华云安：用攻击面管理 实现持续数字风险管理的最佳实践

在日前召开的2022网络安全运营技术峰会（SecOps2022）上，北京华云安信息技术有限公司（以下简称 华云安）正式发布基于云原生架构的攻击面管理产品解决方案，以灵洞Ai·Vul、灵知Ai·Radar、灵刃Ai·Bot三款产品，分别从CAASM（Cyber Asset Attack Surface Management,网络资产攻击面管理）、EASM（External Attack Surface Management,外部攻击面管理）、BAS（Breach and Attack Simulation,入侵和攻击模拟）维度共同打造数字时代安全风险管控的完整解决方案。

 

 

2021年被正式定义为网络安全运营新兴技术的攻击面管理，在我国网络安全领域尚属于起步阶段，华云安作为国内领先的攻击面管理公司之一，其安全认知、技术方向与产品实践引起了我们的浓厚兴趣。日前，安全419与华云安产品总监王超展开深入沟通，全面了解华云安构建这套方案的功能与价值。

 

 

 

华云安将企业网络空间攻击面管理过程中的攻击者视角信息和防御者视角信息，通过安全分析引擎、数据分析引擎进行统一整合，以主动扫描、被动监测、情报预警和自动化评估等多种手段及时发现内外部数字资产攻击面，并进行分析评估和响应处置，让用户先于攻击者了解数字化攻击手段和攻击路径，并采取针对性措施进行高效敏捷响应，帮助企业降低被攻击的可能性，保障数字业务安全。

 

 

功能一：新场景的资产管理
 

数字时代的技术变更，以及虚拟化云场景、物联网场景等多种新兴业务场景的应用，让传统IDC式的基于实体化设备的资产管理方式早已过时，逐渐消失的资产边界让基于业务视角的安全管理方式备受重视。华云安提供更全面的资产分类，对比内外视角分析资产安全情况，支持网格化管理模式，灵活进行数字资产管理。

 

18类扩展资产类别
 

目前，灵洞已支持包括主机资产、WEB资产、IoT资产、容器集群资产在内的4大类信息资产，及其对应的API、数字暴露面等18种数字资产。

 

5种图谱分析标记
 

针对企业需要将获取到的信息做比对及分类的刚需，灵洞运用知识图谱技术将资产信息自动化入库进行分析，支持对无主资产、僵尸资产、影子资产等5种资产进行标记和可视化呈现。

 

10+数据源适配
 

由于海量资产存储于业务部门、IT运维部门、安全部门等多个团队的云端、本地等处，高度琐碎分散，灵洞目前已支持包括主流的API等在内的超过10家数据源，扩大了数据的适配性，为生态建设夯实基础。

 

功能二：基于风险的漏洞管理
 

如今的漏洞管理已不满足于传统意义上针对单个漏洞实例进行管理，而是需要根据漏洞进行最终的风险管控，本质上是为了缩小攻击面。华云安将漏洞的概念扩展为弱点，打通弱点与资产、情报、响应间的关系，分析弱点可能产生的风险情况，识别弱点优先级，自动化进行标记和生命周期跟踪。

 

6类扩展漏洞类型
 

弱点和漏洞的差异在于，弱点不仅包括了传统的软硬件漏洞、弱口令，同时更关注不安全的配置、敏感信息的泄露、暗网信息的检测以及防御的有效性。目前，灵洞已经支持配置缺陷、不当权限、泄漏数据、过期证书、钓鱼网站、供应链漏洞等6类漏洞类型。

 

5维弱点优先级评价
 

并不是所有检测出的漏洞都需要修复，也并不是所有的漏洞一经发现后其危害性就一成不变。灵洞采用具有核心专利的漏洞优先级评估技术，引入了漏洞的可利用性、危害性、可发现性、漏洞情报、资产价值等5重维度；漏洞优先级评估模型允许用户在实际应用过程中对资产的价值进行动态调整，从而有效帮助用户识别真正高危的漏洞风险，将精力聚焦在有价值的漏洞修复上。

 

自动化动态追踪
 

基于企业用户普遍使用了多家异购扫描器来管理漏洞的现状，在漏洞的交叉验证、统一管理层面，灵洞支持针对主流扫描器的自动化入库分析，通过比对漏洞的编号、类型、名称、具体地址等，进行多维度的风险计算，对漏洞进行持续追踪。

 

功能三：云端情报关联应用
 

在从攻防、从内外双视角对企业攻击面进行管理的过程，通过情报搜集实现用户先于攻击者了解数字化攻击手段和攻击路径。华云安长期以来为情报收集做技术积累，目前已积累10亿多条漏洞数据，和超过50亿的实体和关系模型，这些数据在灵洞实现监管和行业打通、与外部攻击面的视角关联、攻击面的实时响应方面，发挥了尤为重要的作用。

 

打通监管与行业
 

众所周知，每个行业都有自己的行业漏洞库，如何先于监管进行风险排查是企业用户的一大刚需。灵洞运用云端情报的丰富数据，打通监管与行业，让用户第一时间感知风险、做出响应，尽最大程度规避风险。

 

漏洞准实时响应
 

针对漏洞（大多数情况应对1day漏洞）危害程度，灵洞制定了6小时、12小时、48小时的响应机制。针对高危漏洞，将在6小时内输出包含PoC检测和Exp的漏洞预警，进行情报协同，帮助用户排查风险。

 

关联外部攻击面视角
 

在企业内部，已经知晓拥有什么资产、部署了怎样的防御，这是内部视角下优于外部攻击者的信息差。灵洞从情报的角度提供、补充外部攻击者视角的信息，再跟内部视角的信息进行关联，便于企业用户先于攻击者发现风险，做出主动预防性的预警和响应。 

 

功能四：安全运营与响应
 

通过自动聚合、关联和规范化以及知识图谱的可见性，消除在复杂网络环境中管理数千甚至上万台设备的复杂性。华云安采用自定义流程、SOAR集成和第三方API，实现持续的检测响应，不断发现安全差距、验证控制策略有效性，加快响应速度；通过简单的集成，简化自动化响应的工作流，缩短漏洞响应时间，建设安全运营闭环。

 

多场景Workflow定制
 

灵洞支持用户自定义场景，通过提供通用的解决方案，让用户可以按照组织现有的管理模式进行定制化应用场景，而不是改变自身的的流程来适配产品。

 

自动化编排与响应
 

灵洞支持将用户不同的系统或者一个系统内部不同组件的安全能力通过API自动和人工检查点，按照一定的逻辑关系组合到一起，用以完成用户想要的安全操作，为安全运营提供置信度保障。

 

一键式任务化修复补丁
 

如前所述，并非所有漏洞都需要被修复，我们要将精力聚焦在有价值的漏洞修复上。灵洞通过一键式的响应机制，能够快速下发需要修复的漏洞补丁，提高响应速度与效率。

 

 

基于华云安知识图谱的安全风险库、基于企业暴露面数据源、托管服务及安全服务三类数据源，以攻击者思维定向梳理、发现企业未知资产暴露面及脆弱性，通过“主动+被动+服务”形成具有即时性、可定位性、可追溯性的暴露面测绘图，持续监测网络安全态势，实现从“被动防御”向“主动防御”的进阶。

 

 

功能一：发现未知数字资产暴露面 
 

外部攻击面管理更关注影子资产等未知资产的发现，以防守视角，收集企业暴露在互联网上的信息资产，帮助企业用户追溯到底有哪些暴露在公网中的数字资产可能会被攻击者利用。

 

10类数字资产暴露面
 

目前，灵知已支持超过10类数字资产暴露面，包括不限于WEB站点、IP运营、服务、组件、密码、API等。

 

4类敏感数据暴露面
 

同时，灵知支持暗网监测、开源情报数据源等4类数据资产暴露面。

 

3类关联业务暴露面
 

通过与组织、人员、对应的网站三类业务进行打通，来发现企业的关联业务暴露面。

 

功能二：高效的攻击面情报
 

以攻击者思维，通过对公开威胁情报源、Twitter、Facebook、大型安全论坛进行大数据处理捕获情报数据，精确定位情报来源，完成举证攻击面获取方式及来源的并结合检测引擎，实现精准、全面、及时地发现外部攻击面。

 

30+情报源监测
 

灵知基于自然语言处理（NLP）和知识图谱（KG）技术，可以对对30多个数据源进行大数据处理捕获情报数据。

 

2h准实时检测
 

从发现情报到华云安情报库可查询，精准定位情报来源仅有2小时左右的时差。

 

5维攻击态势评价
 

在情报分析方面，将VPT技术融入其中，从CVSS、发布时间长度、可修复性等5个维度对攻击态势进行评估。

 

功能三：定向的情报预警订阅
 

基于华云安情报平台和针对授权企业提供的信息，实现对多源异构数据的内容分析和分级分类，基于多维度标签高效精准定位受害主体和相关数据，帮助监控最新漏洞及威胁情报信息，为用户提供不同层次的主动告警并支持接口查询。目前，灵知已支持漏洞情报、风险情报、资产暴露面的订阅推送。

 

 

将实战攻防演习常态化，通过自动化和人工智能的技术，以攻击者视角，模拟攻击者可能进行的攻击链路，测试系统的安全性和防御策略的有效性。

 

 

功能一：持续的自动化测试和验证 
 

通过自身信息捕获和外部输入的内容，以获取进程、凭证、文件、权限为目标，全自动化地按照KillChain模型对目标进行细粒度的模拟攻击测试，暴露弱点的同时不影响业务连续性。

 

目前，灵刃支持2000个以上的验证性PoC或Exp，内置超过16万的漏洞风险库，支持10多个安全对抗推演场景。

 

功能二：模拟攻击测试可能的攻击路径
 

灵刃通过平台将攻击捕获的暴露面和脆弱点进行统一分析，制定迭代攻击决策，基于失陷资产进行内网横向渗透，在配置的可控范围内进行远程命令执行，进行攻击链路的复现与推演，从而实现对可能产生的攻击链路进行还原，并通过可视化的方式直观呈现。

 

灵刃目前已积累了不同数量多输入/输出迭代攻击模型，基于华云安人工智能算法引擎针对多种APT攻击类型仿真出不同种类的攻击战法，此外灵刃的自动化渗透横移可支持7层渗透。

 

功能三：安全有效性与业务评价
 

采取主动评估的手段进行“对抗防御”安全有效性的测试，自动化验证外部攻入以及内部潜在的攻击链路及影响，融合威胁情报、资产管理、弱点管理的能力自提供风险评估模型，计算最易被攻击的问题点。

 

目前，灵刃可支持4种安全设备评价策略，28种攻击类型请求，通过对应权重和获取信息密度划定义4个失陷级别。

 

 

据王超介绍，灵洞Ai·Vul、灵知Ai·Radar、灵刃Ai·Bot三款产品基于云原生架构，以微服务的方式提供不断迭代的安全能力。平台化架构让产品既可以独立提供各自的安全能力，也可以通过编排构成全面且完整的攻击面整体解决方案。

 

这样的产品布局源于华云安对于企业安全建设及运营现状的考量。目前，在用户侧没有统一的安全需求和既定的标准模式，每个企业的安全流程，以及其安全团队在业务中享有的话语权大相径庭。因此，华云安定义和拆分了诸如资产管理、漏洞/弱点管理、情报预警、响应中心等等通用普适的、满足最小需求的功能模块，通过原子化的安全能力，结合不同的业务需求构建一个个服务于客户具体应用场景的解决方案，实现一个平台覆盖所有安全能力。

 

谈及此，王超也为我们例举了几个常见的客户应用场景：

 

攻防演练
 

通过持续的数字资产安全监控和自动化测试、验证，满足常态化攻防演练需求，在有限的人力条件下，依赖少数专家即可完成对靶站环境的攻击模拟测试，并可仿照攻击者的意图进行智能对抗，基于实际失陷风险进行漏洞影响性评价。

 

统一漏洞管理
 

集团型或垂直管理行业对多个分支机构或下级单位存在安全监管和漏洞管理要求，针对突发事件和0/1day漏洞下发漏洞预警通报，下级单位快速响应排查、确认漏洞影响、并在及时修复后上报反馈，上级单位识别响应结果的同时，评估安全相应的量化指标。

 

资产风险管理
 

随着企业信息资产规模的飞速增长，信息安全团队需要多维度发现并监控企业数字资产及业务，消除被遗忘的资产和影子资产风险，全方位感知企业完整攻击面。实时掌握新增资产并了解潜在风险，提升敏感数据监测能力，降低攻防演习丢分概率，减少被监管单位通报风险。

 

 

如今，攻击面管理作为安全运营的创新技术，正在成为数字时代安全运营技术的基石。展望未来，王超表示，这三款产品所运用的技术方向将随着攻击面管理的发展形成愈加明显的边界。

 

他预测，EASM将完全以纯粹的外部攻击者视角来看待并定位企业面临的数字风险，构建出天然的信息屏障。因此必须拥有足够广阔的外部视角源和情报源，对应的数据采集、处理和分析能力将成为占据该赛道制高点的关键条件。

 

CAASM将聚焦在企业数字资产和风险管理层面，可以理解为真正的数字风险态势感知系统，以满足企业的日常安全运营需求。需要建立良好的模型来计算弱点及风险的优先级，同时需要兼备攻、防视角，双方对比差异的风险分析也将被纳入到CAASM的技术栈。

 

BAS将成为下一代的漏洞扫描/评估工具的发展方向。传统的扫描器基于海量全面漏报层面做检测，带来了大量噪点，偏向于满足合规要求。因此，新一代的BAS首先需要做漏洞PoC验证，同时在漏洞验证的基础上进行一定的漏洞利用，并挖掘出一条真实的攻击链路，通过主动评估的手段进行安全防御的有效性测试和业务影响评价。