4、对抗性暴露验证
漏扫工具的漏洞扫描关注资产的脆弱性发现。漏洞管理,漏洞验证作为脆弱性管理的工具提供关于脆弱性的治理能力。静态的漏洞发现,验证,修复在传统企业安全场景中,因系统生命周期的稳定性和场景的简单化以及资源的可以利用性,可以解决企业安全基本风险的脆弱性治理。但在运营安全中,面对敏捷开发的业务适应性需求,系统版本的生命周期短,技术栈和部署结构复杂,安全与研发资源投入不足,静态的漏洞管理思维主导的脆弱性治理模式受到挑战,传统的漏洞公共评级难以适用企业实际安全政策。
漏洞的利用验证,部署环境的安全补偿性控制措施绕过,多漏洞组合利用的业务损害,构成攻击有效性的评估,整合成暴露管理的控制措施。互联网暴露面管理工具关注的是互联网暴露资产的脆弱性发现,评估,但忽略了内部资产漏洞的利用验证和攻击路径的整合。涉及到部署方式和检测能力以及对外部威胁的防御能力,互联网暴露面管理具有市场价值。
对抗性暴露验证,从漏洞的可利用性评估验证以及漏洞组合利用的业务破坏进行攻击评估验证,是对破坏性攻击模拟(BAS),自动化渗透测试/自动化红队等技术和产品的整合,可以实现攻击场景的验证。
这和资产管理,漏洞管理,暴露面管理,破坏性攻击,自动化渗透测试,威胁狩猎等产品存在着交叉和重叠,只不过功能整合的视角与维度不同,这个概念是从攻击者视角验证破坏的可行性,为防守者评估安全控制措施的有效性提供动态依据。
5、暴露评估平台(EAPS)
暴露评估平台(EAPS)与对抗性暴露验证都属于可持续暴露管理(CTEM)的支撑技术和产品,与对抗性暴露验证从攻击者视角关注漏洞的组合可利用性完成攻击路径和攻击场景的验证不同,暴露评估平台关注的是漏洞和错误配置的风险分析与评估,为安全控制策略的制定,控制措施的建设,以及事件的检查与响应提供支持。
暴露评估平台作为资产管理平台,漏洞管理平台的增强功能,关注的是威胁的实际可利用性以及风险发生的概率。但需要注意的事,暴露评估除了关注漏洞之外,需要关注配置暴露的风险,从近年发生的重大公有云可用性事故中,错误配置占了重要的比例。同样,公有云造成的数据泄漏,也普遍存在默认配置,配置不当,错误配置等造成的安全事故。因此,配置管理纳入脆弱性管理,甚至提升至漏洞管理同等重要的程度,也需要相关安全产品关注。
我在资产安全管理方向提过两个个观点,一是数字资产的范畴要足够广泛,不仅要包含物理基础设施,也要包含软件,配置,数据等设施。其实数字化管理的均是数字资产的范畴,而数字化管理的基础设施同样属于数字资产,其脆弱性均需要评估和保护。二是数字资产的安全管理未必统一由安全资产管理平台管控,安全资产管理平台只管理资产的安全属性和脆弱性,数字资产的管理仍由业务功能管理平台管理,只不过需要为安全资产管理平台提供安全属性和脆弱性交互的数据,符合安全资产管理平台的相关规范和要求。
暴露评估包含三个维度,一个是从脆弱性看资产,需要了解脆弱性的种类,脆弱性的影响,覆盖的数字资产的范围,评估数字资产脆弱性整改涉及到的工作量与复杂度。一个是从资产看脆弱性,要了解数字资产目前存在哪些脆弱性,这些脆弱性对资产的影响。还有一个维度,就是从业务角度来看暴露,对于具备多业务的复合性企业而言,从责任和治理的角度,需要关注业务具备哪些数字资产,这些数字资产的风险管理处于什么样的水平。
暴露评估平台是一种技术,也可以是一种产品,但更是一种理念,在安全资产管理,安全风险管理平台中集成相应的功能,也是一种理想的解决方案。
6、遥测管道(telemetry pipeline)/可观测性管道
数据的重要性在安全能力建设和运营中的价值日益凸显,从早期静态的日志数据,到后来的动态的流量数据,内部数据采集是检测,验证,分析,规则应用的基础,围绕着数据的采集,传输,分析,应用是安全产品的能力构建的核心优势。
日志依赖于自上而下的逻辑设计,从语义的层面更加明确,具体,减少数据的不确定性,但问题在于仅记录设计的事后数据,可以用于溯源分析,但却难以记录不确定性和模糊性数据,难以发现未知问题,而且,由于记录事后分析的特性,难以实现实时处置。
流量数据是NDP,NDLP等基于流量探针旁路的数据采集能力,可以实现全量数据的采集,从而发现未知的风险和问题,可以进行检测和预警,流量数据对应用层加密流量可能难以处理,而且受制于探针部署的位置,一般仅做出入口的流量控制,难以实现内部流量的跟踪。
Agent采集是HIDS,终端DLP,NDR等终端产品数据采集的主要方式,是终端安全检测能力的数据源,目前也存在通过eBPF的网络层协议,直接实现终端数据的采集与分析能力的解决方案。
应用层的Agent,例如java 中间件的数据采集Agent采集应用层数据,在应用于APM的同时,也可以应用于IAST、RASP以及DLP等安全功能。
微服务以及容器化的架构中,应用网关以及容器Sidecar技术实现的业务与管理流量分离,都可以作为安全内部数据的采集点。
我把上述数据源以及数据源数据的获取技术统称为数据采集,当然从概念抽象的角度来看,也可以称之为遥测技术,关键是获取安全功能需要的内部数据。
可观测性2022年关注比较多,主要是关注在从单数据流量实例的角度,关注数据流动安全的可观测性,比如,当用户数据泄漏时,回溯用户数据实例流动的全过程分析,关注到数据流经的从终端应用,到API,数据库全过程中触及到的的人,设备,应用,软件,服务器,通过机器学习的方式,找到聚类规律,完成溯源。
这个过程不仅适用于数据安全,同样适用于威胁狩猎,例如对APT攻击路径的回溯,前提是建立不同数据源格式适配,以及相关性关联与分析。至于安全数据的外部数据问题,在威胁情报相关的主题阐述,这里不做赘述。
二、在顶峰的安全产品与技术
1、网络–物理安全(CPS)
前文阐述了IT、CT、OT融合的风险,三者在安全风险的控制能力和措施存在巨大差异,OT物理隔离环境下安全风险评估和控制措施有限,融合了数字化技术之后自身脆弱性风险增加,与CT、IT环境互通后外部威胁增加了暴露面,存在巨大风险。从产品安全的维度来看,新兴数字化产品需要在产品设计阶段整合安全预防能力,但存量产品接入现有网络需要关注网络隔离的补偿性措施设计,以及产品OT协议重构与升级安全需求协议的需求,否则,将会带来重大的CPS风险。
2、网络资产攻击面管理(CAASM)
详见EAPS章节的分析,这也是我2022-2023年关注的资产动态安全管理的范畴,几乎完全重合。
3、渗透测试即服务
相对于人工渗透测试服务,关注的是SAAS部署的自动化测试工具对人工渗透测试服务的补充,以及标准化工具平台,流程和规则,对特定监管和威胁规则的检测。
4、威胁暴露管理
详见EAPS章节的分析,相对于资产维度,关注的是脆弱性维度。
5、安全服务边缘(SSE)
企业安全中,用户使用终端通过网络访问IT资源的的管理,是身份认证,权限管理,访问控制等安全策略预防能力部署的重点。当用户,用户的终端设备,IT资源都在相对固定的物理区域内,网络属于封闭内网,关注的重心在于用身份认证,终端的安全管理,以及资源应用权限的管控。分支机构和移动办公需求逐渐增多的背景下,VPN作为远程加入内网模式的解决方案使用。VPN的问题是仅做网络接入内网的控制,对用户身份,终端,应用权限的控制依赖于已知的安全策略,账号出租,终端非受控,内网默认信任导致的资源权限漏洞,在远程办公普及时风险日益严重。
零信任解决方案(ZTNA)重点解决用户,终端,资源的动态验证和精细化权限控制的动态授权问题,用户的强身份认证,结合受控终端的安全管理与检查,规避风险才可以访问授权应用资源,不再有默认的受控终端,默认的网络信任边界的概念,构成了零信任的核心理念。当然,在部署的时候,从性能和效率出发,会对终端和用户的场景区分以减轻网关的压力,这是零信任解决方案产品差异化竞争优势的体现。
零信任解决了用户和终端访问内网IT资源的问题,但企业存在着访问公有云和第三方IT资源管控的问题,员工通过终端访问企业外部IT资源过程的安全检查和监控同样需要解决,云访问安全代理(CASB)作为访问代理,员工使用终端通过CASB才能访问外部IT资源,外部IT资源仅接受CASB的访问,实现外部资源访问的安全检查与监控。
还有一种场景是企业生态环境中,对用户生命周期和终端缺少管控能力的资源开放带来的数据安全风险和非授权使用的检测与管控,web安全网关(SWG),安全浏览器,或者无端零信任解决方案是针对这种场景的解决方案。
整合SD-WAN方案的SASE架构,通过靠近终端侧的网关接入方案实现全面的用户身份,设备管控,网络边界,应用授权的解决方案,在网络层,应用层提供安全控制策略和数据安全保护策略,逐渐成为共识。
三、滑入低谷的安全产品和技术
1、数字取证和事件相应(DFIR)
这里的事件更多的倾向于我们表达的事故,是安全事故发生后关于避免合规风险以及对企业的影响所做的响应。事故发生的过程回溯和分析,并对安全合规性的操作,流程,记录进行审计和取证,分析事故的发生,处置过程的合规性。遵照合规要求,完成通知流程和损失弥补,恢复业务,降低事故对企业的负面影响。例如,个人信息数据泄漏,需要通过数字取证确认个人信息保护从安全风险评估,到安全控制措施的部署,到安全运营过程配置,管理,检测和监测的有效性,取证是否符合监管部门合规需求。在通知涉及到的用户,监管部门,并采取补偿性保护措施,以及规避资本市场和公众对企业信誉的影响方面建立完善的响应流程。
作为安全服务,对企业的价值和如何整合企业自身的取证和应急响应流程,需要企业自行评价。
2、数字风险保护(DRPS)
数字化让企业整体暴露在网络空间中,假冒和伪造风险让企业声誉遭受损失,早期的假冒网站欺诈,当下假冒APP的用户欺诈,都会让企业的正常业务不胜其扰。假冒网站和APP骗取用户认证信息和用户个人敏感信息,假冒企业客服,业务人员处理业务,造成用户财产损失,需要威胁情报支持的互联网,暗网,社区的监控,及时发现,分析,处置相关的风险。
针对企业业务活动的众包套利,针对企业资源API的非授权工具开发售卖,针对企业敏感数据的伪造,售卖,针对企业不实信息的创作,传播和发表,同样是数字风险的重灾区。另外,需要对企业假冒网站,APP,员工行为提供帮助的域名注册,短链服务,主机托管服务,以及短信服务的相关企业,相关社区需要有一定的沟通,协调,处置能力。
国内也有数字品牌保护的厂商,重点关注域名下线和封堵等相关业务,也有威胁情报厂商提供企业相关的黑灰产情报服务。
但数字风险风险保护,需要关注从企业数字资产风险的监控,外部情报获取,综合分析,响应,处置的能力,以规避外部威胁对企业数字品牌和业务的破坏性风险,具备技术能力,具备法律服务能力,具备监管部门沟通协调处置能力,是提供有效服务的必备条件。当然,这个服务并不容易做,需要持续的积累和丰富的能力支持以及跨界的资源整合。
3、外部攻击面管理(EASM)
参考对抗暴露验证和暴露评估章节。
4、身份威胁检测与响应(ITDR)
身份认证作为预防安全措施的第一道防线,是确认用户,权限管理和访问控制的基础,为了实现身份的管理,建设身份管理平台(IAM),通过统一认证(SSO),多因素认证(2FA)实现身份基础设施的建设,但不幸的是,集中的身份管理,带来凭证盗窃的问题,带来集中管理的风险问题,例如依赖域管理的企业安全身份管理,域控制器往往成为企业安全的薄弱环节。因此构建ITDR成了保护IAM的无奈之举。
多提一句,依赖于生物识别技术的认证方式面临巨大挑战,以人脸识别作为多因素认证关键防线的应用受到来自人工智能生成技术例如deepface和对抗样本攻击的风险,但目前对该风险的普遍认知不足,实属悲哀。
5、扩展检测与响应(XDR)
作为第一代基于日志驱动的运营分析SOC,基于流量,日志整合关联分析的事件响应与管理平台SIEM,结合了终端EDR和网络NDR的XDR被寄予厚望,成为数据驱动内部数据整合与威胁情报外部数据整合,实现关联分析的基础设施。问题在于异构设备,异构产品数据兼容性基础上的关联分析可以实现什么样的效果,能否避免供应商锁定的风险。另外,需要关注在EDR,NDR,SIEM的基础设施之上,可以提供多少的增值服务,能力建设和运营的投入产出比是否匹配,如何回应安全过度投入的质疑。
6、安全自动化编排(SOAR)
自动化作为安全的必备能力之一,是作为产品的必备功能,还是作为公共能力,越来越受到挑战,在产品联动和协作需求较少的前提下,没有SOAR的需求,在产品和协作需求普及的前提下,平台具备自动化子功能,设备具备开放接口(API),独立SOAR产品的空间必然受到挤压,作为一定历史阶段的产物,何去何从,需要慎重考虑。
四、爬坡的产品与技术
1、共同管理的安全监控服务
2、托管检测与响应服务(MDR)
针对公有云基础设施的企业而言,不具备安全基础能力的企业使用托管服务,具备安全能力的企业在基础设施安全基础之上,对应用,业务,数据安全使用共同管理的安全监控服务,都不失为一个良好的解决方案。但相对于美国的公有云业务普及,中国企业的普遍现状是否与美国相同,我缺乏足够的信息判断,但从了解的个案来看,这个领域似乎并没有处在爬坡状态。
3、网络检测与响应(NDR)
4、威胁情报产品和服务(TI)
威胁情报产品和服务在网络安全,软件安全,供应链安全等公共威胁,脆弱性方面的相关情报之外,针对企业数字风险的个性化威胁和脆弱性情报和服务,是企业数据驱动安全的外部数据的关键来源。数字风险威胁情报领域依然有庞大的需求空间可以探索和创新,也是解决网络与电信欺诈等社会问题的可能解决方案之一。
另外,企业如何实现多源外部威胁情报的整合,以提升威胁情报的覆盖率和准确性,并实现与企业内部数据的整合,提升风险和事件的检测与响应能力需要考量。同时,对于威胁情报产品和服务提供商而言,如何实现威胁情报数据质量的提升,如何实现企业情报数据的双向价值交换,以及实现数据的标准化,规范化提升兼容性的同时,保障自身的核心竞争力,是一个重要的考验。
五、进入高原的产品和技术
1、端点检测与响应(EDR)
2、安全信息和事件管理(SIEM)
相对成熟的产品和技术,面临升级换代以及概念整合的挑战,但在未证明新概念和升级换代的投入产出价值,以及新概念和升级换代未受到市场的广泛认可与接受以前,成熟的产品和技术依然是当下问题的最佳解决方案。
