为降低企业管理成本与难度,帮助企业建立主动防御体系,8月3日下午3点,中国数智发展研究中心联合腾讯安全推出“云客厅”,由中国数智发展研究中心执行理事长王雪娜主持,中国电信安全攻防首席专家、易付支付网络与信息安全部负责人刘奇,腾讯威胁情报产品负责人高睿作为嘉宾做客直播间,以“企业如何高效汇聚互联网暴露风险”为主题,聚焦关键情报威胁、高效梳理攻击面管理等话题进行分享与探讨。
攻击面管理
企业安全盾
--
攻击面管理:企业安全盾
在圆桌讨论环节,专家们围绕《浅谈企业安全攻击面管理》主题展开了精彩对话,对企业网络安全与攻击面管理进行了深入探讨,让企业对安全威胁等问题有了清晰的认识。
王雪娜
近年来,随着互联网的爆发式增长和数字化转型的加速,网络安全成为企业IT管理者和领导者关注的话题。攻击面管理被频繁提及,那么什么是攻击面管理?为什么这个概念最近这么火?这么受欢迎?
攻击面管理之所以受到热捧,主要得益于高层的演练、频繁的安全活动以及国际形势的加剧,使得人们的思维从过去的注重提升安全管理能力转向解决亟待解决的技术问题。
在安全建设与规划时,关键安全问题需要通过场景进行验证,攻击面管理的价值在于能够帮助企业找到最急需投入的领域,并提供方向性的管控。
刘琪
中国电信
从技术基础来看,攻击面管理并不是一个新的产品类型,这个理念体现了防御者视角的转变,在安全建设中,如果企业对高对抗场景下攻击者的新形态视而不见,缺乏手段或资源,自身的防御措施就会缺乏主动性。
攻击面管理是帮助企业安全运营人员聚焦重点威胁的新方式,在互联网环境下帮助防御者盘点资产、运用新技术进行打击、梳理攻击者入侵范围,实现更全面的企业安全防护的目标。
高瑞
腾讯安全
王雪娜
随着数字化技术的不断应用,我们看到整个企业安全市场中出现了越来越多的安全产品和解决方案,这些产品可以提供各种防御和监控功能,帮助企业应对不同类型的安全威胁。企业已经拥有很多安全产品,那么为什么还需要做攻击面管理?攻击面管理对企业有什么价值呢?
目前,随着企业上云、数字化转型的推进,中国电信/面临的最大挑战是防御边界的扩大,技术栈的增多,攻击面的不断扩大,防御者与攻击者之间的信息差越来越大。因此,防御者需要以攻击者的思维去思考安全弱点,才能对产品进行投入。
如果防御者对攻击者的战术缺乏了解,防御者就会陷入防御的舒适区,当面对高水平的攻击者时,公司现有的防御基本会失效,因此公司需要做好攻击面管理,让真正的攻击者帮助防御者构建防御思路。
刘琪
中国电信
攻击面管理面临两大挑战:一是公有云拥有众多策略、技术栈和资源,容易将攻击面暴露给攻击者;二是依赖威胁情报,只有拥有足够的大数据、算法等技术支持,才能有效管理,确保取得成效。
腾讯一直注重攻击面管理,在保护自身业务方面积累了大量经验,威胁情报产品主要关注攻击者,但如果在充分的威胁情报基础上结合自身资产进行关联,也能补足攻击面管理视角的不足。
高瑞
腾讯安全
王雪娜
在面对企业是否要做攻击面管理这个问题时,不同的用户企业有着不同的看法和需求,下面就请两位专家和我们分享一下企业用户对于企业是否要做攻击面管理的看法,到底有必要做吗?
当软件供应链出现漏洞时,需要评估其对企业的影响、漏洞利用链、执行逻辑、步骤等,确定漏洞修复的优先级。当漏洞爆发时,需要以攻击者的思维去管理攻击面,做出评估或解决方案,评估漏洞带来的影响。
基于此情况,采取两种行动:一是了解攻击逻辑,确定是否关闭网络访问动作;二是通过内部防护措施,对执行代码进行监控、过滤或拦截。在补丁发布之前,攻击面管理具有缓解的作用。能为企业带来防护价值的措施决定了企业对攻击面管理的选择。
刘琪
中国电信
企业是否要进行攻击面管理,需要从两个方面来考虑:第一,自身的攻击面范围有多大。传统的安全防护更多侧重于财产资产层面。但事实上,这些狭隘的资产拓展到供应链、第三方服务也可能成为攻击者的下一个切入点,这就要求攻击面防护更加先进、更加灵活;第二,是否应用威胁情报。如果能够应用威胁情报,那么在明确了具体攻击者的手段、侵害路径和威胁入口之后,攻击面不仅能检测到威胁,还能针对威胁提供具体的解决方案。防御者则要随时适应攻击者手段的变化,提升自动化、智能化的防御机制能力。
高瑞
腾讯安全
王雪娜
数字化时代,各类企业“连网”的现象越来越多,随着远程办公的扩大,很多企业内网使用的业务直接暴露在互联网中,一些企业甚至在“保”期间面临网络安全威胁,黑客攻击、互联网威胁等安全压力加大,现有的安全体系难以及时发现、响应和处理。在保的重要时期,是否需要利用攻击面管理和威胁情报?应该怎么做?
企业在做暴露管控的时候,面临两种情况,第一,无论是内网暴露还是对外暴露,黑客比企业运营者更了解企业资产;第二,随着企业上云、数字化转型,安全能力的提升,以前的单点防御变成了统一的防御能力,让攻击者可以在更低的维度进行攻击,让黑客可以直接进入内网,接管企业的EDR等平台。
企业上云后,由于微服务技术的提升,很多企业为了业务效率,内网缺乏数据交互,缺乏防护措施,甚至不设置隔离措施,这就会导致黑客利用扫描到的内网进行横向移动,可以用任何手段进行攻击,直接接管内网所有数据,甚至获得一些管理权限,企业的防御将变得完全失效。
攻击面管理可以更加有效地抵御钓鱼软件攻击,帮助企业评估办公网络风险暴露的影响,确定企业安全投资的重点。
刘琪
中国电信
在“再保”之前其实是需要做好充分的准备的,因为这样可以为企业的安全运营争取到一个时间窗口,具体来说,如果整理好自己的资产清单,了解相关支撑服务的暴露情况,在遇到突发事件时,可以对企业的暴露面进行相应的收敛和暂时关闭;在“再保”期间,企业防护团队可以更加关注敏感服务的上线等经常被攻击者利用的情况,防冒充等手段层出不穷,而攻击面管理可以对防御者的资产进行相应的分析,评估上网信息泄露、内部账号泄露、邮件泄露等可能的攻击点,从而了解攻击面的影响范围。
很多用户缺乏保护自身内部水平边界的手段,其实内外部攻击面的保护是相通的,新的漏洞可能影响互联网或内网的资产,这就需要及时保护内部资产。盘点、同步漏洞情报,识别相应风险,防止新边界和内部边界成为攻击目标。
高瑞
腾讯安全
王雪娜
目前无论是微服务、低代码还是无代码技术,在给企业带来便利的同时,也制造了网络安全漏洞的可能,那么企业在选择攻击面管理产品时,应该考虑哪些因素,或者说其中哪些因素最为关键?
目前应用安全占攻击面最大部分,80%以上的漏洞都发生在应用场景中,很多企业应用从需求提出到开发,到测试,最后到上线运行,整个流程可能涉及到内部暴露面和外部暴露面,企业更新频繁,整个流程都要运行。对于用户来说,企业投入有限,业务在增长,需求在增加,如何提高效率,降低攻击面管理漏洞的可能性,成为了一个重点。
刘琪
中国电信
传统攻击面管理多采用定向映射加渗透服务的方式,具有周期长、自动化程度低、成本高等特点。相较于以上传统安全手段,对效率提升、新问题识别与处置能力的要求,是当前攻击面管理迭代的重点。解决方案的产品化需要根据不同业务场景的需求,提供自动化解决方案,以提高效率。
威胁情报是针对新型威胁比较有效的手段和措施,威胁情报重点关注攻击者资产信息、攻击互联网手段、用户漏洞信息,甚至云端场景攻击应用,通过分析为用户提供包括漏洞补丁在内的自动化解决方案或对策,减轻企业应对安全挑战的压力,聚焦核心业务。
高瑞
腾讯安全
王雪娜
随着数字化转型的加速、技术的不断发展和威胁环境的变化,攻击面管理作为重要的安全管理手段也在不断演进和发展。未来的趋势和发展方向。
目前很多安全平台已经汇聚了大量的数据,利用好数据价值将成为平台的能力。随着行业的趋势和发展,将会利用AI能力更好地挖掘数据价值,深化和强化企业自动化能力。
企业安全的核心是决策,而决策的依据来自于专家经验。这需要了解攻击链、攻击态势、黑客攻击手段,甚至收集每一个攻击入口的数据,将每一个攻击划分成场景,在场景中利用数据、手段、特征、因素构建模型,为企业提供决策价值。对于常态化运营来说,更多的攻击面识别带来的价值是让模型进一步学习,不断完善模型,随着完善和持续运营,防御越来越精准。
攻击面管理未来的发展方向是收集更多的攻击面信息数据,发现攻击者挖掘的价值,为企业安全提供智能决策。
刘琪
中国电信
首先,企业在做攻击面管理的时候,要梳理好所有的数据,结合具体的安全事件和场景,提供决策和联动能力的支撑,并协同内网的SOC平台、流量检测等终端的相关能力,形成合力。
其次,从业务场景来看,安全厂商应努力贴近具体的安全业务,除了传统的安全设备、安全事件、入侵规则等安全业务关注点,外网发生的信息泄露、仿冒、钓鱼等相关安全事件,也是不可忽视的一点。攻击面管理有助于企业内网对攻击者有更丰富的了解,聚焦更具体的安全业务,取得更好的效果。
高瑞
腾讯安全