用最快的时间验证风险的存在,看到敌人看到的一切,看到资产风险的边界。
“攻击者要攻击某大型银行是不会直接攻击银行总部的,他会把你的生态画出来,在生态中找到一个最薄弱的点攻进来。只有站在攻击者的角度,了解他的需求和思路,才能真正做到实战有效,这就是攻击面管理的思维。”云科安信CEO 金飞如是说。
北京云科安信科技有限公司是2018年成立的网络安全企业,那时攻击面管理的概念还没有在国内流行,这家公司就已经确立了这个以攻促防的赛道,并开始了对攻击面管理的积累与研发。按创始人兼CEO金飞的话说,在此之前,他们便预见到了网络安全与攻防必将从合规市场走进实战市场。
11月2日,云科安信举办了一场产品升级线上发布会,云科安信白泽攻击面管理产品已经实现了与OSINT开源情报的深度关联,并在多个功能模块上进行了升级迭代,未来将更加高效地助力企业用户开展攻击面发现工作,为企业的实战攻防能力提升提供深度赋能。
近日,赛博英杰董事长谭晓生与云科安信CEO金飞总进行了一次交流,让我们一起去认识一下专注于攻击面管理的云科安信,以及云科安信的攻击面管理平台「白泽」。
云科安信CEO 金飞
01_创业初心
与攻击者争胜
谭晓生:为什么会选择攻击面管理这个方向?您对攻击面管理有什么看法?
金飞:攻击面管理(ASM)这个词最早是Gartner2018年的时候提的,我们在更早的时候做攻防的人都知道攻击面和以攻促防的道理。Gartner把攻击面管理划分为了网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)和数据风险保护(DRPS)三个部分。资产测绘就属于网络资产攻击面管理的环节,作用是帮组织识别内部的资产和漏洞,查看资产(包括内部和外部)的风险。
在一次网络安全事件中,攻击者最核心目的是快速打倒对手,因此攻击面管理的核心是以攻击者视角,以制胜为目的,以最短的时间、最有效的手段、最犀利的办法帮助用户感知到信息安全风险的一种验证机制和系统性工程。
我们团队的基因是攻防能力都很强,我认为攻击面主要划分就是两种场景,防御性和攻击性,攻击面管理是网络安全的殊途同归。我们要把安全能力贡献给用户,把以攻促防的视角落地给产品,把安全防御的有效性作为目标,把武器级的安全工具提供给各行各业。
云科安信经过了较长一段时间的积累, 先后对外发布了SAG产品和白泽攻击面管理的平台产品,并上线了移动云市场;发布后在银行业上的案例有了较大的突破,也和中国网络空间研究院达成了合作意向。今年,我们经过一年多的用户实践和技术升级,将白泽攻击面管理产品进行了一次产品升级,新版本的白泽将会更加符合用户的期待与需求。
谭晓生:白泽都升级了哪些能力?
金飞:白泽攻击面管理平台是我们以攻击者的视角做的资产管理平台,帮客户找出网络资产和IT资产的风险,及时给客户提出收敛资产暴露面的数据,帮客户验证暴露在外的资产漏洞的可利用性的一款产品。
新版本中,我们首创了OSINT-ASM开源情报攻击面管理的概念,Gartner在攻击面管理相关技术定义中并未包含这一技术点。OSINT-ASM的核心理论是把数字资产和使用数字资产的人同时作为攻击者的目标,这是云科安信多年来在一线做攻防积累的一条感悟。传统的ASM大多只关注数字资产,而OSINT-ASM的视角加入了人员可能带来的风险,一旦将这一信息关联到攻击面管理中,就会指数级扩充攻击路径。所以OSINT-ASM是一个非常有效的方法论。
OSINT(开源威胁情报)是指面向适当用户,以其特定需求为目的,从可以公开取得的信息中及时收集、开发和传播情报。开源网络情报拥有广泛的用户对象、丰富的应用场景,多样的技术手段:从关键基础设施到党政机关到网络空间安全,都与开源情报相关。网络开源情报可以挖掘一个人、一个组织的海量信息,并通过这些信息建立目标组织和目标人之间的关联关系。因此,云科安信白泽攻击面管理平台创新性地在ASM的基础之上对开源威胁情报进行了丰富,将OSINT和ASM相融合并升级为OSINT-ASM白泽攻击面管理平台。
OSINT和ASM一个很重要的关联点就是,如果想获取更多的开源情报,就要依靠很复杂、很先进的攻击手段,而复杂和先进的攻击手段,会更深度挖掘一些目标的开源情报或低密级情报。因此OSINT和ASM天然形成相互支撑的关系,更多的开源情报可以带来更有效的攻击面管理的挖掘,而攻击面管理挖掘的深度直接取决了开源情报的丰富度。
OSINT-ASM白泽攻击面管理平台结合了丰富的攻击手段,如开源情报的信息挖掘图谱以及结果重建、数字资产应用层测绘等,可以识别大量应用组件框架、行业组件框架,并将这些信息整合在一起,形成针对单一目标或组织架构的生态信息体系,从而能够有效发现复杂数字资产的潜在风险以及使用关键基础设施、重要数字资产的人员的潜在风险。
除了加强与OSINT开源情报的深度关联外,本次OSINT-ASM白泽攻击面管理平台还着重在挖掘目标风险的途径和能力、针对海量目标的长期资产监控和变动提醒、攻击能力建设的应急响应、攻击路径持续挖掘和保持能力以及攻防能力互为驱动五个功能模块方面进行了升级迭代,未来将更加高效地助力企业用户开展攻击面发现工作,为企业的实战攻防能力提升提供深度赋能。
02_出奇制胜
可靠的底层能力
谭晓生:刚刚你提到你们的产品是按照武器级的标准去打造的,那么都有哪些优势和亮点能达到武器级的这个标准?
金飞:首先我们团队的攻击能力是很强的,国际项目和运营商项目的成功经验就是验证,这个不需要多说。我们的白泽平台首先是以攻击者的视角和需求为出发点,我们懂攻击者,以他的思路为基础,来获取与攻击强关联的完整详细的资产信息和突破口信息,从这个角度帮助客户建立防御策略,也就是说我们的角度不是合规角度,也不是防御者的角度,而是攻击者的角度。
其次我们通过搜集用户企业单位公司信息、上下游人员信息进行数据组合的处理分析,能够实现对人员风险的探查,并不局限于物理设备、网络设备的探查。一些外部攻击面例如邮箱、手机号、人员信息、文档信息、代码泄露、网盘信息等IT资产和人员泄露资产也会进行多维度的分析和预警。
第三,我们的探查是非常全面的。我们通过与第三方信息平台的接口对接和我方自研的信息收集工具,使搜索能力能得到扩展;产品内置字典工具、搜集邮箱泄露、代码泄露等情报,提高攻击面搜集的全面性;在技术上我们也用了AI,还有自研的全球DNS服务器发现技术、网页爬虫和公开API信息收集等手段,去获取域名探测、端口扫描、服务扫描、网页路径扫描、网页截图、弱口令等网络环境中所有暴露的网络信息。OSINT-ASM开源情报攻击面管理的首创是我们的核心亮点。
第四,我们一直强调,不要让客户去花很多时间学你的产品和用你的产品,我们的平台交互做得很好,非常简单易用,能够自动化快速完成资产暴露面的探查、安全威胁检测和POC验证,交互展示也非常清晰,能够大幅缩短检测时间,减少用户的人力投入。
谭晓生:可以介绍一下典型的具体案例吗?
金飞:那就以最近我们入选ISC那个十年网安代表性案例的某市开发区大数据中心资产测绘与漏洞验证服务项目为例,这里用户主要的需求是资产测绘与漏洞验证。实际上攻击者不止关注硬件设备,更多关注的是设备上承载的业务系统,如企业员工将内部敏感信息上传至第三方托管平台黑客利用敏感信息直接进入内部系统,所以信息资产管理仅管理主机和网络设备等硬件是不够的。
我们从攻击者角度出发,聚焦用户的 IT 资产,协助管委会摸清家底管控安全风险,以攻击者视角全面覆盖资产和暴露面,持续探测网络空间资产风险。
这个项目中我们用的云科 Web 应用安全检测系统,包含6个主要关键技术点:外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)、漏洞评估(VA)、弱点 / 漏洞优先级技术(VPT)和开源网络情报(OSINT),引入攻击面管理技术后,除了对开发区大数据中心的网络资产安全脆弱性进行检测之外,还增加了以攻击者视角对其资产进行持续发现、清点、分类、 优先级排序和监控。
最终客户能切实体会到的价值,包括用户自身的资产识别及清点,包括识别未知的(影子)数字资产(如网站、IP、域名、SSL 证书和云服务),并能看到实时维护资产列表。用户可以进行漏洞修复及暴露面管控 ,我们会将错误配置、开放端口和未修复漏洞根据紧急程度、严重性来进行风险等级分析以确定优先级。用户还可以通过我们去进行云安全的治理,包括识别组织的公共资产,跨云供应商,提供全面的云资产清单,补充现有的云安全工具。再就是帮助用户进行数据泄漏检测,监测开发区参演单位内部信息系统的数据泄漏情况,如凭证泄漏或敏感数据。
03_攻防闭环
让胜利变成现实
谭晓生:听起来白泽攻击面管理是一个探查问题的产品,相当于你给人做了一个体检,那么探查了问题之后要怎么办?如何帮用户解决之后的问题?
金飞:我们的SAG可溯源应用防火墙,可以与白泽攻击面管理平台互为驱动,实现最小攻防闭环。
白泽攻击面管理平台从攻击者视角进行探查,驱动SAG自动生成相应的防御策略,当漏洞被攻击者利用并形成攻击时,SAG将在第一时间自动启动防御能力,以最快的速度形成阻断,为目标客户争取修复时间。反之,SAG可实现低感知的攻击行为反向回溯,通过驱动白泽攻击面管理对攻击者进行反向测绘,实现溯源。二者互为驱动,为客户提供“攻”“防”两个方面的实战能力。
谭晓生:对未来你们产品和业务的发展你有什么规划?
金飞:我们希望传递的价值观是,我们在扎扎实实地做一个攻防一体化的闭环网络安全公司。在行业内你会发现做攻防的人基本都偏科,能把攻防的东西都做到产品之中并实现联动和实际价值的其实蛮少的,我们的目标就是做攻防一体化的,注重服务质量的安全能力提供方。
第二个定位就是我们要紧跟实战!合规是基础的,也是现在国内安全市场的主流声音,但是我们做过国家对抗的项目,知道合规是远远不够的!如果仅仅做到合规,那么将来受到痛击的疼痛程度是更高的。我们一定会受到来自外部的压力,如果能够尽快紧跟实战,就能有更多的准备。
第三个是希望提醒用户们的是要有动态策略和思想。理资产是一定要做的,同时也要注重资产的变化。我们的产品可以对一个很庞大的资产做增量变动的提示,会给用户生成资产变动的报告。特别是大型企业和机构,数字资产的变化会引发很多关联的风险、脆弱性以及漏洞,一定要注重您资产的变化。举个例子,比如攻击者要攻击某大型银行,他不会直接攻击银行总部的,而是他会把你的生态画出来,在你的生态中找到一个最薄弱的点攻进来,所以一定要对资产的增量和IT资产生态中的薄弱点有所掌握。
我们的愿景是,用先进的防御技术搭建生态防御架构,形成国际化防御态势,用“软件定义安全”提供多维度专业的技术支撑,让更多的企业级客户轻松享受到国际化水平的专业安全服务。
评论