網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）成安全新解法

*** 次數(shù)不足，請(qǐng)聯(lián)系開(kāi)發(fā)者***

　　近年來(lái)，網(wǎng)絡(luò)攻擊事件頻頻發(fā)生，其中黑客炫技已經(jīng)越來(lái)越少，取而代之的是作戰(zhàn)思維更加明確，趨利性更加明顯的專業(yè)化網(wǎng)絡(luò)攻擊組織，包括各種勒索軟件團(tuán)伙，合作鏈條緊密的地下黑產(chǎn)等等。在這樣的情況下，以攻擊者視角對(duì)企業(yè)數(shù)字資產(chǎn)攻擊面進(jìn)行檢測(cè)發(fā)現(xiàn)和持續(xù)監(jiān)控的網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）已經(jīng)受到越來(lái)越多人的認(rèn)可。

　　2022年6月6-9日，被譽(yù)為安全行業(yè)奧林匹克的RSA Conference2022在舊金山召開(kāi)，作為全球的網(wǎng)絡(luò)安全大會(huì)，RSAC2022吸引全球網(wǎng)絡(luò)安全企業(yè)、專家、大咖共聚一堂，探討當(dāng)下熱門網(wǎng)絡(luò)安全技術(shù)理念，共同尋求抵御安全風(fēng)險(xiǎn)的新解法。

　　近年來(lái)，網(wǎng)絡(luò)攻擊事件頻頻發(fā)生，其中黑客炫技已經(jīng)越來(lái)越少，取而代之的是作戰(zhàn)思維更加明確，趨利性更加明顯的專業(yè)化網(wǎng)絡(luò)攻擊組織，包括各種勒索軟件團(tuán)伙，合作鏈條緊密的地下黑產(chǎn)等等。

　　在這樣的情況下，以攻擊者視角對(duì)企業(yè)數(shù)字資產(chǎn)攻擊面進(jìn)行檢測(cè)發(fā)現(xiàn)和持續(xù)監(jiān)控的網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）已經(jīng)受到越來(lái)越多人的認(rèn)可。

　　而如何通過(guò)CAASM幫助企業(yè)全面盤點(diǎn)網(wǎng)絡(luò)資產(chǎn)，不斷提高資產(chǎn)可見(jiàn)性和云配置，減少安全漏洞風(fēng)險(xiǎn)成為RSAC2022的焦點(diǎn)之一。為了更好地了解CAASM是如何減少攻擊面，會(huì)后，security boulevard記者邀請(qǐng)JupiterOne創(chuàng)始人兼首席執(zhí)行官Erkang Zheng進(jìn)行分享。

　　眾所周知，漏洞修復(fù)工作需要多部門共同完成，然而企業(yè)內(nèi)部負(fù)責(zé)特定網(wǎng)絡(luò)資產(chǎn)的技術(shù)和團(tuán)隊(duì)傾向于各自為政，漏洞管理人員的職責(zé)不明確，直接導(dǎo)致協(xié)調(diào)組織中的人員、策略和基礎(chǔ)設(shè)施已經(jīng)成為一項(xiàng)無(wú)法及時(shí)完成的工作，也讓安全漏洞管理淪為紙上談兵。

　　隨著企業(yè)數(shù)字化轉(zhuǎn)型、加速上云和IoT、5G、云原生等技術(shù)的應(yīng)用，更多的業(yè)務(wù)轉(zhuǎn)至線上，一方面使得內(nèi)部數(shù)字資產(chǎn)結(jié)構(gòu)和復(fù)雜性迅速增加，另一方面也讓暴露在互聯(lián)網(wǎng)上的攻擊面呈指數(shù)級(jí)拓展，安全漏洞數(shù)量成倍增加，最終讓本就艱難的安全漏洞修復(fù)朝著更加糟糕的方向發(fā)展。

　　倘若無(wú)法有效解決這一問(wèn)題，那么企業(yè)數(shù)字化轉(zhuǎn)型將面臨停滯不前的風(fēng)險(xiǎn)。此時(shí)，CAASM應(yīng)運(yùn)而生。

　　作為是一種新興技術(shù)，CAASM傾向于以智能化的手段更高效的識(shí)別組織內(nèi)部的資產(chǎn)和漏洞。2021年7月，Gartner發(fā)布《2021 安全運(yùn)營(yíng)技術(shù)成熟度曲線》，首次提出CAASM概念，并指出它使組織能夠通過(guò)API與現(xiàn)有工具的集成、對(duì)合并后的數(shù)據(jù)進(jìn)行查詢、識(shí)別安全控制中的漏洞和差距的范圍，以及修復(fù)問(wèn)題，來(lái)查看所有資產(chǎn)的風(fēng)險(xiǎn)。

　　換句話說(shuō)，CAASM通過(guò)利用API可以讓安全團(tuán)隊(duì)全面、快速了解IT基礎(chǔ)架構(gòu)的所有組件，無(wú)論它們是在本地還是在私有云、公共云或混合云中。在此基礎(chǔ)上，安全團(tuán)隊(duì)可以大規(guī)模實(shí)施細(xì)粒度策略，全面提升各個(gè)組織的安全性，且不會(huì)對(duì)敏捷性有任何影響。

　　Erkang Zheng表示，這在大規(guī)模分布、快速變化的操作環(huán)境中實(shí)現(xiàn)并非一件容易的事情，因?yàn)榘踩珗F(tuán)隊(duì)既要盡可能地直接防止網(wǎng)絡(luò)攻擊，還要持續(xù)監(jiān)控資產(chǎn)所有者，防止出現(xiàn)違規(guī)操作，并在發(fā)生安全事件時(shí)快速進(jìn)行安全響應(yīng)。

　　采訪中，Erkang Zheng表示，我們每個(gè)人小時(shí)候都玩過(guò)連線畫圖的游戲，讓每個(gè)人將紙上的那些點(diǎn)全部連起來(lái)，就可以得到相同的答案?；氐骄W(wǎng)絡(luò)安全領(lǐng)域，如果那些點(diǎn)都特別清楚，目前云托管、數(shù)據(jù)分析等技術(shù)都可以隨時(shí)智能地、大規(guī)模找出網(wǎng)絡(luò)安全問(wèn)題，并得到一個(gè)可行的答案。

　　首先是存在底層技術(shù)障礙，企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件不可能來(lái)自同一個(gè)供應(yīng)商，大多時(shí)候供應(yīng)商數(shù)量十分龐大，且每個(gè)供應(yīng)商都有自己的技術(shù)和標(biāo)準(zhǔn)，彼此之間無(wú)法互通。其次，企業(yè)內(nèi)部各個(gè)系統(tǒng)之間數(shù)據(jù)無(wú)法自由流通，完整的業(yè)務(wù)鏈上孤島效應(yīng)十分明顯。而這些問(wèn)題導(dǎo)致那些點(diǎn)最終無(wú)法連成圖案。

　　因此，安全團(tuán)隊(duì)迫切需要一個(gè)新的解決方案，可以有效規(guī)范、整合企業(yè)網(wǎng)絡(luò)資產(chǎn)信息，并快速查詢、發(fā)現(xiàn)這些信息，包括有哪些資產(chǎn)，具體是什么，誰(shuí)可以訪問(wèn)它等等。此時(shí)，安全團(tuán)隊(duì)就可以像連線畫圖那樣直接、簡(jiǎn)單地提出問(wèn)題，解決問(wèn)題。

　　事實(shí)上，能否清楚掌握企業(yè)內(nèi)部網(wǎng)絡(luò)資產(chǎn)是安全體系的重要基礎(chǔ)，也是安全團(tuán)隊(duì)能否改變傳統(tǒng)工作流程，并跟上快速變化的數(shù)字化轉(zhuǎn)型的關(guān)鍵點(diǎn)。Erkang Zheng表認(rèn)為，安全團(tuán)隊(duì)并不僅僅是企業(yè)的看門人，還必須是一名審計(jì)者和建議者，而CAASM也不僅僅是一個(gè)數(shù)據(jù)平臺(tái)，還是一個(gè)分析平臺(tái)，一個(gè)協(xié)作平臺(tái)。

　　隨著零日漏洞披露、利用的時(shí)間間隔越來(lái)越短，零日攻擊正成為多數(shù)企業(yè)的災(zāi)難，通過(guò)內(nèi)部協(xié)作快速消除已披露的零日漏洞，已經(jīng)成為安全團(tuán)隊(duì)的必備能力之一。

　　未來(lái)，隨著CAASM技術(shù)的廣泛應(yīng)用，將進(jìn)一步縮短漏洞的修復(fù)時(shí)間。作為新安全架構(gòu)的一部分，CAASM可為漏洞修復(fù)提供支撐能力，助力安全團(tuán)隊(duì)系統(tǒng)地發(fā)現(xiàn)和修復(fù)安全漏洞，甚至是主動(dòng)尋找新的安全漏洞。

　　假設(shè)企業(yè)擁有一個(gè)內(nèi)部資源，其本身并沒(méi)有向公眾開(kāi)放，但是這里面有一個(gè)直接暴露在互聯(lián)網(wǎng)上的工作負(fù)載，且具有為其提供 API 級(jí)別訪問(wèn)權(quán)限的身份驗(yàn)證策略，此時(shí)，這個(gè)內(nèi)部資源毫無(wú)疑問(wèn)已經(jīng)暴露在互聯(lián)網(wǎng)上。

　　這恰恰是安全團(tuán)隊(duì)極其容易忽略的點(diǎn)，從Amazon Web Services 租用的云資源在實(shí)際混合和匹配中產(chǎn)生了新的安全漏洞。此時(shí)，這個(gè)被忽視的新漏洞將會(huì)成為企業(yè)安全的嚴(yán)重威脅。類似的案例還有很多，這個(gè)例子也解釋了為何數(shù)字化之后，企業(yè)暴露的攻擊面如此之多。

　　因此，企業(yè)迫切需要一個(gè)全新的解決方法，可以大規(guī)模地、及時(shí)地找到企業(yè)內(nèi)部隱藏的漏洞并進(jìn)行修復(fù)。

　　CAASM或許可以解決這一問(wèn)題。而快速消除暴露的攻擊面也是企業(yè)安全團(tuán)隊(duì)目前的首要任務(wù)。畢竟，暴露的攻擊面越少，企業(yè)就越安全。