這一話題,金飛也分享了自己的一些觀察和思考,其中重要一點則在于此前安全行業(yè)內(nèi)很多企業(yè)都是相對專注于攻、防一端的,如做攻的不會去防,反之亦如此。“我們認為,攻和防相當于硬幣兩面 只有兩者面積相同時才是最佳狀態(tài)。”金飛闡述道,攻擊能力強而防御能力弱,意味著你只能做一個發(fā)現(xiàn)問題的吹哨人,因為你無法解決問題。但反過來看,防御能力是需要攻擊來驗證的,如果不具備強大的攻擊能力,又何談強大的防御能力呢?“我們有一個理念叫做能攻者擅守,一個合格的攻擊者或防御者就和硬幣兩面一樣,一定是相稱的。攻擊面管理從實戰(zhàn)角度來講,??它類似于一個非常強悍的狙擊手,但是能夠干掉一個狙擊手的總會是另外一個狙擊手。”
的確,攻、防這兩個能力之間應(yīng)可以是相互聯(lián)動的,既是相互升級的過程,也是同步遞進的過程,且兩者能力最好可以在一個最小場景中實現(xiàn)閉環(huán)且互相驅(qū)動,而云科安信的做法則是在通過SaaS化的方式,實現(xiàn)攻、防兩大能力的相互調(diào)用,從而在幫助用戶發(fā)現(xiàn)問題的同時,還能幫助用戶解決問題。
楊雷認為,主動防御和攻擊面管理的內(nèi)涵是高度一致的,所倡導(dǎo)的都是攻防兼?zhèn)溥@一理念。具體到主動防御概念本身,他結(jié)合神州金橋多年來為企業(yè)用戶提供服務(wù)的落地經(jīng)驗和心得,從兩個維度進行了分享:
● 一是要真正做好網(wǎng)絡(luò)安全意識的整體提升。在楊雷看來,這對于企業(yè)提升整體的主動防御能力非常重要,而且應(yīng)覆蓋到企業(yè)的所有人,以盡可能地降低某一個人成為企業(yè)攻擊面弱點的可能性。
● 二是要真正地從攻和防兩個角度去看安全。楊雷在這里再一次強調(diào)要以體系化而非單一化的思維去看待安全,單一視角下的安全建設(shè)必然難以很好地應(yīng)對當前的復(fù)雜安全形勢,而如果真正理解了攻防理念,那么對于如何做好安全建設(shè)將會有清晰的方向,比如通過尋找相關(guān)的優(yōu)秀工具、專業(yè)團隊及服務(wù)等,從而有效地提升整體安全水平。
攻擊面管理獨自撐起一個市場很難
攻防一體、互為閉環(huán)的解決方案或是最佳答案
作為2022年網(wǎng)絡(luò)安全行業(yè)最火熱的賽道之一,攻擊面管理所包含的內(nèi)容本身并不算是新興事物,但它作為一個多技術(shù)、多能力融合的概念被提出,仍讓人眼前一亮,但無論如何,它終歸還是要面對一個巨大的挑戰(zhàn),用主持人張毅的話說,就是它能否獨自撐起一個市場,也就是獨立于其他領(lǐng)域的攻擊面管理市場。
在金飛看來,要想說服一個企業(yè)去購買網(wǎng)絡(luò)安全相關(guān)的產(chǎn)品或服務(wù),那么必須首要做的事情就是先驗證風險的客觀存在,而且用戶的投入程度與所驗證且客觀存在的風險范圍大小有著正相關(guān)的關(guān)系。“攻擊面管理能否單獨去作為工具、產(chǎn)品或解決方案去銷售,我認為沒有問題,但它最大的價值并不在這點錢,而是在于它教育了市場。”金飛談道,“從工具的角度看,攻擊面管理讓很多對于網(wǎng)絡(luò)安全沒有意識的人對于威脅、風險客觀存在這一事實有了清晰的認知。”
“安全行業(yè)有一個特征,用一個有趣的比喻就是‘說服你的最好方法就是先把你打倒然后再扶你起來。’”金飛笑著說道,“再簡單點就是能動手就別開口。”的確,安全企業(yè)在和用戶溝通時,很多時候都會遇到這邊苦口婆心,那邊卻無動于衷甚至抬杠的情況,如果通過攻擊面管理工具去將他們的潛在風險點全部展現(xiàn)到用戶眼前,很有可能就會徹底扭轉(zhuǎn)這一局面。
由此不難看出,攻擊面管理的確是一個有效挖掘網(wǎng)絡(luò)安全行業(yè)需求的系統(tǒng)化工具,幾乎可以和任何一個細分的安全領(lǐng)域進行結(jié)合,如供應(yīng)鏈安全領(lǐng)域、工控安全領(lǐng)域、物聯(lián)網(wǎng)安全領(lǐng)域等等。“事實上,攻擊面管理可以與任何一個數(shù)字資產(chǎn)的領(lǐng)域銜接,而且一旦銜接就會產(chǎn)生一個全新的場景,我認為這就是它的意義所在。”但金飛也坦承,如果單純依靠銷售攻擊面管理的產(chǎn)品或解決方案,如果試圖通過這一單一業(yè)務(wù)去支撐起擁有一定規(guī)模的企業(yè)仍比較難。以云科安信為例,他們一直堅持以SaaS化模式為用戶提供攻防一體、互為閉環(huán)的攻擊面管理解決方案,在和客戶的初期溝通過程中,SaaS化的攻擊面管理工具可以做到在現(xiàn)場取得客戶授權(quán)后馬上就能查出客戶所存在的安全風險點,金飛表示,這一特點對于提升銷售成功率有著很大的幫助,更值得一提的是,客戶對攻、防兩端的產(chǎn)品和服務(wù)往往都會選購。
楊雷表示,一個新興的安全概念,往往是由研究機構(gòu)經(jīng)過調(diào)研而產(chǎn)生的,對一些行業(yè)或領(lǐng)域在解決安全問題方面給出了理論指導(dǎo),有著引領(lǐng)的作用,接下來,就需要去結(jié)合用戶的場景和需求,將概念逐一拆解細分,力爭每一個點都做得足夠優(yōu)秀,能夠幫助用戶去解決實際的安全問題。“如果一家公司可以將一個新的理念或概念下的點都做出來且做得很好,那么對于我們神州新橋這樣的公司而言就會非常樂意去用,因為它做得越好,就意味著對于相關(guān)人員的能力水平要求不再那么高,而且還能夠給客戶以更好的服務(wù)。”楊雷說道,一是安全企業(yè)的產(chǎn)品做得好能夠賣得出去,二是這樣的產(chǎn)品可為包括神州新橋在內(nèi)的服務(wù)提供商在保證效果的同時提高效率,三是能夠真正幫助用戶解決問題,這就相當于實現(xiàn)了三贏,對于市場無疑將會是巨大的促進,但在這之中,對安全企業(yè)的要求是非常高的。
“三贏是一個最佳結(jié)果,安全企業(yè)首先要在一個點上做的足夠優(yōu)秀,其后是自身能力在未來要進一步延展,因為隨著環(huán)境的變化以及時間的推移,客戶的需求也會發(fā)生變化,如果安全企業(yè)不能跟上步伐,那么所面對的只能是淘汰的結(jié)局。需要說明的是,這種淘汰并不是客戶層面的人為淘汰,而是一種不努力的淘汰。”楊雷闡述道。
針對這個話題,張毅也分享了自己的觀點,那就是對于包括攻擊面管理在內(nèi)的任何安全行業(yè)新興賽道而言,都需要經(jīng)歷一個從新興到成熟的過程,由于攻擊面管理當前在國內(nèi)仍處在一個相對早期的階段,因此這個賽道的玩家目前普遍仍在不斷提升自己核心能力,同時也積極地去探索、實踐,雖然距離市場的成熟仍還有很長的一段路要走,但其前景仍值得期待。
在節(jié)目的最后,張毅進一步總結(jié)道,攻擊面管理本身并不算新,它是將以往所有相關(guān)的經(jīng)驗進行匯總和沉淀,最終形成了一條獨立的新賽道,而一條賽道的興起,一方面需要更多參與其中的從業(yè)者不斷創(chuàng)新,另一方面也要走出適合自己的路。以我國攻擊面管理領(lǐng)域來看,目前參與者雖然還不是很多,但專業(yè)廠商已呈現(xiàn)出增長的態(tài)勢,而且綜合型廠商也開始積極關(guān)注這一領(lǐng)域,在這一逐步發(fā)展壯大的過程當中,安全419所接觸并了解到的這些廠商彼此之間都有著各自所擅長的點,可謂各有特色,這對于攻擊面管理在未來的發(fā)展無疑是有益的。只有當所有參與者抱團一起把攻擊面管理做成安全建設(shè)當中非常重要的一環(huán),那么像包括云科安信在內(nèi)的這些安全企業(yè)也會進一步擴大自己的生存空間,也才有可能令攻擊面管理形成自己獨立的市場。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
