华云安·ASM技术篇：攻防视角下的攻击面管理

　　一、前言

　　随着网络数字化转型速度的加快，企业运营方式发生重大变化，网络基础设施更加复杂，使得攻击面的规模不断扩大，网络空间安全承受多重考验。为更全面的保障网络安全、社会安全、关键信息基础设施安全，亟需通过多方协作的方案，帮助企业从全局视角提升安全防护水平和维护安全运营环境。

　　二、亦攻亦防——相渗透，共促进

　　攻防演练帮助企业排查和分析攻击面/风险暴露面。攻防演练从排查系统安全隐患和保障网络安全的角度出发，在有监督的条件下，运用多种攻防技术模拟真实的网络攻击，完成对目标系统安全性和运营保障有效性的评估。攻防演练也是构建完备的安全策略的关键组成部分，能够帮助组织识别网络边界内人员、流程和技术的弱点，并查明安全漏洞，例如：安全架构中可能存在的后门和其他访问漏洞。

　　在攻防演练实战中，核心是“攻”、“守”两方的较量。攻击方尝试使用复杂的攻击技术识别和利用网络防御中的潜在弱点，是准确评估公司预防、检测和安全事件处置能力的关键组成部分。防守方由事件响应人员组成，承担识别、评估和响应入侵的工作，其专家及团队是受检方防御体系中的重要组成部分，能够反映出防守方的安全防御和应急响应的能力。

　　攻防演练中攻击方展开从攻击面分析、边界突破、横向渗透到攻破目标的攻击过程，防守方则是从暴露面收敛、边界防御、区域控制到强化控制的防守过程。但双方不是仅一味的攻击或防御，比如：攻击方要防御来自防守方的蜜罐欺骗。攻防演练过程实质是攻中有防，防中藏攻。在这场激烈的攻防博弈战中双方不断增进技术，改进安全策略，联合多方视角共同绘制了全面的安全网络架构图，切实做到“以攻促防”。

　　三、攻击面管理的必要性

　　在围绕目标系统制定实战策略后，开展攻防实战的首要步骤是攻击面分析与暴露面收敛。攻击方试图通过信息收集获取目标可用的信息，将各攻击点连接汇成攻击面，攻击面越广意味着发现潜在漏洞的可能性越大，攻击成功的概率也就越高。同样地，防守方关注自身的暴露面，分析自身可能存在的安全风险，然后通过安全方案最小化暴露面，以此降低安全风险。当防守方通过信息收集获取的结果越全面，对自身安全状况了解就越透彻，对抗的思路也越清晰，进而找到降低安全风险的最优解决方案。攻击者往往只需要利用目标存在的某个脆弱点即可发动网络攻击，组织欲在攻击者发现风险之前消除或管理风险，需了解自身安全现状并探知未知风险。为了应对这些挑战，组织必须实现完整的可视化和持续监控。及时识别数字资产是强大威胁情报的重要组成部分，攻击面管理可快速检测、映射和分类本地和云IT等资产，大大降低数据泄露的风险。攻击面管理有助于预防和减轻来自以下的风险：

　　1、遗留、物联网和影子IT资产

　　2、人为错误和遗漏，如网络钓鱼和数据泄露

　　3、脆弱和过时的软件

　　4、未知开源软件(OSS)

　　5、对您所在行业的大规模攻击

　　6、对您的组织的定向网络攻击

　　7、侵犯知识产权

　　8、从并购活动中继承的IT

　　9、供应商管理的资产

　　四、攻防视角解读攻击面管理

　　从攻击方角度看，需要尽可能多的获取攻击面信息，方便后续开展武器化的攻击活动;相反的，防守方则尽可能地隐藏暴露面信息，以便在攻击初期截断攻击者后续的各类攻击行为。将攻防演练映射到真实网络环境下，企业可基于攻击面管理(ASM)控制平台，对包含、传输或处理敏感数据的外部数字资产的持续发现、清点、分类、优先排序和安全监控，了解资产上存在的风险点，可以让企业比攻击者领先一步隐藏暴露的攻击面。然而单一平台的监管能力具有一定的局限性，不能掌控所有安全事件，难以针对突发事件做出及时有效的处理。

　　华云安为解决上述安全管理难题，提出了一种“产品➕ 安全服务”辅助协作的攻击面管理(ASM)产品体系，可避免网络安全运营成本的过量投入，同时进一步提升安全管理运营的有效性，帮助企业从攻防视角评估自身可能存在的网络安全风险和脆弱性。

　　产品为基础

　　华云安拥有灵洞威胁与漏洞管理系统、灵刃智能化渗透攻防系统、灵鉴弱点识别与检测系统等网络安全产品，为政府、金融、能源、教育、医疗等行业，提供集网络安全情报采集分析能力、关键信息基础设施防御能力、网络安全反制能力于一体的新一代云原生安全产品解决方案。

　　服务为核心

　　华云安以实战、实网、对抗、常态为目标，从漏洞挖掘、渗透测试、威胁分析、情报预警、攻击溯源、应急处置、红蓝对抗、攻防演练、重保支撑、代码审计、风险评估、安全培训等多个维度覆盖用户安全场景，实现威胁管理、攻击模拟、溯源分析、端点防御等一体化安全运营管理能力。华云安安全服务特色如下：

　　规范化的安全服务流程

　　安全服务流程特点在于全程化服务，即从前期准备到结果输出的全阶段服务过程。技术人员会针对客户的漏洞修补提供专业的建议和指导，保障发现漏洞、修补、验证的全程跟踪，每一次服务都会在前一次的基础上寻找新的突破口，确保应急响应工作的全面规范化，力求最大程度地保证测试目标的安全。

　　针对用户不同的业务层面存在的安全漏洞及威胁，结合安全专家的分析经验提供一系列测试方法及流程，提出相应的修补建议供用户参考。

　　快速的安全服务周期

　　安全服务流程各环节都有固定的项目阶段管理办法，严格按照服务实施标准和原则，由专门的项目管理人员完成全周期的质量监控，充分调用资源，高效地解决项目中的各类问题，保证项目按质按量按时地顺利完成。

　　安全服务团队经过长期的经验积累与技术沉淀，目前已具备成熟的服务运行体系，充分确保安全服务流程的高效运转。