自2018年攻击面管理概念提出来至今,该技术正在快速发展。

一方面,随着数字化时代的不断推进,网络安全运营将成为行业未来发展趋势与行业关注热点,精细化、场景化、持续化将是网络安全运营未来的发展趋势;另一方面,在安全体系由安全建设阶段逐步进入安全运营阶段的进程中,在构建面向数字时代的数字化安全方案中,攻击面管理技术将发挥极为重要的作用。

在昨日召开的“2022网络安全运营技术峰会”上,作为国内首家聚焦攻击面管理的网络安全公司,华云安在会上重磅发布“三维一体、内外兼修”的攻击面管理产品解决方案,加速攻击面管理技术的进一步落地。

攻击面管理,正从传统场景扩展到新兴技术领域

赛迪顾问发布《中国攻击面管理市场白皮书》(以下简称白皮书)。白皮书旨在以数字化转型为背景,探讨攻击面管理在新一代网络安全防御体系中的能动作用。

攻击面管理,最早由Gartner于2018年首次提出。在2021年7月,Gartner将攻击面管理相关技术定义为网络安全运营技术中的新兴技术。Gartner认为攻击面管理由网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)以及数字风险保护(DRPS)三部分组成。

此次发布的白皮书则基于应用场景的维度,将攻击面管理分为外部视角的攻击面管理和内部视角的攻击面管理,数字风险保护依据其外延与内核归属为外部视角的攻击面管理。

白皮书中建立了攻击面管理的成熟度模型,主要是工具阶段的被动防御、平台阶段的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级;提出了暴露面获取、脆弱点发现、攻击面挖掘、情报获取能力等攻击面管理要具备的12个能力域,从检测发现、分析研判、情报预警、响应运营的闭环管控过程分解了响应的能力子项,从子能力的具备和完善情况来评价攻击面管理的有效性。

白皮书预测,在未来一段时间内,攻击面管理将从传统场景扩展到新兴技术领域,将与业务风险管理融为一体;供应链和第三方风险管理将成为攻击面管理的重要组成部分;自动化、智能化技术在攻击面管理产品中得到广泛应用。

对抗型防御,下一代安全防御体系的演进方向

会上,中国信安委攻防与应急工作部秘书长、北京华云安信息技术有限公司创始人兼CEO沈传宝表示,数字时代,网络安全面临复杂性、艰巨性、多元化挑战,“对抗型防御”一定是下一代安全防御体系的演进方向。

沈传宝认为,在实网攻防演练活动推动下,安全体系逐步进入到由安全建设阶段到安全运营阶段转变。攻击面管理既是“对抗型防御”理念落地实践,也是网络安全运营技术未来的发展趋势与行业热点。

“数字时代需要数字安全,也需要我们用新的方法去应对。”沈传宝表示,华云安提出以攻击者视角构建涵盖数字资产管理、自动化测试、优先级评估、情报预警、快速处置五个步骤的完整攻击者视角的数字安全管理闭环。在此基础上,华云安从攻击者视角出发,重新定义了数字化时代的资产管理、漏洞管理、情报协同和响应处置。

然而不可否认的是,攻击面管理领域尚处在发展初期,尤其是国内,从事该领域的厂商屈指可数。作为国内首家聚焦攻击面管理的网络安全公司,华云安在会上重磅发布“三维一体、内外兼修”的攻击面管理产品解决方案,分别是定位CAASM的灵洞·网络资产攻击面管理系统(Ai·Vul),定位EASM的灵知·互联网情报监测预警中心(Ai·Radar),定位BAS的灵刃·智能渗透与攻击模拟系统(Ai·Bot)。

三款产品都是基于攻击者视角从不同维度共同打造数字化时代数字安全风险管控的完整解决方案。三者基于云原生架构,以微服务的方式提供不断迭代的安全能力。平台化架构让三个产品既可以独立提供各自的安全能力,也可以原子化安全能力编排构成全面且完整的攻击面整体解决方案。

沈传宝预测,在数字化时代,攻击面管理作为安全运营的创新技术,将成为数字时代安全运营技术的基石。在攻击面管理基石之上,通过创新的资产漏洞管理、自动化安全测试、扩展的安全情报技术,共同实现新一代的企业全面风险管理。华云安通过持续的技术创新与实践,成为推动攻击面管理技术发展,推动网络安全运营技术发展的重要力量。(林想)

关键词: 数字化时代 网络安全运营 未来发展趋势 新兴技术领域