某500強(qiáng)集團(tuán)曾永紅：淺議企業(yè)網(wǎng)絡(luò)安全攻擊面管理

淺議企業(yè)網(wǎng)絡(luò)安全攻擊面管理傳統(tǒng)企業(yè)安全防御管理新常態(tài)下的攻擊面思考運(yùn)營(yíng)安全技術(shù)的價(jià)值探討55知己知友知己4360互聯(lián)同安全中心6360互聯(lián)同安全中心知己：數(shù)字資產(chǎn)、防護(hù)手段1、知己：到底有哪些數(shù)字資產(chǎn)?云安全聯(lián)盟CISO高峰論壇√動(dòng)態(tài)令牌/Fuzz弱口令檢查√安全基線核查√安全加固/備份/容災(zāi)√數(shù)據(jù)加密/脫敏√溯源反制/明暗水印√攻防演練√滲透測(cè)試/漏洞檢測(cè)/POC/眾測(cè)√可信計(jì)算環(huán)境√算法安全√辦公安全(人員、設(shè)備、服務(wù)、物理安全、第三方安全)√業(yè)務(wù)風(fēng)控/薅羊毛..360互聯(lián)同安全中心云安全聯(lián)盟CISO高峰論壇第十屬互聯(lián)網(wǎng)安全大會(huì)360互聯(lián)同安全中心知彼：了解您的敵人和攻擊手段第十屬互聯(lián)網(wǎng)安全大會(huì)360互聯(lián)同安全中心√黑客/腳本小子云安全聯(lián)盟CISO高峰論壇第十屬互聯(lián)網(wǎng)安全大會(huì)√免殺木馬√模板注入√社會(huì)工程學(xué)√釣魚(yú)攻擊√魚(yú)叉攻擊√旁站攻擊√供應(yīng)鏈攻擊√撞庫(kù)攻擊√賬號(hào)爆破√緩沖區(qū)溢出攻擊√密碼破解√重放攻擊√虛擬機(jī)逃逸/沙箱逃逸攻擊策略制定區(qū)域控制邊界防護(hù)策略制定暴露面收斂防御3、攻擊策略制定區(qū)域控制邊界防護(hù)策略制定暴露面收斂防御紅藍(lán)攻防全景推演第三方平臺(tái)(開(kāi)源平臺(tái)、云平臺(tái)等)技術(shù)漏洞檢測(cè)修補(bǔ)流量清洗過(guò)濾云安全聯(lián)盟CISO高峰論壇360互聯(lián)同安全中心360互聯(lián)同安全中心了解不斷變化的環(huán)境云安全聯(lián)盟CISO高峰論壇360互聯(lián)同安全中心了解最新的解決方案云安全聯(lián)盟CISO高峰論壇>在2021年7月，Gartner發(fā)布了《2021安全運(yùn)營(yíng)技術(shù)成熟度曲線》,將攻擊面管理相關(guān)技術(shù)定義為新興技術(shù)。在Gartner發(fā)布的2022云安全聯(lián)盟CISO高峰論壇第十屬互聯(lián)網(wǎng)安全大會(huì)云安全聯(lián)盟CISO高峰論壇第十屬互聯(lián)網(wǎng)安全大會(huì)第十屬互聯(lián)網(wǎng)安全大會(huì)>攻擊面管理是抵御攻擊的第一道防線>攻擊面不斷在變化，持續(xù)的攻擊面可見(jiàn)性是精確的云安全聯(lián)盟CISO高峰論壇>以防御者視角構(gòu)建的防御體系更多聚焦在已知信息系統(tǒng)的漏洞發(fā)現(xiàn)與修復(fù)上。>網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)則傾向于以智能化的手段更高效的識(shí)別組織內(nèi)部的資產(chǎn)和漏洞。CAASM是一種新興的技術(shù)，專注于使安全團(tuán)隊(duì)能夠解決持久的資產(chǎn)可見(jiàn)性和漏洞的挑戰(zhàn)。它使組織能夠通過(guò)API與現(xiàn)有工具的集成、對(duì)合并后的數(shù)據(jù)進(jìn)行查詢、識(shí)別安全控制中的漏洞和差距的范圍，以及修復(fù)問(wèn)題，來(lái)查看所有資產(chǎn)(包括內(nèi)部和外部)的風(fēng)險(xiǎn)。>識(shí)別暴露的有風(fēng)險(xiǎn)的數(shù)字資產(chǎn)，具體包含：√組織的數(shù)字足跡(云存儲(chǔ)服務(wù)、打開(kāi)的端口和未修補(bǔ)過(guò)的漏洞等);√品牌保護(hù)(域名搶注和冒充高管等);√組織的賬戶接管風(fēng)險(xiǎn)(電子憑證、組織的賬戶信息被盜等);√詐騙活動(dòng)(網(wǎng)絡(luò)釣魚(yú)檢測(cè)、身份證/銀行賬戶泄露、客戶資料泄露等);√泄露數(shù)據(jù)(具有知識(shí)產(chǎn)權(quán)的數(shù)據(jù)、資料、代碼等)。云安全聯(lián)盟CISO高峰論壇XDRAsofJuly2021云安全聯(lián)盟CISO高峰論壇第十屬互聯(lián)網(wǎng)安全大會(huì)第十屬互聯(lián)網(wǎng)安全大會(huì)事前防御，驗(yàn)證安全措施的有效性持續(xù)風(fēng)險(xiǎn)評(píng)估，改進(jìn)工作優(yōu)先級(jí)>安全決策可視化、工作價(jià)值可度量>從點(diǎn)到面，常態(tài)化安全運(yùn)營(yíng)第十屬互聯(lián)網(wǎng)安全大會(huì)云安全聯(lián)盟CISO高峰論壇對(duì)比外部攻擊面管理網(wǎng)絡(luò)資產(chǎn)攻擊面管理突破與入侵模擬弱點(diǎn)優(yōu)先級(jí)技術(shù)內(nèi)涵暴露在互聯(lián)網(wǎng)上的，未知及已知資產(chǎn)，未經(jīng)授權(quán)就能訪問(wèn)和利用的，風(fēng)險(xiǎn)總和管理包含EASM,側(cè)重于網(wǎng)絡(luò)資產(chǎn)的內(nèi)外部風(fēng)險(xiǎn)，流程、技術(shù)、服是一種持續(xù)驗(yàn)證安全防御體系有效性的自動(dòng)化手段。通過(guò)模擬“攻擊”,識(shí)別重要資產(chǎn)，風(fēng)險(xiǎn)評(píng)估，修復(fù)措施排序。側(cè)重于漏洞評(píng)估領(lǐng)域，統(tǒng)一平臺(tái)動(dòng)態(tài)地將需要修復(fù)的漏洞進(jìn)行優(yōu)先級(jí)排序和處理，提高修復(fù)效率，安全運(yùn)營(yíng)效率特點(diǎn)攻擊者視角防守方視角，資產(chǎn)可視化、漏洞修復(fù)、跟蹤、數(shù)據(jù)共享，自定義告警等。不依賴于PT人員的時(shí)間、能力；2、漏洞可驗(yàn)證，關(guān)注控制措施有效性，3、攻擊自動(dòng)化，路徑可視化，運(yùn)營(yíng)指標(biāo)化。1、對(duì)漏洞、資產(chǎn)分類分級(jí)；2、建立優(yōu)先級(jí)模型、漏洞情報(bào)庫(kù)；3、聚焦驗(yàn)證可被利用的漏洞。應(yīng)用場(chǎng)景建議1)各類信息化資產(chǎn)梳理；2)資產(chǎn)脆弱性與修復(fù)管理；3)云環(huán)境資產(chǎn)發(fā)現(xiàn)和風(fēng)險(xiǎn)管理；4)遠(yuǎn)程辦公風(fēng)險(xiǎn)管理；5)敏感數(shù)據(jù)泄露監(jiān)測(cè)