网络空间资产安全管理实践与创新
2021 年 5 月 10 日,美国政府宣布进入国家紧急状态,起因是美国最大的成品油管道运营商Colonial Pipeline遭受勒索软件攻击。5月12日,美国总统拜登签署《关于加强国家网络安全的行政命令》(Executive Order on Improving the Nation’s Cybersecurity)的第14028号行政命令,该《行政命令》的出台是美国政府对该事件和2020年底爆出的SolarWinds供应链APT攻击等一系列重大网络安全事件的响应,旨在采用大胆举措提升美国政府网络安全现代化和对威胁的整体抵御能力。指令首次提出“关键软件”概念,希望增强美国联邦政府的软件供应链安全,要求向美国联邦政府出售软件的任何企业,不仅要提供软件本身,还必须提供软件物料清单,可见美国要求重要机构对使用的关键软件资产采用空前力度进行安全控制。9月7日,美国政府政策部门管理和预算办公室(OMB)和网络安全和基础设施安全局(CISA)在2021年9月7日发布了支持该行政指令的《联邦零信任战略》(Federal Zero Trust Strategy)草案,将可视化和分析、自动化和编排和治理三项基础工作和能力贯穿到身份、设备、网络、应用程序、数据的五个零信任支柱中,看得见是一切安全的基础,要求联邦政府要有一个完整的授权运行的设备清单,并将盘点资产作为关键举措之一。
在我国,《关键信息基础设施安全保护条例》(以下简称关基条例)、《网络产品安全漏洞管理规定》和《数据安全法》自2021年9月1日起施行。特别是关基条例,是构建关键信息基础设施安全保护体系的顶层设计和重要举措,必将开启我国关键信息基础设施安全保护工作的新纪元,我国将建立网信和公安部门统筹与指导监督、重要行业和领域的主管部门保护、关键信息基础设施运营者主体运营的三层网络安全综合治理体系。条例也明确了网络安全服务机构的责任与义务,充分调动全社会的积极力量,共同建设关键信息基础设施网络安全监测预警、应急响应、检查检测、信息共享等能力体系。
经历了这几年实战化的大型攻防演练,三化六防、挂图作战已经成为关基单位网络安全工作的指导思想,网络空间资产的全面、动态、主动、精准防护成为必然。
一、基本定义
在开始谈网络空间资产安全管理的目标、挑战与能力要求、实践前,有必要对谈的问题做个约定。
资产:指网络空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等(注:本定义引自数世咨询2021年:《网络空间资产测绘(CAM)能力指南》)。后面的讨论基本参照了本定义,和我们创业的认识和方向也是一致的。
随着数字化的演进和攻防技术的发展,我认为资产的内涵和外延还将不断发生变化,比如从覆盖面来讲,除了传统IT网络,还要覆盖cloud, IT, IoT, OT等环境,从深度上来讲,还要包括流量、身份、进程、访问关系等。除此以外,数据也是一种非常重要的资产,从整个生命周期来看,采集、传输、存储、处理、交换、销毁每个阶段都需要考虑安全的管理和控制,针对数据这种资产的管理,当前业界谈得比较多的是数据安全治理,因和业务紧密相关,数据需要流动和共享,落地难度就相当大了,但梳理数据资产现状,摸清单位拥有哪些数据、谁在使用、如何使用和基于此之上的数据分类分级则是数据保护工作的基础。
另外,从需求对象、需求目标、使用场景、采集数据及手段来看,不同视角的资产管理的差别很大,日常交流中发现经常混淆在一起,我这里说的当然是资产安全管理,当然也有人叫安全资产管理,这两个词到底哪个更合适就没有那么重要了。
二、目标
我认为,资产安全管理的目标是构建满足安全运营人员日常工作所需的完整、统一、动态的资产台账系统,实现数字化管理,并能随时了解企业的网络空间攻击面,通过API集成与联动其他系统实现挂图作战和平战一体化。从管理的角度来说,则需要建立上线备案、变更管理、审批核查、考核汇报、漏洞闭环跟踪、基线与补丁管理、应急处置等安全管理流程,建立指标化的资产安全运营体系,实现资产全生命周期的安全运营。
直白地说,就是构建整个机构网络空间的安全视角资产库或城防地图,看清自己,随时感知风险和攻击面,为安全人员快速决策和行动提供直观、清晰的依据,同时通过与其他安全系统、外部情报的联动,能自动化调度和编排,实现高效运营。
三、挑战与要求
随着数字化转型的加速,资产的形态多种多样,属性迅速变化,攻击面持续扩大,传统残缺、过时、离线、孤岛和缺乏安全视角的资产数据无法满足漏洞不断爆发、攻击愈演愈烈的安全形势下的防护要求,资产安全管理的主要挑战来自三个方面:
● 资产属性的缺失
● 资产数据的碎片化
● 资产形态的泛化
缺乏统一、可信的资产安全台账系统成为各单位普遍存在的迫切问题。
当然,谈到管理,当然和组织业务和文化、IT与网络安全治理水平,内部分工也紧密相关,不仅仅是网络安全部门就能做好的。
资产安全管理系统与其他系统、安全产品的整合,需要用户侧安全与运维、应用部门的协同,还要求安全产品供应商配合才能完成,这个对接过程并不是标准化可复制的,如何在成本和效益之间寻找一个各方都能接受的平衡点至关重要,发动各方的积极性往往充满挑战。
因此,资产安全管理方案难于落地,本质上难的不是技术,而是管理,这也是至今这个顽疾并未很好解决的重要原因。
技术方面,需要主被动、攻击与运维视角等多维视角,并充分利用已有系统的数据,从全面性、准确性、实效性、开放性、持续性和关联性方面考虑数据的质量及和外部系统的联动,数据的存储、清洗、挖掘、检索和关联分析能满足各种场景和人员的使用需要。
四、我们的实践
资产安全管理是一个持续的过程,无法一蹴而就,理想的情况是收集所有的数据,打通相关的系统,事实上达到100%完整和准确的数据是一个理想的目标,业务的动态性和人的因素决定了这个过程需要不断迭代和优化,并需要安全人员的运营才能真正发挥价值。
我们归纳的资产安全管理成熟度模型定义了达到不同阶段具备的能力、特征和需要攻克的挑战,在建设和运营方面的侧重点也不一样。
直接完成全网的资产安全管理需要足够的投入和多部门的沟通协调,建议采用小步快跑的思路针对不同的风险级别网络环境和业务系统(如互联网区、生产区、办公区)来分布建设。一旦选定区域,可以采用三步走的方法,第一步是资产发现,其次是风险缓解与闭环处置、然后进行持续优化与运营,单个区域的建设运营可为全网资产安全管理积累经验,也能让项目成员快速看到收益。
这两年,在摸清家底的迫切需要和大型实战攻防演练活动的驱动下,网络空间资产测绘作为一个新兴的技术为业界所关注,并在2020年被咨询机构评为中国网络安全十大创新方向和热点。
网络空间资产测绘是针对网络空间中的数字化资产,通过扫描探测、流量监听、主机代理、适配器对接、特征匹配等方式,动态发现、汇集资产数据,并进行关联分析与展现,以快速感知安全风险,把握安全态势,从而辅助用户进行指挥决策,支撑预测、保护、检测、响应等安全体系。
的确,网络空间资产测绘这个技术为解决资产安全管理这个老大难问题带来了新的思路,是解决好资产安全管理的有效手段。事实上,网络空间资产测绘并不是一个全新的技术。1997年,Fyodor发表文章《The Art of Port Scanning》,并发布Nmap的第一个版本,标志着网络资产探测技术的开始,2002年左右,利用Google搜索引擎来进行入侵的手段Google Hacking出现,2009年举办的黑客大会DEFCON会上,一位名叫约翰•马瑟利的黑客发布了一款名为“Shodan”的搜索引擎,可以搜索互联网上联网的设备,“傻蛋”也被评为互联网上最可怕的搜索引擎。
广为人知的公网测绘搜索引擎,主要往快速、无感、欺骗技术对抗、全量探测(全量IP、端口、全协议)和大数据分析方面发展,但即使全球IPV4地址的全量探测都是巨大的挑战,更不用谈IPV6。
另一方面,公网测绘引擎更多是互联网视角,比较宏观,基本以主动扫描为主要探测手段,多聚焦IP资产(端口、服务应用),更像是一个数据和情报获取工具,攻击者也会受益于这项技术寻找目标单位的资产。
对一个政企机构来讲,希望完整了解自身在内外部网络空间的所有资产,对全面性(全端口、多协议、数字资产)、准确性或与自身的关联性(域名、公司名称、logo、特有名词)要求很高。同时,内部网络环境不同于Internet,探测本身对生产系统的影响也要考虑,并且不能仅依赖扫描或流量就能完成所有资产数据的准确收集。结合多年的实践,我们认为网络空间资产测绘在政企机构资产安全管理中的落地需要关注的点如下:
对一个政企单位而言,一般分为互联网(公网)和企业内网(私网),其中互联网资产需要从攻击者视角出发,从外到内看企业暴露在互联网上的资产和弱点,关注的不仅仅是IP化资产和应用,如服务器、域名、证书、高危端口和易危资产、错误配置、弱口令、POC和版本型漏洞等,还包括对开源社区、暗网、网盘、文库、公众号小程序等数字化资产的监控与发行,并能关联外部情报响应威胁。
能力构建方面,可自己造轮子,前提是有足够的投入和持续的维护,也可外购专业安全公司的互联网资产风险监控SaaS服务,由专业团队提供定期的资产和暴露面风险探测报告、漏洞精准预警和应急支持服务等,并可通过账号自行使用。
针对内网,建立资产安全管理平台,通过在不同区域部署主动测绘探针、API适配器对接现有系统等方式采集资产数据,补充资产的业务和管理属性数据。基于不同来源的数据可进行交叉验证,寻找安全控制措施的间隙,通过风险探测发现需要优先处理的漏洞,并通过域间的访问关系可实现脆弱性推演,当然,有条件的可辅以流量和agent手段来发现资产。互联网端资产的数据可通过SaaS系统导入到资产安全管理平台或通过私有化的探测引擎收集数据。
经过众多客户实践和验证,资产安全管理平台应在日常的安全运营工作中充当“作业平台”的角色,聚焦资产管控率、风险发现和1DAY漏洞应急:
在大型攻防演练等战事活动中,能基于现网的脆弱性数据与域间访问关系,进行攻击路径推演。保持总体资产安全态势感知并专注于保护关键任务资产,优先考虑暴露面的影响范围,辅助决策、指挥作战:
五、展望
Gartner于今年7月发布了《Hype Cycle for Security Operations, 2021》,提到了EASM(External attack surface management)和CAASM( Cyber asset attack surface management)两项新的技术,可基本对应上述的两种场景和方案。
EASM解决企业在互联网上已知、未知资产及其漏洞的发现,包括攻击者可以在公众域看到的云服务和应用,以及第三方供应商软件漏洞,提供持续监控、资产发现、关联分析、风险优先级判定和缓解五个方面的能力,从外到内的视角看企业的攻击面。
CASSM则着力于让安全人员可以以全局的视角看资产和漏洞,通过和已有系统的API集成让企业看得见所有的资产,并给安全、运维、应用在内的各种人员提供统一查询和消费的数据,识别出漏洞影响面及安全措施的间隙,同时缓解与改进这些问题。
团队小伙伴过去几年在部分头部客户的实践与Gartner的上述两项技术洞察基本一致,只是Gartner预测成熟期需要5-10年,个人表示不敢苟同,数字化转型、新冠疫情和当前国际环境会加速这个过程,不过要真是10年的话,基本可以干到退休了:)
当然,实践是检验真理的唯一标准,我们将沿着“真挂图,挂真图”的路径,着眼于解决客户的真正痛点,为中国网络安全产业带来一些不同的东西,踏踏实实在这个细分领域坚持下去,不忘初心,砥砺前行!
参考阅读