網絡資產攻擊面管理(CAASM)成安全新解法
2022年6月6-9日,被譽為安全行業“奧林匹克”的RSA Conference2022在舊金山召開,作為全球頂級的網絡安全大會,RSAC2022吸引全球網絡安全企業、專家、大咖共聚一堂,探討當下熱門網絡安全技術理念,共同尋求抵御安全風險的新解法。
近年來,網絡攻擊事件頻頻發生,其中黑客“炫技”已經越來越少,取而代之的是作戰思維更加明確,趨利性更加明顯的專業化網絡攻擊組織,包括各種勒索軟件團伙,合作鏈條緊密的地下黑產等等。
在這樣的情況下,以攻擊者視角對企業數字資產攻擊面進行檢測發現和持續監控的網絡資產攻擊面管理(CAASM)已經受到越來越多人的認可。
而如何通過CAASM幫助企業全面盤點網絡資產,不斷提高資產可見性和云配置,減少安全漏洞風險成為RSAC2022的焦點之一。為了更好地了解CAASM是如何減少攻擊面,會后,security boulevard記者邀請JupiterOne創始人兼首席執行官Erkang Zheng進行分享。
協調已經成為新的難題
眾所周知,漏洞修復工作需要多部門共同完成,然而企業內部負責特定網絡資產的技術和團隊傾向于各自為政,漏洞管理人員的職責不明確,直接導致協調組織中的人員、策略和基礎設施已經成為一項無法及時完成的工作,也讓安全漏洞管理淪為紙上談兵。
隨著企業數字化轉型、加速上云和IoT、5G、云原生等技術的應用,更多的業務轉至線上,一方面使得內部數字資產結構和復雜性迅速增加,另一方面也讓暴露在互聯網上的攻擊面呈指數級拓展,安全漏洞數量成倍增加,最終讓本就艱難的安全漏洞修復朝著更加糟糕的方向發展。
倘若無法有效解決這一問題,那么企業數字化轉型將面臨停滯不前的風險。此時,CAASM應運而生。
作為是一種新興技術,CAASM傾向于以智能化的手段更高效的識別組織內部的資產和漏洞。2021年7月,Gartner發布《2021 安全運營技術成熟度曲線》,首次提出CAASM概念,并指出“它使組織能夠通過API與現有工具的集成、對合并后的數據進行查詢、識別安全控制中的漏洞和差距的范圍,以及修復問題,來查看所有資產的風險。”
換句話說,CAASM通過利用API可以讓安全團隊全面、快速了解IT基礎架構的所有組件,無論它們是在本地還是在私有云、公共云或混合云中。在此基礎上,安全團隊可以大規模實施細粒度策略,全面提升各個組織的安全性,且不會對敏捷性有任何影響。
Erkang Zheng表示,這在大規模分布、快速變化的操作環境中實現并非一件容易的事情,因為安全團隊既要盡可能地直接防止網絡攻擊,還要持續監控資產所有者,防止出現違規操作,并在發生安全事件時快速進行安全響應。
破除資產孤島效應
采訪中,Erkang Zheng表示,我們每個人小時候都玩過“連線畫圖”的游戲,讓每個人將紙上的那些點全部連起來,就可以得到相同的答案。回到網絡安全領域,如果那些點都特別清楚,目前云托管、數據分析等技術都可以隨時智能地、大規模找出網絡安全問題,并得到一個可行的答案。
但事實并非如此,上述操作聽起來似乎很簡單,執行起來卻困難重重。
首先是存在底層技術障礙,企業網絡基礎設施組件不可能來自同一個供應商,大多時候供應商數量十分龐大,且每個供應商都有自己的技術和標準,彼此之間無法互通。其次,企業內部各個系統之間數據無法自由流通,完整的業務鏈上孤島效應十分明顯。而這些問題導致那些“點”最終無法連成圖案。
因此,安全團隊迫切需要一個新的解決方案,可以有效規范、整合企業網絡資產信息,并快速查詢、發現這些信息,包括有哪些資產,具體是什么,誰可以訪問它等等。此時,安全團隊就可以像“連線畫圖”那樣直接、簡單地提出問題,解決問題。
事實上,能否清楚掌握企業內部網絡資產是安全體系的重要基礎,也是安全團隊能否改變傳統工作流程,并跟上快速變化的數字化轉型的關鍵點。Erkang Zheng表認為,安全團隊并不僅僅是企業的看門人,還必須是一名審計者和建議者,而CAASM也不僅僅是一個數據平臺,還是一個分析平臺,一個協作平臺。
縮小攻擊面是企業的當務之急
隨著零日漏洞披露、利用的時間間隔越來越短,零日攻擊正成為多數企業的災難,通過內部協作快速消除已披露的零日漏洞,已經成為安全團隊的必備能力之一。
未來,隨著CAASM技術的廣泛應用,將進一步縮短漏洞的修復時間。作為新安全架構的一部分,CAASM可為漏洞修復提供支撐能力,助力安全團隊系統地發現和修復安全漏洞,甚至是主動尋找新的安全漏洞。
Erkang Zheng舉了一個例子。
假設企業擁有一個內部資源,其本身并沒有向公眾開放,但是這里面有一個直接暴露在互聯網上的工作負載,且具有為其提供 API 級別訪問權限的身份驗證策略,此時,這個內部資源毫無疑問已經暴露在互聯網上。
這恰恰是安全團隊極其容易忽略的點,從Amazon Web Services 租用的云資源在實際混合和匹配中產生了新的安全漏洞。此時,這個被忽視的新漏洞將會成為企業安全的嚴重威脅。類似的案例還有很多,這個例子也解釋了為何數字化之后,企業暴露的攻擊面如此之多。
因此,企業迫切需要一個全新的解決方法,可以大規模地、及時地找到企業內部隱藏的漏洞并進行修復。
CAASM或許可以解決這一問題。而快速消除暴露的攻擊面也是企業安全團隊目前的首要任務。畢竟,暴露的攻擊面越少,企業就越安全。
