隨著網(wǎng)絡(luò)數(shù)字化轉(zhuǎn)型速度的加快，企業(yè)運(yùn)營(yíng)方式發(fā)生重大變化，網(wǎng)絡(luò)基礎(chǔ)設(shè)施更加復(fù)雜，使得攻擊面的規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)空間安全承受多重考驗(yàn)。為更全面的保障網(wǎng)絡(luò)安全、社會(huì)安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全，亟需通過(guò)多方協(xié)作的方案，幫助企業(yè)從全局視角提升安全防護(hù)水平和維護(hù)安全運(yùn)營(yíng)環(huán)境。

二、亦攻亦防——相滲透，共促進(jìn)

攻防演練幫助企業(yè)排查和分析攻擊面/風(fēng)險(xiǎn)暴露面。攻防演練從排查系統(tǒng)安全隱患和保障網(wǎng)絡(luò)安全的角度出發(fā)，在有監(jiān)督的條件下，運(yùn)用多種攻防技術(shù)模擬真實(shí)的網(wǎng)絡(luò)攻擊，完成對(duì)目標(biāo)系統(tǒng)安全性和運(yùn)營(yíng)保障有效性的評(píng)估。攻防演練也是構(gòu)建完備的安全策略的關(guān)鍵組成部分，能夠幫助組織識(shí)別網(wǎng)絡(luò)邊界內(nèi)人員、流程和技術(shù)的弱點(diǎn)，并查明安全漏洞，例如：安全架構(gòu)中可能存在的后門(mén)和其他訪問(wèn)漏洞。

在攻防演練實(shí)戰(zhàn)中，核心是“攻”、“守”兩方的較量。攻擊方嘗試使用復(fù)雜的攻擊技術(shù)識(shí)別和利用網(wǎng)絡(luò)防御中的潛在弱點(diǎn)，是準(zhǔn)確評(píng)估公司預(yù)防、檢測(cè)和安全事件處置能力的關(guān)鍵組成部分。防守方由事件響應(yīng)人員組成，承擔(dān)識(shí)別、評(píng)估和響應(yīng)入侵的工作，其專家及團(tuán)隊(duì)是受檢方防御體系中的重要組成部分，能夠反映出防守方的安全防御和應(yīng)急響應(yīng)的能力。

攻防演練中攻擊方展開(kāi)從攻擊面分析、邊界突破、橫向滲透到攻破目標(biāo)的攻擊過(guò)程，防守方則是從暴露面收斂、邊界防御、區(qū)域控制到強(qiáng)化控制的防守過(guò)程。但雙方不是僅一味的攻擊或防御，比如：攻擊方要防御來(lái)自防守方的蜜罐欺騙。攻防演練過(guò)程實(shí)質(zhì)是攻中有防，防中藏攻。在這場(chǎng)激烈的攻防博弈戰(zhàn)中雙方不斷增進(jìn)技術(shù)，改進(jìn)安全策略，聯(lián)合多方視角共同繪制了全面的安全網(wǎng)絡(luò)架構(gòu)圖，切實(shí)做到“以攻促防”。

三、攻擊面管理的必要性

在圍繞目標(biāo)系統(tǒng)制定實(shí)戰(zhàn)策略后，開(kāi)展攻防實(shí)戰(zhàn)的首要步驟是攻擊面分析與暴露面收斂。攻擊方試圖通過(guò)信息收集獲取目標(biāo)可用的信息，將各攻擊點(diǎn)連接匯成攻擊面，攻擊面越廣意味著發(fā)現(xiàn)潛在漏洞的可能性越大，攻擊成功的概率也就越高。同樣地，防守方關(guān)注自身的暴露面，分析自身可能存在的安全風(fēng)險(xiǎn)，然后通過(guò)安全方案最小化暴露面，以此降低安全風(fēng)險(xiǎn)。當(dāng)防守方通過(guò)信息收集獲取的結(jié)果越全面，對(duì)自身安全狀況了解就越透徹，對(duì)抗的思路也越清晰，進(jìn)而找到降低安全風(fēng)險(xiǎn)的最優(yōu)解決方案。攻擊者往往只需要利用目標(biāo)存在的某個(gè)脆弱點(diǎn)即可發(fā)動(dòng)網(wǎng)絡(luò)攻擊，組織欲在攻擊者發(fā)現(xiàn)風(fēng)險(xiǎn)之前消除或管理風(fēng)險(xiǎn)，需了解自身安全現(xiàn)狀并探知未知風(fēng)險(xiǎn)。為了應(yīng)對(duì)這些挑戰(zhàn)，組織必須實(shí)現(xiàn)完整的可視化和持續(xù)監(jiān)控。及時(shí)識(shí)別數(shù)字資產(chǎn)是強(qiáng)大威脅情報(bào)的重要組成部分，攻擊面管理可快速檢測(cè)、映射和分類本地和云IT等資產(chǎn)，大大降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。攻擊面管理有助于預(yù)防和減輕來(lái)自以下的風(fēng)險(xiǎn)：

1、遺留、物聯(lián)網(wǎng)和影子IT資產(chǎn)

2、人為錯(cuò)誤和遺漏，如網(wǎng)絡(luò)釣魚(yú)和數(shù)據(jù)泄露

3、脆弱和過(guò)時(shí)的軟件

4、未知開(kāi)源軟件（OSS）

5、對(duì)您所在行業(yè)的大規(guī)模攻擊

6、對(duì)您的組織的定向網(wǎng)絡(luò)攻擊

7、侵犯知識(shí)產(chǎn)權(quán)

8、從并購(gòu)活動(dòng)中繼承的IT

9、供應(yīng)商管理的資產(chǎn)

四、攻防視角解讀攻擊面管理

從攻擊方角度看，需要盡可能多的獲取攻擊面信息，方便后續(xù)開(kāi)展武器化的攻擊活動(dòng)；相反的，防守方則盡可能地隱藏暴露面信息，以便在攻擊初期截?cái)喙粽吆罄m(xù)的各類攻擊行為。將攻防演練映射到真實(shí)網(wǎng)絡(luò)環(huán)境下，企業(yè)可基于攻擊面管理（ASM）控制平臺(tái)，對(duì)包含、傳輸或處理敏感數(shù)據(jù)的外部數(shù)字資產(chǎn)的持續(xù)發(fā)現(xiàn)、清點(diǎn)、分類、優(yōu)先排序和安全監(jiān)控，了解資產(chǎn)上存在的風(fēng)險(xiǎn)點(diǎn)，可以讓企業(yè)比攻擊者領(lǐng)先一步隱藏暴露的攻擊面。然而單一平臺(tái)的監(jiān)管能力具有一定的局限性，不能掌控所有安全事件，難以針對(duì)突發(fā)事件做出及時(shí)有效的處理。

華云安為解決上述安全管理難題，提出了一種“產(chǎn)品? 安全服務(wù)”輔助協(xié)作的攻擊面管理（ASM）產(chǎn)品體系，可避免網(wǎng)絡(luò)安全運(yùn)營(yíng)成本的過(guò)量投入，同時(shí)進(jìn)一步提升安全管理運(yùn)營(yíng)的有效性，幫助企業(yè)從攻防視角評(píng)估自身可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和脆弱性。

產(chǎn)品為基礎(chǔ)

華云安擁有靈洞威脅與漏洞管理系統(tǒng)、靈刃智能化滲透攻防系統(tǒng)、靈鑒弱點(diǎn)識(shí)別與檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品，為政府、金融、能源、教育、醫(yī)療等行業(yè)，提供集網(wǎng)絡(luò)安全情報(bào)采集分析能力、關(guān)鍵信息基礎(chǔ)設(shè)施防御能力、網(wǎng)絡(luò)安全反制能力于一體的新一代云原生安全產(chǎn)品解決方案。

服務(wù)為核心

華云安以實(shí)戰(zhàn)、實(shí)網(wǎng)、對(duì)抗、常態(tài)為目標(biāo)，從漏洞挖掘、滲透測(cè)試、威脅分析、情報(bào)預(yù)警、攻擊溯源、應(yīng)急處置、紅藍(lán)對(duì)抗、攻防演練、重保支撐、代碼審計(jì)、風(fēng)險(xiǎn)評(píng)估、安全培訓(xùn)等多個(gè)維度覆蓋用戶安全場(chǎng)景，實(shí)現(xiàn)威脅管理、攻擊模擬、溯源分析、端點(diǎn)防御等一體化安全運(yùn)營(yíng)管理能力。華云安安全服務(wù)特色如下：

規(guī)范化的安全服務(wù)流程

安全服務(wù)流程特點(diǎn)在于全程化服務(wù)，即從前期準(zhǔn)備到結(jié)果輸出的全階段服務(wù)過(guò)程。技術(shù)人員會(huì)針對(duì)客戶的漏洞修補(bǔ)提供專業(yè)的建議和指導(dǎo)，保障發(fā)現(xiàn)漏洞、修補(bǔ)、驗(yàn)證的全程跟蹤，每一次服務(wù)都會(huì)在前一次的基礎(chǔ)上尋找新的突破口，確保應(yīng)急響應(yīng)工作的全面規(guī)范化，力求最大程度地保證測(cè)試目標(biāo)的安全。

針對(duì)用戶不同的業(yè)務(wù)層面存在的安全漏洞及威脅，結(jié)合安全專家的分析經(jīng)驗(yàn)提供一系列測(cè)試方法及流程，提出相應(yīng)的修補(bǔ)建議供用戶參考。

快速的安全服務(wù)周期

安全服務(wù)流程各環(huán)節(jié)都有固定的項(xiàng)目階段管理辦法，嚴(yán)格按照服務(wù)實(shí)施標(biāo)準(zhǔn)和原則，由專門(mén)的項(xiàng)目管理人員完成全周期的質(zhì)量監(jiān)控，充分調(diào)用資源，高效地解決項(xiàng)目中的各類問(wèn)題，保證項(xiàng)目按質(zhì)按量按時(shí)地順利完成。

安全服務(wù)團(tuán)隊(duì)經(jīng)過(guò)長(zhǎng)期的經(jīng)驗(yàn)積累與技術(shù)沉淀，目前已具備成熟的服務(wù)運(yùn)行體系，充分確保安全服務(wù)流程的高效運(yùn)轉(zhuǎn)。

關(guān)鍵詞： 攻擊 管理 視角