“诊病”后如何“开方”或成为攻击面管理厂商的发展瓶颈所在

11月2日,云科安信在北京举办以“智御未来 不止所见”为主题的白泽攻击面管理产品升级发布会,正式发布了旗下的“OSINT-ASM白泽”攻击面管理产品。(扩展阅读:为企业注入实战攻防能力 云科安信正式发布OSINT-ASM白泽攻击面管理产品)

发布会现场,在北京赛博英杰董事长谭晓生的主持下,云科安信CEO金飞、安全419创始人张毅、赛博谛听创始人金湘宇、紫金支点北京分公司副总经理周如雪等安全行业中的各方从业者代表围绕当前国内网络安全形势的变化、攻击面管理技术赛道在国内和国外发展现状,以及未来攻击面管理技术的发展等相关话题,从技术、市场和产业的角度展开了讨论和分享,为攻击面管理产品和技术的进一步发展提供了诸多有益参考。

实战攻防态势的持续升级 迅速催生了攻击面管理市场

圆桌讨论伊始,主持人北京赛博英杰董事长谭晓生首先抛出了一个当前安全行业十分关注的话题,Gartner最初在2018年提出了攻击面管理的概念,直至2021年才开始火热起来,但纵观行业已经有多家安全厂商都将自身定位为攻击面管理厂商,那攻击面管理概念是如何由来的?又为何甫一提出就迅速爆红?

赛博谛听创始人金湘宇从产业的视角回答了谭校长代表业界提出的这一疑惑,他谈到,事实上在攻击面管理这一概念出现之前,业界已经出现过一些如“互联网资产管理”、“暴露面管理”、“挂图作战”等相近的技术名词,它们都是攻防实战和对抗的背景下衍生的技术理念,同属漏洞管理领域的范畴之中。

尽管国内一些安全厂商也引入了这些技术概念,但最终它们在用户场景中落地时,都或多或少的表现出了一些先天的不足。譬如,互联网资产管理类的产品会将全网的资产进行数据梳理,导致用户很难从中找到与己相关的安全风险;而暴露面管理则更多是从防守者的视角剖析自身可能存在的薄弱环节,用户往往会陷入“自视甚高”的误区。

“近年来,随着网络攻击手段和攻防对抗技术的不断升级,网络安全威胁态势进一步加剧,因此,网络安全的防御方逐渐开始采用如att&ck这样的新的技术理念驱动防御技术的提升,从防御者的视角尝试把网络攻击手法、黑客的攻击流程进行结构化和标准化,进而重新评估自身的安全建设水平,而攻击面管理这一概念也由此产生”,金湘宇表示。

在他看来,攻击面管理与暴露面管理是截然不同的两种技术方向,暴露面往往是从甲方用户的视角剖析自身,而攻击面管理则完全是从攻击者视角出发,去寻找包括企业公开经营信息、公开网站、WiFi网络等等一切可利用的信息和暴露资产,力求以最快速的方式突破企业组织网络,这些路径往往站在防御者的视角是无法从中感知到风险的。“从攻击者将企业作为攻击目标的那一刻起,风险就已经无处不在。”

金湘宇谈到,当前业内也有不少人会拿攻击面管理和漏洞扫描类产品相比较,但除了攻击者视角和防御者视角上的差异外,漏洞扫描类产品往往会按照漏洞管理的角度来对漏洞进行高中低危级别的识别和判断。

但对攻击者而言,往往并不会关注漏洞的危害等级,只关注能够最直接有效利用的漏洞,由于业务场景的不同,一个漏洞对一家企业而言可能是低危,但对另一家企业而言或许就具备致命威胁,而从外部攻击者视角往往会更直面威胁。

既需“诊病”也需“开方” 攻击面管理应为用户打造安全闭环

虽然当前业界已经有不少企业都宣称在做攻击面管理,但实际上能够拿出成熟产品的厂商屈指可数。而这些厂商在技术路线上也各有侧重。那么云科安信给自己什么样的定位,能够为用户解决哪一类的安全问题?

在云科安信CEO金飞看来,是否真正具备攻击者视角和攻击者思路是一家攻击面管理厂商正名定分的核心能力。谁能够以最快的速度、最短的路径验证用户存在安全风险,谁就具备快速打动客户的能力。

“攻击者视角和攻击者思路是每家安全厂商或者安全团队非常特殊的能力积累,而这些恰恰是做攻击面管理的核心和基础,云科安信是一家具备20年攻防一线对抗经验的安全厂商,我们的底气在于能够以最快的速度找到支撑攻击思路的数字资产漏洞,做最有效的威胁验证。”

他指出,当前业内许多从业者将攻击面管理概念定位为一个体检的手段,但事实上在云科安信看来远不止于此,实战攻防应该是一个高效的闭环。“举个例子,当我们帮助一个用户诊断出了病因后,还要给他开方煎药,这样才能够真正帮助用户缓解病痛。”

“回到实战攻防的视角,云科安信聚焦在Web攻防领域,只专注于高对抗性场景下的防御和保障。因此云科安信想做的是更有价值的事情,我们既然能够以最高效的方式帮助用户发现那些见血封喉的攻击招数,必然就也需要帮助用户做好缓解措施和针对性防护。”

安全419创始人张毅也对金飞的这一观点表示赞同,他认为,攻击面管理的概念并非是一个革新性的成果,而是在过往实战攻防基础之上的质变。因此,攻击面管理的概念未来会注定还有更多的外延,相关的安全厂商也需要不断丰富自身的技术和产品范畴,不断的为用户打造安全的闭环。

“做攻击面管理不能说是开一家慈铭体检或者爱康国宾,首先体检的商业价值有限,第二,用户也不希望在一个地方做完体检之后,反而还要自己去找医院、找医生治病。用户的心态往往是,既然你是一个好医生,能够诊断出我的病理,那能不能帮我治好?”

因此张毅认为,作为一项能够帮助用户发现致命弱点的安全技术手段,在发现威胁后是否能够帮助用户进一步处置或将是决定一家攻击面管理厂商未来发展规模的瓶颈所在。

展望未来 攻击面管理将到哪里去?

作为一个新兴的技术领域,攻击面管理整体市场仍然处于发展早期,包括国外相关安全厂商也仍然处于探索阶段。展望未来,攻击面管理相关的技术与产品将到哪里去的问题,或许需要每一位参与者来贡献自己的答案。

在金湘宇看来,攻击面管理实际上是实战攻防对抗时代下的产物,从宏观的维度应该被划分到安全运营的赛道中。因此在他看来,攻击面管理厂商将自身最新的漏洞研究、技术趋势以及相关安全风险和事件形成威胁情报,以标准化服务的形式向SIEM、SOC安全运营类产品集成,或许是未来其中一条发展思路。“攻击者看到的资产和漏洞,往往是能够直接验证威胁存在的信息,攻击者既然能够看到就一定会优先利用这些更高效的资产和漏洞,因此这部分信息在安全运营平台中,相比其他资产产生的告警信息而言,应该对应更高的处置优先级。”

除此之外,金湘宇认为,当把实战攻防技术做到顶级之后,顺着安全运营的思路事实上能够拓展出很多的应用场景。比如将攻击面管理与蜜罐蜜罐类产品相关联,“如果我们假设一个攻击面一定会被攻击者利用,那么就可以反向利用,把攻击面相关弱点打造成一个蜜罐,以此吸引攻击者的火力,同时也能够抓住攻击者的更多身份信息。”

金飞也就此分享了自己的理解,他认为,攻击面管理的一切基因都来自于攻击思路和攻击技法的演变,而攻击思路又会受到最新的威胁变化的牵引,因此,当前很难去准确预测攻击面管理未来会具体向哪些方向发展。“我们会沿着实战攻防对抗这条路持续向下拓展,如果新的攻击技法里面涉及到一些原来没触碰到的领域,我们就会把这个领域里的信息收集起来,来支持我们的攻击思路、验证攻击的路径,这是云科安信的基本逻辑,一切以攻击为牵动,攻击需要什么样的信息,我们就丰富什么样的信息,丰富什么样的功能。”

他同样认为,安全运营的整体思路与攻击面管理未来的发展方向相契合,攻击面管理擅长的是发现问题和快速止血,如何系统化的解决问题仍然要依赖于一个组合式的技术架构和更多元化的安全生态来共同保障。“攻击面更多的是赋予用户攻击者的视角,让用户能够了解自身的基础架构在攻击者眼中有哪些致命点,在快速补上缺口之后,用户也能够梳理现有技术架构中的能力空缺,去找到相应的安全厂商来提供最优解决方案,更体系化的促进整体安全能力的提升。”

他表示,作为当前攻击面管理领域的早期参与者,云科安信的定位并非是以大而全的方式帮助用户检出风险,而是以最犀利的手段,主动找出那些可能对当前技术架构造成严重伤害的攻击路径,优先帮助用户解决最高危的安全问题,协同安全生态合作伙伴一起,在最短的时间周期内,将用户的整体安全防御能力提升至安全可控的水平。