一、前言随着网络数字化转型速度的加快,企业运营方式发生重大变化,网络基础设施更加复杂,使得攻击面的规模不断扩大,网络空间安全承受多重考验。为更全面的保障网络安全、社会安全、关键信息基础设施安全,亟需通过多方协作的方案,帮助企业从全局视角提升安全防护水平和维护安全运营环境。二、亦攻亦防——相渗透,共促进攻防演练帮助企业排查和分析攻击面/风险暴露面。攻防演练从排查系统安全隐患和保障网络安全的角度出发,在有监督的条件下,运用多种攻防技术模拟真实的网络攻击,完成对目标系统安全性和运营保障有效性的评估。攻防演练也是构建完备的安全策略的关键组成部分,能够帮助组织识别网络边界内人员、流程和技术的弱点,并查明安全漏洞,例如:安全架构中可能存在的后门和其他访问漏洞。在攻防演练实战中,核心是“攻”、“守”两方的较量。攻击方尝试使用复杂的攻击技术识别和利用网络防御中的潜在弱点,是准确评估公司预防、检测和安全事件处置能力的关键组成部分。防守方由事件响应人员组成,承担识别、评估和响应入侵的工作,其专家及团队是受检方防御体系中的重要组成部分,能够反映出防守方的安全防御和应急响应的能力。攻防演练中攻击方展开从攻击面分析、边界突破、横向渗透到攻破目标的攻击过程,防守方则是从暴露面收敛、边界防御、区域控制到强化控制的防守过程。但双方不是仅一味的攻击或防御,比如:攻击方要防御来自防守方的蜜罐欺骗。攻防演练过程实质是攻中有防,防中藏攻。在这场激烈的攻防博弈战中双方不断增进技术,改进安全策略,联合多方视角共同绘制了全面的安全网络架构图,切实做到“以攻促防”。三、攻击面管理的必要性在围绕目标系统制定实战策略后,开展攻防实战的首要步骤是攻击面分析与暴露面收敛。攻击方试图通过信息收集获取目标可用的信息,将各攻击点连接汇成攻击面,攻击面越广意味着发现潜在漏洞的可能性越大,攻击成功的概率也就越高。同样地,防守方关注自身的暴露面,分析自身可能存在的安全风险,然后通过安全方案最小化暴露面,以此降低安全风险。当防守方通过信息收集获取的结果越全面,对自身安全状况了解就越透彻,对抗的思路也越清晰,进而找到降低安全风险的最优解决方案。攻击者往往只需要利用目标存在的某个脆弱点即可发动网络攻击,组织欲在攻击者发现风险之前消除或管理风险,需了解自身安全现状并探知未知风险。为了应对这些挑战,组织必须实现完整的可视化和持续监控。及时识别数字资产是强大威胁情报的重要组成部分,攻击面管理可快速检测、映射和分类本地和云IT等资产,大大降低数据泄露的风险。攻击面管理有助于预防和减轻来自以下的风险:1、遗留、物联网和影子IT资产2、人为错误和遗漏,如网络钓鱼和数据泄露3、脆弱和过时的软件4、未知开源软件(OSS)5、对您所在行业的大规模攻击6、对您的组织的定向网络攻击7、侵犯知识产权8、从并购活动中继承的IT9、供应商管理的资产四、攻防视角解读攻击面管理从攻击方角度看,需要尽可能多的获取攻击面信息,方便后续开展武器化的攻击活动;相反的,防守方则尽可能地隐藏暴露面信息,以便在攻击初期截断攻击者后续的各类攻击行为。将攻防演练映射到真实网络环境下,企业可基于攻击面管理(ASM)控制平台,对包含、传输或处理敏感数据的外部数字资产的持续发现、清点、分类、优先排序和安全监控,了解资产上存在的风险点,可以让企业比攻击者领先一步隐藏暴露的攻击面。然而单一平台的监管能力具有一定的局限性,不能掌控所有安全事件,难以针对突发事件做出及时有效的处理。华云安为解决上述安全管理难题,提出了一种“产品? 安全服务”辅助协作的攻击面管理(ASM)产品体系,可避免网络安全运营成本的过量投入,同时进一步提升安全管理运营的有效性,帮助企业从攻防视角评估自身可能存在的网络安全风险和脆弱性。产品为基础华云安拥有灵洞威胁与漏洞管理系统、灵刃智能化渗透攻防系统、灵鉴弱点识别与检测系统等网络安全产品,为政府、金融、能源、教育、医疗等行业,提供集网络安全情报采集分析能力、关键信息基础设施防御能力、网络安全反制能力于一体的新一代云原生安全产品解决方案。服务为核心华云安以实战、实网、对抗、常态为目标,从漏洞挖掘、渗透测试、威胁分析、情报预警、攻击溯源、应急处置、红蓝对抗、攻防演练、重保支撑、代码审计、风险评估、安全培训等多个维度覆盖用户安全场景,实现威胁管理、攻击模拟、溯源分析、端点防御等一体化安全运营管理能力。华云安安全服务特色如下:规范化的安全服务流程安全服务流程特点在于全程化服务,即从前期准备到结果输出的全阶段服务过程。技术人员会针对客户的漏洞修补提供专业的建议和指导,保障发现漏洞、修补、验证的全程跟踪,每一次服务都会在前一次的基础上寻找新的突破口,确保应急响应工作的全面规范化,力求最大程度地保证测试目标的安全。针对用户不同的业务层面存在的安全漏洞及威胁,结合安全专家的分析经验提供一系列测试方法及流程,提出相应的修补建议供用户参考。快速的安全服务周期安全服务流程各环节都有固定的项目阶段管理办法,严格按照服务实施标准和原则,由专门的项目管理人员完成全周期的质量监控,充分调用资源,高效地解决项目中的各类问题,保证项目按质按量按时地顺利完成。安全服务团队经过长期的经验积累与技术沉淀,目前已具备成熟的服务运行体系,充分确保安全服务流程的高效运转。 |