《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 資產(chǎn)測繪與攻擊面管理助力構(gòu)建數(shù)字化安全運(yùn)營體系

資產(chǎn)測繪與攻擊面管理助力構(gòu)建數(shù)字化安全運(yùn)營體系

2022-12-18
來源:安全419
關(guān)鍵詞: 資產(chǎn)測繪 攻擊面

  一,、數(shù)字化轉(zhuǎn)型:時(shí)代的“脈搏”

  《新IT重塑企業(yè)數(shù)字化轉(zhuǎn)型(2022年)》顯示,,2021年我國數(shù)字化轉(zhuǎn)型中涉及的相關(guān)IT服務(wù)和解決方案市場總體規(guī)模達(dá)21,669億元,,未來幾年預(yù)計(jì)將保持20%以上的平均增速,,有望在2025年逼近5萬億大關(guān),。在此背景下,,伴隨數(shù)字化轉(zhuǎn)型的深入推進(jìn),,安全運(yùn)營也從以資產(chǎn)為中心,、以業(yè)務(wù)為中心的傳統(tǒng)模式,,快速邁向以數(shù)據(jù)鏈為中心、多系統(tǒng)協(xié)同驅(qū)動(dòng)的全新階段,。在金融領(lǐng)域,,人民銀行和銀保監(jiān)會(huì)于2022年初相繼發(fā)布了《金融科技發(fā)展規(guī)劃(2022-2025年)》與《關(guān)于銀行業(yè)保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》,銀行業(yè)網(wǎng)絡(luò)安全體系建設(shè)逐步由“局部整改、定期檢查”轉(zhuǎn)變?yōu)椤叭娼ㄔO(shè),、持續(xù)監(jiān)測”,,并更為強(qiáng)調(diào)安全運(yùn)營向體系化、常態(tài)化,、實(shí)戰(zhàn)化發(fā)展,,以更快、更好地識(shí)別各類資產(chǎn)風(fēng)險(xiǎn),,切實(shí)提升安全防護(hù)能力,。

  二、數(shù)據(jù)割裂:安全運(yùn)營的“原罪”

  安全運(yùn)營于數(shù)字化轉(zhuǎn)型而言是能力,,更是基因,。以數(shù)據(jù)鏈為中心、多系統(tǒng)協(xié)同驅(qū)動(dòng)是安全運(yùn)營的基礎(chǔ),,也是數(shù)字化轉(zhuǎn)型的重點(diǎn)和難點(diǎn),。然而,由于歷史原因,,數(shù)據(jù)割裂問題普遍存在于銀行機(jī)構(gòu),,并嚴(yán)重阻礙了銀行數(shù)字化轉(zhuǎn)型和安全運(yùn)營建設(shè)進(jìn)程,主要表現(xiàn)如下:

  一是資產(chǎn)數(shù)據(jù)割裂,。從時(shí)間維度,,由于多期項(xiàng)目建設(shè)以及資產(chǎn)的動(dòng)態(tài)變化,資產(chǎn)數(shù)據(jù)的準(zhǔn)確性,、完整性、實(shí)時(shí)性無法保障,,遺漏或者“脫韁”的資產(chǎn)易成為運(yùn)營盲點(diǎn),;從空間維度,資產(chǎn)在類別,、品牌,、系統(tǒng)、平臺(tái)等方面呈多元化發(fā)展態(tài)勢,,數(shù)據(jù)難以聚合,。

  二是資產(chǎn)數(shù)據(jù)和安全數(shù)據(jù)缺少連接,資產(chǎn)與風(fēng)險(xiǎn)動(dòng)態(tài)關(guān)聯(lián)分析能力不足,,安全風(fēng)險(xiǎn)無法有效可視,,風(fēng)險(xiǎn)感知慢、威脅處置滯后,。

  三是安全數(shù)據(jù)割裂,,脆弱性管理、風(fēng)險(xiǎn)檢測、安全防護(hù),、響應(yīng)處置等通常由多個(gè)平臺(tái)操作,,安全運(yùn)營效率較低。

  從銀行角度來看,,安全運(yùn)營通常意義上需要具備三點(diǎn)能力,,即事前的網(wǎng)絡(luò)管理、資產(chǎn)管理,、事件采集,、漏洞管理能力,事中的事件應(yīng)急響應(yīng),、事件分析處理能力,,事后的事件追溯能力以及日常的數(shù)據(jù)聯(lián)動(dòng)、工單處理能力,,但上述能力在數(shù)據(jù)割裂的場景下均無以為繼,。

  三、資產(chǎn)測繪攻擊面管理:

  運(yùn)維轉(zhuǎn)型迫在眉睫

  01 核心理念

  面向新時(shí)代,,基于數(shù)據(jù)鏈的安全運(yùn)營首先要做到“知己知彼”,。“知己”,,即全面,、實(shí)時(shí)、完整地掌握所有數(shù)字資產(chǎn),;“知彼”,,即持續(xù)監(jiān)測資產(chǎn)脆弱性和風(fēng)險(xiǎn)事件。在此基礎(chǔ)上,,“協(xié)同”威脅情報(bào),、業(yè)務(wù)系統(tǒng)平臺(tái)實(shí)現(xiàn)安全事件的分析、響應(yīng)和處置,,將上述一系列能力集成到統(tǒng)一的安全平臺(tái)上,,即是網(wǎng)絡(luò)空間資產(chǎn)測繪(以下簡稱“資產(chǎn)測繪”)和網(wǎng)絡(luò)資產(chǎn)攻擊面管理(以下簡稱“攻擊面管理”):

  “以銅為鑒”,即結(jié)合數(shù)字資產(chǎn),,從資產(chǎn)屬性符合度甄別端點(diǎn)身份信息,。資產(chǎn)測繪基于主動(dòng)掃描探測技術(shù)、被動(dòng)流量分析技術(shù),、深度資產(chǎn)發(fā)現(xiàn)技術(shù)及數(shù)據(jù)存儲(chǔ)與檢索技術(shù),,支持實(shí)時(shí)動(dòng)態(tài)采集資產(chǎn)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和展現(xiàn)。

  “以人為鑒”:從業(yè)務(wù)符合度判斷風(fēng)險(xiǎn)行為,。結(jié)合資產(chǎn)測繪捕捉到的資產(chǎn)行為,,聯(lián)動(dòng)并對比業(yè)務(wù)系統(tǒng),、協(xié)同威脅情報(bào)平臺(tái),在資產(chǎn)層面實(shí)現(xiàn)對事件的安全性評估以及聯(lián)動(dòng)快速響應(yīng),。

  “以史為鑒”,,即基于歷史數(shù)據(jù),深入分析攻擊面信息與攻擊行為特征信息,。安全的本質(zhì)是攻防對抗,,對抗的關(guān)鍵是信息對稱。2021年,,Gartner正式提出攻擊面管理的概念,,即是從攻擊者視角,審視所有網(wǎng)絡(luò)資產(chǎn)被攻擊利用的可能性,。筆者認(rèn)為,,攻擊面管理更關(guān)注資產(chǎn)脆弱性,當(dāng)攻擊者面對海量資產(chǎn)信息時(shí),,一定會(huì)尋找其中的脆弱點(diǎn)進(jìn)行載荷投放,,再以此為跳板,尋找新的脆弱點(diǎn)發(fā)起下一輪攻擊,。對此,,攻擊面管理通過與不同的第三方系統(tǒng)對接,實(shí)現(xiàn)多源數(shù)據(jù)融合與安全能力聚合,,并根據(jù)資產(chǎn)脆弱性進(jìn)行風(fēng)險(xiǎn)評估,,確定優(yōu)先級(jí)。在此基礎(chǔ)上,,安全人員根據(jù)攻擊面分析,,還可通過基于攻擊面管理的統(tǒng)一操作和協(xié)作平臺(tái)進(jìn)行快速響應(yīng)處置,收斂所有可能被攻擊的入口,。

  02 典型場景

  相比于攻擊者只需找到一處弱點(diǎn)即可完成突破,,防守方通常需要全面兼顧,而引入資產(chǎn)測繪與攻擊面管理技術(shù),,有助于構(gòu)建更為完整的安全運(yùn)營體系,實(shí)現(xiàn)全面的一體化防御,。舉例來說,,將基于上述技術(shù)的系統(tǒng)與主機(jī)防護(hù)系統(tǒng)聯(lián)動(dòng),將可梳理出所有未安裝防護(hù)客戶端的主機(jī),,解決防護(hù)工具覆蓋不全的問題,;通過掃描啞終端的操作系統(tǒng),可快速發(fā)現(xiàn)未知的運(yùn)行于Windows/Linux/Android系統(tǒng)上的啞終端,,此類啞終端雖然未按照PC/服務(wù)器/手機(jī)的安全管控方式管理,,卻有著相同的安全風(fēng)險(xiǎn),;通過采集PC、服務(wù)器,、物聯(lián)網(wǎng)設(shè)備的多維度屬性,,建立統(tǒng)一的安全合規(guī)基線,可實(shí)現(xiàn)對各種資產(chǎn)的合規(guī)性檢查,;通過采集實(shí)時(shí)的資產(chǎn)數(shù)據(jù),,并將其與威脅情報(bào)漏洞特征關(guān)聯(lián),可快速發(fā)現(xiàn)資產(chǎn)漏洞,,解決傳統(tǒng)漏掃系統(tǒng)在面對掃描網(wǎng)段范圍大,、網(wǎng)段經(jīng)常變動(dòng)時(shí)存在的漏洞掃描不全問題。

  03 預(yù)期成效

  結(jié)合工作實(shí)際來看,,基于資產(chǎn)測繪構(gòu)建全量資產(chǎn)數(shù)據(jù)中臺(tái),,將可實(shí)現(xiàn)便捷的自定義搜索與可視化的自定義統(tǒng)計(jì)功能,而基于攻擊面管理可支持在不同場景下快速獲取不同來源的資產(chǎn)關(guān)鍵信息,,幫助安全人員高效進(jìn)行信息過濾,、關(guān)聯(lián)分析、聯(lián)動(dòng)操作,、跨部門協(xié)作,,進(jìn)而快速感知安全風(fēng)險(xiǎn)、提高應(yīng)急響應(yīng)效率:

  1 打造匯集全量資產(chǎn)數(shù)據(jù)與安全數(shù)據(jù)的分析平臺(tái),。通過與多個(gè)漏洞掃描系統(tǒng)對接并獲取掃描結(jié)果,,結(jié)合全量資產(chǎn)數(shù)據(jù),可輔助安全人員快速開展對比分析,、排除誤報(bào),,明確處理優(yōu)先級(jí);同時(shí),,通過與EDR終端檢測響應(yīng)系統(tǒng)對接,,將可在蠕蟲病毒暴發(fā)時(shí)第一時(shí)間獲取病毒特征,快速發(fā)現(xiàn)所有可能受此病毒影響的設(shè)備,,并明確具體數(shù)量和位置,,幫助安全人員快速掌握入侵攻擊的威脅半徑,及時(shí)采取措施進(jìn)行響應(yīng)處置,;此外,,通過查找對比不同維度的資產(chǎn)信息,如設(shè)備信息,、網(wǎng)絡(luò)信息,、操作系統(tǒng)/固件信息、硬/軟件信息,、用戶信息,、資產(chǎn)位置,、資產(chǎn)關(guān)系圖譜、資產(chǎn)調(diào)撥記錄,、資產(chǎn)變更記錄,、資產(chǎn)安全評分等,可輔助科技運(yùn)維和安全運(yùn)營,。

  2 打造聚合安全能力的操作平臺(tái),。通過基于攻擊面管理的系統(tǒng)與第三方系統(tǒng)聯(lián)動(dòng),有助于獲取不同的安全能力和聯(lián)動(dòng)處置能力,,進(jìn)而為安全人員和運(yùn)維人員提供統(tǒng)一的操作平臺(tái),,實(shí)現(xiàn)對風(fēng)險(xiǎn)的快速響應(yīng)與處置,進(jìn)一步提高工作效率,。

  3 打造自動(dòng)化的跨部門協(xié)作平臺(tái),。通過基于攻擊面管理的系統(tǒng)和不同的工單系統(tǒng)對接,可實(shí)現(xiàn)自定義的任務(wù)編排,,并與對應(yīng)的工單系統(tǒng)聯(lián)動(dòng)完成自動(dòng)化處理,,進(jìn)而實(shí)現(xiàn)跨部門的協(xié)同操作,大幅提高安全團(tuán)隊(duì)的業(yè)務(wù)效率,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]