11月2日,云科安信在北京舉辦以“智御未來 不止所見”為主題的白澤攻擊面管理產品升級發布會,正式發布了旗下的“OSINT-ASM白澤”攻擊面管理產品。(擴展閱讀:為企業注入實戰攻防能力 云科安信正式發布OSINT-ASM白澤攻擊面管理產品)
發布會現場,在北京賽博英杰董事長譚曉生的主持下,云科安信CEO金飛、安全419創始人張毅、賽博諦聽創始人金湘宇、紫金支點北京分公司副總經理周如雪等安全行業中的各方從業者代表圍繞當前國內網絡安全形勢的變化、攻擊面管理技術賽道在國內和國外發展現狀,以及未來攻擊面管理技術的發展等相關話題,從技術、市場和產業的角度展開了討論和分享,為攻擊面管理產品和技術的進一步發展提供了諸多有益參考。
實戰攻防態勢的持續升級
迅速催生了攻擊面管理市場
圓桌討論伊始,主持人北京賽博英杰董事長譚曉生首先拋出了一個當前安全行業十分關注的話題:
Gartner最初在2018年提出了攻擊面管理的概念,直至2021年才開始火熱起來,但縱觀行業已經有多家安全廠商都將自身定位為攻擊面管理廠商,那攻擊面管理概念是如何由來的?又為何甫一提出就迅速爆紅?
賽博諦聽創始人金湘宇從產業的視角回答了譚校長代表業界提出的這一疑惑,他談到,事實上在攻擊面管理這一概念出現之前,業界已經出現過一些如“互聯網資產管理”、“暴露面管理”、“掛圖作戰”等相近的技術名詞,它們都是攻防實戰和對抗的背景下衍生的技術理念,同屬漏洞管理領域的范疇之中。
盡管國內一些安全廠商也引入了這些技術概念,但最終它們在用戶場景中落地時,都或多或少的表現出了一些先天的不足。譬如,互聯網資產管理類的產品會將全網的資產進行數據梳理,導致用戶很難從中找到與己相關的安全風險;而暴露面管理則更多是從防守者的視角剖析自身可能存在的薄弱環節,用戶往往會陷入“自視甚高”的誤區。
近年來,隨著網絡攻擊手段和攻防對抗技術的不斷升級,網絡安全威脅態勢進一步加劇,因此,網絡安全的防御方逐漸開始采用如att&ck這樣的新的技術理念驅動防御技術的提升,從防御者的視角嘗試把網絡攻擊手法、黑客的攻擊流程進行結構化和標準化,進而重新評估自身的安全建設水平,而攻擊面管理這一概念也由此產生”,金湘宇表示。
在他看來,攻擊面管理與暴露面管理是截然不同的兩種技術方向,暴露面往往是從甲方用戶的視角剖析自身,而攻擊面管理則完全是從攻擊者視角出發,去尋找包括企業公開經營信息、公開網站、WiFi網絡等等一切可利用的信息和暴露資產,力求以最快速的方式突破企業組織網絡,這些路徑往往站在防御者的視角是無法從中感知到風險的。“從攻擊者將企業作為攻擊目標的那一刻起,風險就已經無處不在。”
金湘宇談到,當前業內也有不少人會拿攻擊面管理和漏洞掃描類產品相比較,但除了攻擊者視角和防御者視角上的差異外,漏洞掃描類產品往往會按照漏洞管理的角度來對漏洞進行高中低危級別的識別和判斷。
但對攻擊者而言,往往并不會關注漏洞的危害等級,只關注能夠最直接有效利用的漏洞,由于業務場景的不同,一個漏洞對一家企業而言可能是低危,但對另一家企業而言或許就具備致命威脅,而從外部攻擊者視角往往會更直面威脅。
既需“診病”也需“開方”
攻擊面管理應為用戶打造安全閉環
雖然當前業界已經有不少企業都宣稱在做攻擊面管理,但實際上能夠拿出成熟產品的廠商屈指可數。而這些廠商在技術路線上也各有側重。那么云科安信給自己什么樣的定位,能夠為用戶解決哪一類的安全問題?
在云科安信CEO金飛看來,是否真正具備攻擊者視角和攻擊者思路是一家攻擊面管理廠商正名定分的核心能力。誰能夠以最快的速度、最短的路徑驗證用戶存在安全風險,誰就具備快速打動客戶的能力。
“攻擊者視角和攻擊者思路是每家安全廠商或者安全團隊非常特殊的能力積累,而這些恰恰是做攻擊面管理的核心和基礎,云科安信是一家具備20年攻防一線對抗經驗的安全廠商,我們的底氣在于能夠以最快的速度找到支撐攻擊思路的數字資產漏洞,做最有效的威脅驗證。”
他指出,當前業內許多從業者將攻擊面管理概念定位為一個體檢的手段,但事實上在云科安信看來遠不止于此,實戰攻防應該是一個高效的閉環。“舉個例子,當我們幫助一個用戶診斷出了病因后,還要給他開方煎藥,這樣才能夠真正幫助用戶緩解病痛。”
“回到實戰攻防的視角,云科安信聚焦在Web攻防領域,只專注于高對抗性場景下的防御和保障。因此云科安信想做的是更有價值的事情,我們既然能夠以最高效的方式幫助用戶發現那些見血封喉的攻擊招數,必然就也需要幫助用戶做好緩解措施和針對性防護。”
安全419創始人張毅也對金飛的這一觀點表示贊同,他認為,攻擊面管理的概念并非是一個革新性的成果,而是在過往實戰攻防基礎之上的質變。因此,攻擊面管理的概念未來會注定還有更多的外延,相關的安全廠商也需要不斷豐富自身的技術和產品范疇,不斷的為用戶打造安全的閉環。
做攻擊面管理不能說是開一家慈銘體檢或者愛康國賓,首先體檢的商業價值有限,第二,用戶也不希望在一個地方做完體檢之后,反而還要自己去找醫院、找醫生治病。用戶的心態往往是,既然你是一個好醫生,能夠診斷出我的病理,那能不能幫我治好?”
因此張毅認為,作為一項能夠幫助用戶發現致命弱點的安全技術手段,在發現威脅后是否能夠幫助用戶進一步處置或將是決定一家攻擊面管理廠商未來發展規模的瓶頸所在。
展望未來 攻擊面管理將到哪里去?
作為一個新興的技術領域,攻擊面管理整體市場仍然處于發展早期,包括國外相關安全廠商也仍然處于探索階段。展望未來,攻擊面管理相關的技術與產品將到哪里去的問題,或許需要每一位參與者來貢獻自己的答案。
在金湘宇看來,攻擊面管理實際上是實戰攻防對抗時代下的產物,從宏觀的維度應該被劃分到安全運營的賽道中。因此在他看來,攻擊面管理廠商將自身最新的漏洞研究、技術趨勢以及相關安全風險和事件形成威脅情報,以標準化服務的形式向SIEM、SOC安全運營類產品集成,或許是未來其中一條發展思路。
攻擊者看到的資產和漏洞,往往是能夠直接驗證威脅存在的信息,攻擊者既然能夠看到就一定會優先利用這些更高效的資產和漏洞,因此這部分信息在安全運營平臺中,相比其他資產產生的告警信息而言,應該對應更高的處置優先級。”
除此之外,金湘宇認為,當把實戰攻防技術做到頂級之后,順著安全運營的思路事實上能夠拓展出很多的應用場景。比如將攻擊面管理與蜜罐蜜罐類產品相關聯,“如果我們假設一個攻擊面一定會被攻擊者利用,那么就可以反向利用,把攻擊面相關弱點打造成一個蜜罐,以此吸引攻擊者的火力,同時也能夠抓住攻擊者的更多身份信息。”
金飛也就此分享了自己的理解,他認為,攻擊面管理的一切基因都來自于攻擊思路和攻擊技法的演變,而攻擊思路又會受到最新的威脅變化的牽引,因此,當前很難去準確預測攻擊面管理未來會具體向哪些方向發展。
”我們會沿著實戰攻防對抗這條路持續向下拓展,如果新的攻擊技法里面涉及到一些原來沒觸碰到的領域,我們就會把這個領域里的信息收集起來,來支持我們的攻擊思路、驗證攻擊的路徑,這是云科安信的基本邏輯,一切以攻擊為牽動,攻擊需要什么樣的信息,我們就豐富什么樣的信息,豐富什么樣的功能。“
他同樣認為,安全運營的整體思路與攻擊面管理未來的發展方向相契合,攻擊面管理擅長的是發現問題和快速止血,如何系統化的解決問題仍然要依賴于一個組合式的技術架構和更多元化的安全生態來共同保障。”攻擊面更多的是賦予用戶攻擊者的視角,讓用戶能夠了解自身的基礎架構在攻擊者眼中有哪些致命點,在快速補上缺口之后,用戶也能夠梳理現有技術架構中的能力空缺,去找到相應的安全廠商來提供最優解決方案,更體系化的促進整體安全能力的提升。“
他表示,作為當前攻擊面管理領域的早期參與者,云科安信的定位并非是以大而全的方式幫助用戶檢出風險,而是以最犀利的手段,主動找出那些可能對當前技術架構造成嚴重傷害的攻擊路徑,優先幫助用戶解決最高危的安全問題,協同安全生態合作伙伴一起,在最短的時間周期內,將用戶的整體安全防御能力提升至安全可控的水平。
更多信息可以來這里獲取==>>電子技術應用-AET<<
