數世咨詢：2023攻擊面收斂能力指南（37頁）.pdf

《數世咨詢：2023攻擊面收斂能力指南（37頁）.pdf》由會員分享，可在線閱讀，更多相關《數世咨詢：2023攻擊面收斂能力指南（37頁）.pdf（37頁珍藏版）》請在三個皮匠報告上搜索。

1、 北京數字世界咨詢有限公司 2023.5攻擊面收斂能力指南 北京數字世界咨詢有限公司 2023.5攻擊面收斂能力指南2020 年，數世咨詢首創網絡安全三元論，后進化為“數字安全三元論”，該理論由信息技術、網絡攻防、業務應用三個支點與數據安全這個核心構成，其中：信息技術是數字安全工作開展的基礎，不清楚資產，何談保護？沒有網絡，就沒有網絡安全；網絡安全的伴生、服務和對抗本質，決定了它將永遠的場景化、碎片化和動態化；業務應用既是信息技術與網絡攻防的成本來源，也是兩者最終的價值所在。數字世界以網絡連接為基礎，以數據流動釋放價值，以人工智能塑造未來。數字安全以網絡安全為基本手段，以數據安全為核心目的，支

2、撐數字經濟的健康發展和國家社會的和諧穩定。數字世界，安全共生！數世咨詢作為國內獨立的第三方調研咨詢機構，為監管機構、地方政府、投資機構、網安企業等合伙伙伴提供網絡安全產業現狀調研，細分技術領域調研、投融資對接、技術盡職調查、市場品牌活動等調研咨詢服務。報告編委主筆分析師 劉宸宇 首席分析師 李少鵬 分析團隊：數世智庫 數字安全能力研究院 版權聲明本報告版權屬于北京數字世界咨詢有限公司（以下簡稱數世咨詢）。任何轉載、摘編或利用其他方式使用本報告文字或者觀點，應注明來源。違反上述聲明者，數世咨詢將保留依法追究其相關責任的權利。目錄前言 1關鍵發現 31攻擊面收斂定義及描述 4攻擊暴露面 4網絡空間

3、資產 4攻擊面收斂 42攻擊面收斂市場情況 5能力點陣圖 5市場概況 63攻擊面收斂主要場景 8攻擊面資產納管 8實網攻防演練 8數據泄露溯源取證 8安全運營基礎設施 94攻擊面收斂關鍵能力9CAASM 9目錄EASM 11專項收斂能力 125攻擊面收斂未來展望 156攻擊面收斂案例收錄 16某金融行業用戶案例(華順信安提供)16某大型國有集團用戶案例(360 數字安全提供)20某運營商用戶案例(探真科技提供)23某證劵行業用戶案例(魔方安全提供)26 攻擊面收斂能力指南 1前言繼以色列安全初創公司 Axonius 作為一家專門從事網絡安全資產管理的安全企業奪得 2019 年 RSAC 創新沙

4、盒的冠軍后，老生常談的“網絡空間測繪”、“資產管理”等概念重新走進安全從業者的視野并逐漸火熱起來，Gartner 于2021、2022連續兩年在Hype Cycle for Security Operations中收錄CAASM（網絡資產攻擊面管理）后，“攻擊面管理”時代正式到來。國內的安全供應商也是如此，無論較早成立的以“資產測繪”或“資產管理”為主要技術路線的企業，還是近兩年如雨后春筍般新成立的定位“攻擊面管理“的初創團隊，都在積極向攻擊面管理 ASM 這個賽道靠攏。然而與西方不同的是，近年來國內安全市場在這一領域的驅動力仍主要來自于逐漸常態化的實戰化攻防演練。這就導致了一方面我們的攻擊面

5、管理基礎較為薄弱，從機房的老舊設備到云端的新業務，潛在的攻擊暴露面始終存在，另一方面我們針對這些攻擊暴露面的動作仍然是周期性、運動式的。這就決定了國內“攻擊面管理”產品與解決方案在落地時，單純的“管理”并不能完全滿足需求，還需要重點關注“收斂”這一動作。但與此同時國內的CSO崗位制度尚未健全，安全團隊話語權普遍較弱，“收斂”往往會涉及到網絡、運維、研發甚至業務等兄弟部門的溝通協作，技術外的成本一直很高，因此如何借助實戰化攻防演練這一絕好機會，對攻擊面進行集中式專項“收斂”成為突出的現實需求?；谏鲜霈F狀，數世咨詢認為業內缺少一篇中立客觀的橫向調研報告，以2“攻擊面收斂”為視角，對國內該細分市場

6、做出梳理與論述。鑒于此，我們對國內具備“攻擊面收斂”相關能力的安全企業開展了為期數月的調研工作，并在保護隱私不泄露任何調研原始數據的基礎上，將調研成果整理成為各位讀者看到的攻擊面收斂能力指南。報告結合國內現狀，首先對攻擊面收斂進行了定義及描述，之后對國內該賽道的市場規模進行了統計與概述，并針對主要能力企業畫具了“攻擊面收斂能力點陣圖”，在關鍵能力部分，報告從 CAASM、EASM 視角分別進行了簡述，并針對國內需求，重點描述了三個專項收斂能力，最后報告收錄了該領域具有代表性的案例最佳實踐，供各位讀者參考。鑒于時間緊迫，調研對象樣本有限，報告中難免有遺漏、偏頗之處，請各位讀者不吝指正。攻擊面收斂

7、能力指南 3 關鍵發現國內“攻擊面管理”產品與解決方案在落地時，單純的“管理”并不能完全滿足需求，還需要重點關注“收斂”這一動作。攻擊暴露面指潛在攻擊者對行業用戶機構開展網絡安全攻擊時可能利用的所有數字資產、外部信息、脆弱性風險等數據的集合，稱為該用戶機構的攻擊暴露面。攻擊面收斂指行業用戶針對機構自身及下屬分支機構的攻擊暴露面進行發現、判別、確認、管理，并協調內、外第三方對攻擊面進行持續收斂的解決方案。據此次調研，2022年國內攻擊面收斂市場收入約為6.24億元，同比增長127.23%。高增長率來源于近幾年國家與地方各級攻防演練的直接推動，以及用戶側對攻擊面收斂概念的普遍認可。按照60%增長率

8、的謹慎樂觀估計，攻擊面收斂這一領域2023年市場規?？蛇_9億元，2024年市場收入可達到15億元。對于潛在攻擊者來說，攻擊暴露面并不嚴格以CAASM和EASM作為區分，任何可被利用的外部信息、內部資產、脆弱性，都是最終用戶應當關注覆蓋的。目前國內常見的三個攻擊面專項收斂能力主要有：漏洞風險資產快速定位與下線、外部信息攻擊面收斂、辦公網資產整體收斂等。攻擊面收斂方案的交付將以“平臺+服務”結合為主要方式，同時作為行業共識，攻擊面收斂將成為安全運營必選項。攻擊面收斂將從“安全事件驅動”向“風險量化驅動”轉變。41攻擊面收斂定義及描述攻擊暴露面本報告中的攻擊暴露面指潛在攻擊者對行業用戶機構開展網絡安

9、全攻擊時可能利用的所有數字資產、外部信息、脆弱性風險等數據的集合，稱為該用戶機構的攻擊暴露面。網絡空間資產本報告中的資產指賽博空間中某機構所擁有的一切可能被潛在攻擊者利用的設備、信息、應用等數字資產。具體對象包括但不限于硬件設備、云主機、操作系統、IP 地址、端口、證書、域名、Web 應用、業務應用、中間件、框架、機構公眾號、小程序、App、API、源代碼等。概括來說，只要是可操作的對象，不管是實體還是屬性，都可以稱之為“網絡空間資產”。攻擊面收斂如無特別說明，本報告中的“攻擊面收斂”特指行業用戶針對機構自身及下屬分支機構的攻擊暴露面進行發現、判別、確認、管理，并協調內、外第三方對攻擊面進行持

10、續收斂的解決方案。攻擊面收斂能力指南 52攻擊面收斂市場情況 本次調研廣泛征集能力企業參與，截至報告發布，共回收調研表30余家（以企業簡稱首字母排序）：360 數字安全、安博通、埃文科技、邊界無限、白山云、長亭科技、長揚科技、烽臺科技、觀安信息、灰度科技、華順信安、華云安、零零信安、綠盟科技、魔方安全、奇安信、矢安科技、盛邦安全、上海碳澤、天防安全、天懋信息、探真科技、微步在線、未嵐科技、未來智安、霧幟智能、億格云、云科安信、星闌科技、執掌易等。能力點陣圖本次能力指南點陣圖仍然以市場執行力、應用創新力分別為橫、縱坐標軸，對企業進行展示。鑒于攻擊面管理/收斂涉及行業、場景、技術實現方式多且雜，上

11、述參與調研的企業并未全部在點陣圖中展示：攻擊面收斂能力點陣圖6除點陣圖中企業外，另有一些非典型攻擊面管理/收斂賽道的企業，如烽臺科技、長揚科技、天防安全、天懋信息等，具備典型的行業屬性；又如億格云、白山云、執掌易等利用零信任等新的理念或技術同樣實現了“攻擊面收斂”目的；部分未列入點陣圖的能力企業，在后文中會另有敘述。市場概況根據此次調研，2022 年國內攻擊面收斂市場收入約為 6.24 億元，同比增長 127.23%。高增長率來源于近幾年國家與地方各級攻防演練的直接推動，以及用戶側對攻擊面收斂概念的普遍認可。結合各家被調研企業對 2023 年用戶預算的了解及整個市場預期，我們預計增長率會有較明

12、顯的回調，但相比其他細分領域，仍屬高位。按照 60%增長率的謹慎樂觀估計，攻擊面收斂這一領域 2023 年市場規?？蛇_ 9 億元，2024年市場收入可達到 15 億元。統計口徑說明：這里要格外說明的是，鑒于幾乎所有行業所有場景下的安全工作，首先都會涉及到攻擊面的發現、管理與收斂，因此若單純以產品功能或解決方案模塊等為市場統計依據，會重復納入相當多其他安全領域的收入。因此本報告采用相對狹義的統計口徑，僅以最終用戶安全團隊明確的攻擊面收斂需求驅動的項目立項或采購為依據，將相關收入納入統計。諸如傳統的漏洞掃描、漏洞補丁管理產品，以及工業互聯網、物聯網等行業的相關營收，均并未計入此次調研 攻擊面收斂能

13、力指南 7數據。特此說明。在 2022 年底，數世咨詢發布的中國數字安全能力圖譜中，攻擊面收斂屬于“基礎與通用技術“領域。2022 年度中國數字安全能力圖譜2022 年度數字安全成熟度階梯（基礎與通用技術）在“數字安全成熟度階梯”中，攻擊面收斂位于“熱力區”，處于“融合創新”的“新興市場“階段。83攻擊面收斂主要場景攻擊面資產納管對于傳統網絡協議環境，集團總部對各地分子公司、營業網點等分支機構的資產進行全面排查，將分支機構的潛在攻擊暴露面資產納入管轄范圍，掌握集團整體攻擊暴露面情況；分支機構也可以自行采購或建設攻擊面收斂解決方案開展自查，然后將收斂后的資產信息上報給集團總部或監管機構，從而掌握

14、主動權。對于視頻專網、工業互聯網、以及 IoT 設備網絡等專網環境，安全團隊借助攻擊面收斂能力對測試設備（影子資產）與更新換代后的老舊設備（僵尸資產）等進行納管或下線處置。鑒于其行業場景特殊性，本報告將報名參與本調研的該領域能力企業在此單獨列出，供有此類場景需求的用戶參考：烽臺科技 工業互聯網攻擊面收斂解決方案 長揚科技 工控網絡攻擊面管理解決方案 天防安全 視頻網絡攻擊面管理解決方案 天懋信息 特種行業專網攻擊面管理解決方案實網攻防演練國家級、地市級、行業級實網攻防演練活動逐步趨于常態化。演練開始前，防守隊對自身潛在的攻擊暴露面進行提前發現和收斂；演練開始后，防守隊快速定位失陷資產、精準下線

15、失陷資產，第一時間做出收斂響應。數據泄露溯源取證安全應急團隊將暗網、黑市中販賣的樣本數據等外部攻擊面，與內部數據 攻擊面收斂能力指南 9對照相互印證，進而定位失陷設備、資產乃至人員，形成攻擊證據鏈。一方面為下一步訴諸法律手段提供法律依據，另一方面對同類資產橫向排查同類攻擊行為，避免再發生類似泄露事件。安全運營基礎設施安全運營建設初期，以攻擊面暴露面作為其他各項安全投入的依據和基礎；安全運營建設過程中，以接口化攻擊面管理平臺作為SOC、SIEM等平臺的底座；安全運營能力形成后，結合安全有效性驗證與量化評估進一步收斂攻擊面，持續提升整體安全運營水平。4攻擊面收斂關鍵能力為方便讀者與業內已有概念對照

16、，本報告以大家所熟知的 CAASM、EASM 與專項收斂三個方面來描述攻擊面收斂的關鍵能力。然對于潛在攻擊者來說，攻擊暴露面并不嚴格區分內外，因此，下面這些關鍵能力點雖然分別描述，但并非相互割裂，而是互為補充。任何可被利用的外部信息、內部資產、脆弱性，都是最終用戶應當關注覆蓋的。CAASMCAASM 直譯為網絡資產攻擊面管理，對應到國內市場這里的資產主要指位于機構內部、數據中心或云環境中等可直接管轄范疇內的資產。對這一部分攻擊面的收斂，要重點關注與已有資產源的對接適配、主/被動資產發現、管理與可視化等關鍵能力。與已有資產源的對接融合首先 CAASM 應當具備多源資產數據接入能力。包括但不限于

17、CMDB、終端管理平臺、AD 域等運維數據，以及 NDR、EDR、HDR（含 HIDS）等具備資產發現能力的安全產品及解決方案。10其次，多源資產數據接入匯總后，并非簡單疊加，而是要進行持續交叉驗證、去重/擴充、屬性補全、標記等操作。具體需要結合業務數據流、網絡流量、訪問拓撲等多個維度，綜合描繪出資產之間的關系鏈，將原本不同部門的資產臺賬融合為統一的資產視圖。主/被動資產發現在與各資產源對接形成攻擊面管理的基礎后，可通過主動掃描探測與被動流量發現結合發現更多潛在的攻擊暴露面。主動掃描測繪有兩點要說明，第一，結合目前的國際形勢，我們不建議使用 Shodan、Censys 等非國內工具進行掃描探測

18、；第二，主動探測不能影響用戶的業務連續性與穩定性，應當結合用戶的業務運行時間、IT 設備承受強度，綜合考慮資產指紋庫、節點分布、掃描時間等情況，以合理策略發起掃描。被動流量發現可以不受業務時段限制，在金融行業交易等不便于使用主動掃描探測方式的時段持續提供資產發現能力。對于加密流量，可以通過資產指紋加密流量建模等方式，通過一段時間的機器學習，做到部分賬外資產的準確發現。在實際調研中，筆者也了解到在一些資產變化頻率較快的行業（如教育行業），這一能力已經產品化且形成了落地的最佳實踐。管理與可視化經過多源資產對接、主/被動資產發現后的各類資產數據，最終統一聚合到管理平臺。管理平臺應當具備以下能力：一是

19、基于業務視角的資產屬性完善與關聯。例如根據業務架構，通過“標簽”對資產所屬的業務線、系統應用、相關負責人等屬性進行關聯補充，目的是體現出資產的業務價值等級、業務連續性要求等重要屬性。二是資產數據的統計與匯總等可視化管理，這里要結合業務權重、告警可信度、漏洞優先級等維度，對整體視圖以知識圖譜等方式進行呈現，目標是迅 攻擊面收斂能力指南 11速發現攻擊暴露面中需要優先收斂的部分。三是完備精準的資產數據輸出。資產數據除了為撰寫報告與匯報材料提供有力支持，還可以對接給漏洞管理平臺與工單系統，形成漏洞管理閉環，也可以支撐 FW、WAF、EDR 等設備，形成實時阻斷響應能力；此外，還可以作為后續長期安全建

20、設的基礎性數據，輸出給安全運營中心等大型項目或平臺，為其提供豐富且精準的資產數據支撐。EASM從攻擊者視角來看，“信息收集”是發起攻擊前必做的功課，且會占據攻擊者大部分的時間精力。因此對安全團隊而言，除了要關注直接管控的“內部”資產，還有機構外的攻擊暴露面，即 EASM，這里分為機構數字資產與對應的脆弱性風險兩個方面進行討論。常見資產與脆弱性風險，本圖例由 360 數字安全提供數字資產發現首先，潛在攻擊者首先會搜集用戶的機構信息，搜集渠道主要有各大搜索引擎、天眼查類平臺、網盤文庫、官網、公眾號、釘釘群、微信群、代碼共享平臺等。因此，安全團隊要先于攻擊者發現此類資產，為響應收斂爭取時間。12其次

21、，GitHub、碼云等代碼共享平臺是需要重點關注的外部攻擊暴露面。安全團隊應以技術監測手段與內部行政管理相結合的方式，對此類攻擊暴露面進行持續發現、收斂。除了代碼平臺，還有合作伙伴或第三方平臺的 API 數據接口，與微信公眾號菜單對接的 URL、小程序或 H5 中隱含的數據接口等。這類外部接口在開發測試使用過后即隨著項目結束而被遺忘，極易成為潛在的攻擊暴露面。最后一個值得重點關注的是針對暗網進行持續的社工庫、泄露數據監測。對暗網交易市場中的樣例數據進行抽樣比對，能夠直接判斷泄露數據真實性，還能夠為梳理數據泄露的路徑提供依據與證據，幫助安全團隊進而梳理出攻擊暴露面中的薄弱環節。脆弱性風險在通過上

22、述各渠道發現機構相關的數字資產后，安全管理員還應當關注自身潛在面臨的弱口令、漏洞、供應鏈等脆弱性風險。這里重點關注與各類資產相關的漏洞威脅。用戶可實時關注國際國內主要的漏洞庫、漏洞共享平臺、社區，有條件的用戶還可以直接采購漏洞情報，或對暗網中的漏洞交易平臺進行監測。在漏洞描述中，用戶可重點關注受漏洞影響的系統、應用、版本號、影響范圍等與資產直接相關的關鍵信息。主要目的是能夠在0.5day/1day漏洞爆發時，第一時間根據漏洞關鍵信息，匹配定位到潛在受威脅的資產后進行收斂，下面的專項收斂部分會詳細敘述。專項收斂能力攻擊面的“收斂”目前仍然處于管理手段為主、技術手段為輔的階段。在這樣的背景下，本報

23、告將攻擊面的收斂能力以三個主要場景來闡述。攻擊面收斂能力指南 13漏洞風險資產快速定位與下線為應對 0.5day 或 1day 漏洞而進行的風險資產快速定位與下線，安全團隊首先要在漏洞爆發前，對資產臺賬按照業務優先級進行標記，對系統、應用、中間件及版本號等關鍵信息精細管理、持續更新。接下來，當漏洞爆發時，使用這些關鍵信息篩選定位出風險資產，快速分發 PoC 進行漏洞的精準匹配，并根據資產的業務優先級下發不同的響應策略。在不影響業務連續性的前提下，可協調業務、運維等部門，對部分資產做臨時下線處理；對于受業務連續性要求既不能下線又不能修復的資產，則通過“虛擬補丁/透明補丁”的方式臨時加固，待將來允

24、許時，再行修復?？焖賾敝?，安全團隊將該漏洞信息通過工單、OA 等流程推送至業務及 IT 運維等部門，對包含漏洞風險的資產進行周期性精準復測。此外，還需要對漏洞響應之后新加入臺賬的資產進行漏洞 PoC 測試，杜絕“新資產、老漏洞”的情況發生，以此實現漏洞風險的攻擊面持續收斂。外部信息攻擊面收斂對于外部信息攻擊暴露面，針對外部信息所在平臺不同，需要采取不同的收斂策略。對于外部接口類信息，例如公眾號小程序，要從機構內部找到相關 API 接口關閉；對于共享平臺類的外部信息攻擊面，例如代碼共享、文檔文庫共享等平臺，可以通過舉證申訴等方式，聯系平臺方進行信息下線處置；對于不具備舉證申訴條件的平臺，例如

25、暗網交易市場等，則需要首先通過泄露樣本數據等進行攻擊路徑溯源，將外部信息攻擊面關聯至內部網絡資產攻擊面，亦或是某個內部員工，然后再做進一步的收斂處置。需要強調的是，無論采用上述哪種收斂策略，對于此類外部信息攻擊暴露面，重點是先于潛在利用這些信息的攻擊者進行自查。搶得先機才有足夠的時14間進行收斂。辦公網資產整體收斂有條件大幅調整網絡架構的用戶，還可以利用基于零信任理念的“單包敲門”方式，對攻擊面資產進行整體收斂。所謂“單包敲門”，即單包授權 Single Packet Authorization 的一種通俗說法，是 Software Defined Perimeter 軟件定義邊界的關鍵特征。

26、這一方法可以將辦公網等互聯網業務以外的資產隱藏在零信任安全網關后面，實現“批量”收斂內網資產的效果。嚴格來說，這一方式不屬于業內“攻擊面管理“的技術賽道，但同樣可以起到攻擊面收斂的效果。其局限性在于對原有網絡架構的改動較大，對釣魚攻擊的防護效果也很有限，需要結合其他收斂方式以及安全意識教育等手段，以達到更好的立體收斂效果。下面列出了部分報名參與本調研并具備該項能力的企業，有條件對網絡架構進行較大調整的用戶可以參考：億格云 零信任安全訪問解決方案 白山云 零信任安全訪問 執掌易 靈犀 SDP 安全網關 攻擊面收斂能力指南 155攻擊面收斂未來展望攻擊面收斂作為行業共識，將成為安全運營必選項在筆者

27、去年年底進行的金融行業攻擊面管理調研中，多家金融機構安全負責人都提到，除了各級實網攻防演練外，近兩年的日常安全運營中都發現境外IP 對境內金融機構的掃描明顯增多，雖然沒有產生真實的攻擊，但是有明顯的掃描動作。由此可見，攻擊面收斂已成為金融客戶在內各行業的普遍共識。團隊的安全運營工作，有條件的將以專項收斂推進，條件暫不成熟的，也會以“商業秘密保護”等方式，與審計、合規、法務等部門聯合推進。攻擊面收斂將成為安全運營的必選項。攻擊面收斂方案的交付將以“平臺+服務”結合為主要方式目前行業內攻擊面收斂項目普遍以平臺的產品形式進行交付。未來一段時間，攻擊面收斂的落地方案將由標準化平臺產品負責大部分常見的數

28、字資產，再結合人的服務解決業務差異性，從而覆蓋更為完整的攻擊暴露面。這里的“服務”部分，將多由相對初創階段的外部團隊負責，“服務”積累下來的資產指紋和收斂經驗，會逐漸固話到攻擊面收斂產品中，在用戶與廠商的共同成長中，攻擊面收斂的成效也會越來越顯著。攻擊面收斂將從“安全事件驅動”向“風險量化驅動”轉變伴隨傳統技術棧的升級，容器化、DevOps（CI/CD）、微服務等云原生技術的應用，數據的獲取、分析、處置，都會有很大改善。安全團隊相比以前可以實現更全面的數據（特別是業務相關數據）的采集，這就為攻擊面風險的可視化/量化提供了更為有利的技術基礎與數據基礎。由此我們預見，攻擊面的收斂也將從過去的安全事

29、件驅動逐步向風險量化驅動轉變。安全運營團隊的工作價值得以量化體現，用戶機構“一把手”也得以最大限度規避因為突發安全事件被問責的風險。166攻擊面收斂案例收錄某金融行業用戶案例本案例由華順信安提供場景介紹隨著金融機構穩妥發展，金融科技和數字化轉型不斷加深，導致相應的資產數量和資產種類也日趨增多，資產暴露面越來越大，同時數據密度和網絡資產價值凸顯，系統的關聯性和復雜度不斷增強，相應的攻擊手段也在不斷變化，傳統資產安全管理方式難以為繼。當前網絡安全已經是金融科技發展的重要保障，金融機構所面臨的網絡空間安全環境在發生劇烈變化。因此，收斂金融行業互聯網暴露面、明確需要保護的網絡空間資產、保護核心資產免受

30、各類安全威脅，開展有效的資產安全運營成為金融機構亟待解決的問題?？蛻粜枨箅S著金融監管部門對金融企業網絡安全的重視不斷加強，某大型金融機構已經將開展資產管理及安全風險管控作為安全運營的首要工作。華順信安通過多次與該客戶深入溝通，明確了客戶的資產安全管理需求，主要包括以下內容：全網 IT 資產的集中管理和可視化底數清則態勢明，該金融機構網絡資產繁多且歸屬復雜，包括云主機、網絡設備、辦公終端、安全設備、業務系統、IOT 終端、容器、API，并且不同種類的 IT 資產信息散布在不同類型的設備中?；ヂ摼W暴露面及其風險管理具備互聯網暴露面監測能力，該金融機構的數字化轉型帶來的互聯網暴露 攻擊面收斂能力指南

31、 17面不斷擴大，如果不對暴露面進行收斂，將成為整個網絡安全體系的重大短板，包括未知資產、僵尸資產、違規資產、釣魚網站、仿冒資產等，其次還需要具備公眾號、小程序、APP 等數字資產的發現、互聯網數據泄露風險監測能力。安全指標度量能力該金融機構的資產安全運營的目標之一是提高各類安全工具或安全策略的覆蓋率，需要直觀展現各類資產安全指標。包括客戶端覆蓋率、安全管控覆蓋率、安全風險整改率，并通過構建全面的在線資產庫，快速定位未納入安全管控的資產信息，如：未安裝防病毒的 windows 服務器、未安裝 HIDS 的服務器，消除資產安全管理盲區，還需要建立各個條線、團隊或業務系統的安全指標動態變化曲線，跟

32、蹤各類安全指標變化情況。資產賦能能力需要具備豐富資產數據接口，通過將多維資產數據，可供第三方平臺消費使用，可對接給態勢感知，實現關聯安全告警日志和資產信息，實現告警事件的快速定位、跟蹤、處置；可對接 SOAR 實現多種安全告警事件的自動化處置，提升安全運營效率，形成整體防御、精準防御能力，提升該金融機構網絡安全事件處置效率和應急響應速度。解決方案整體方案設計思路以華順信安 FOBrain 網絡資產攻擊面管理平臺、F0Radar 互聯網資產攻擊面管理平臺（外網資產測繪探針）、FOEYE 網絡資產測繪及風險分析系統（內網資產測繪探針）為基礎，全面對接該客戶多個資產數據源、漏洞數據源，對資產、漏洞等

33、信息做清洗、去重、歸一、關聯等分析工作，實現資產畫像和各類關聯分析。能夠基于攻擊者視角全面梳理暴露面及攻擊面，通過多種前沿核心技術，幫助該客戶實現基于資產的安全運營，能夠更快發現威脅、評估合規差距、確定風險優先級，以提升安全運營效率和網絡安全防護水平。18實現全網 IT 資產的集中管理和可視化通過 FOBrain 調用 FOEYE 和 FORadar 實現資產測繪的同時，還接入客戶側的 CMDB、HIDS、堡壘機、TDP 等十多個數據源，建立了可視化的數據模型，支持字段級的數據源優先級配置，解決了數據源字段沖突的問題，幫助該客戶梳理了已知資產、數字資產，識別了未知資產、仿冒資產、違規資產，形成

34、了精準的資產庫，并通過將多個來源的 IT 資產碎片化數據進行關聯分析，實現對資產屬性的多維度畫像。實現漏洞智能化管理FOBrain 現已積累了數十萬的漏洞情報庫，首先通過對接多源異構的漏洞掃描工具，實現調度漏洞掃描工具，將多個漏洞掃描工具的漏洞數據基于漏洞情報庫進行標準化處理，解決漏洞數據格式不統一的問題。同時，基于 CVE、CNVD、CNNVD 進行歸一化去重處理，通過對相同的漏洞做了去重合并，有效降低漏洞數量，降低數據噪音?；?FOBrain 創新漏洞優先級排序技術，重新定義了漏洞優先級，漏洞優先級不僅基于 CVSS，還從漏洞是否存在 POC、EXP、漏洞是否多次出現、漏洞是否可以遠程利

35、用、漏洞關聯資產的重要性、所屬區域、互聯網暴露情況、FOFA 引擎熱力值等多個加權值，計算漏洞優先級，該客戶的安全運營人員只需關注歸一化之后的漏洞數據，且漏洞處置順序更加有的放矢。同時，通過關聯分析，可以直觀的看到漏洞對應的責任人、內外網資產映射關系，并有多種漏洞狀態：未處理、待修復、待核查、已修復、忽略、誤報、復現等，極大的提升了漏洞安全運營工作效率。實現安全指標度量管理基于精準全面的資產庫，解決了資產的唯一性識別問題，通過與 EDR、WAF、數據庫審計進行對接，能夠直觀展示各類資產安全指標，包括 CMDB 覆蓋率、防病毒客戶端覆蓋率、WAF 覆蓋率、漏洞修復率等多個指標，快速定位未 攻擊面

36、收斂能力指南 19納入安全管控的資產信息，同時幫助該客戶繪制了安全指標動態變化曲線，能夠跟蹤各類指標變化情況，反饋安全運營治理效果?？蛻魞r值摸清全網資產底數和風險敞口通過華順信安強大的資產測繪能力，統籌該金融機構互聯網資產和內網資產，建立了精準化的資產信息庫，打破了客戶現有的資產數據孤島，摸清了資產底數和資產暴露面及攻擊面，有效彌補當前的資產管理短板，幫助該金融機構落實資產責任到人，時時掌握資產安全態勢，為網絡安全管理奠定了基礎。健全金融機構安全風險響應機制通過全面、深入以及持續高效的資產安全監測和漏洞智能化管理，實現了“業務系統-互聯網資產-內網資產-風險-部門-責任人”的自動關聯分析，幫助

37、該金融機構建立了基于資產多場景化的自動化處置流程，實現風險資產通報機制，通過閉環式的監督、管理、檢查，幫助該客戶總部履行監管協查、責任通報、結果復核的監督管理職能，擺脫以往依賴人工處置的困境，縮減修復窗口期，從而降低資產安全風險，實現可落地的預警與風險整改督促。實現資產的安全指標度量，助力資產安全運營基于為該金融機構構建的全量精準資產庫，實現了對資產安全指標的度量，通過各類覆蓋率的分析與展示，快速定位未納入安全管控的資產信息，同時提供安全指標動態變化曲線，能夠實時跟蹤安全指標的變化，助力實現資產安全運營。20某大型國有集團用戶案例本案例由 360 數字安全提供場景介紹隨著數字化轉型、互聯網業務

38、的不斷發展，某大型國有集團由于經營范圍廣泛，分支公司眾多，信息化業務已經具備較大規模，為了保障信息化業務安全，支撐上層安全運營、統一監管等各項安全措施開展，該大型國有集團建設了資產與脆弱性子系統，將網絡中運行的各類信息化業務及其風險統一管理，提升安全管理基礎能力，并面向數量眾多的分支機構開放自服務，形成了整體化的攻擊面管理能力?？蛻粜枨笕W資產發現能力建設發現在企業網絡中活躍的各類設備，包括私有云主機、終端、服務器、網絡設備、安全設備等，并通過多種手段那堆資產進行細粒度的識別和監控，獲取實時、詳細的資產信息。1day 漏洞快速定位和評估當出現 1day 漏洞時，能夠基于詳細的資產維護信息，快速

39、定位 1day 漏洞所影響的資產以及他們關聯的業務情況，從而評估 1day 漏洞的影響范圍。集團化資產運營體系建設為分子公司提供資產上報、確認、梳理的途徑，建設全集團的資產運營管理機制，保障資產的業務歸屬、人員歸屬等信息詳細、準確。攻擊面收斂能力指南 21風險匯聚和全生命周期管理匯聚多個來源的漏洞數據，包含掃描器、HIDS、情報平臺等，對多個來源的漏洞進行加工歸并、風險評價，并基于平臺跟蹤漏洞和弱口令的修復情況。建設方案根據該大型國有集團客戶的建設需求和實際業務場景，為客戶設計建設了資產與脆弱性管理子系統。該系統功能包含資產發現、資產管理、漏洞檢測、漏洞管理、生命周期跟蹤、任務管理等多個模塊。

40、在本項目中，資產與脆弱性子系統共計對接整合了十余個資產系統、6 類漏洞檢測工具，對接范圍包含 CMDB、私有云、HIDS、漏掃工具、情報平臺、SOC 等，有效將原有建設的各類安全平臺中分散的資產、脆弱性數據進行了整合加工。同時該項目也從資產、脆弱性檢測維度，為客戶提升了整體資產與風險發現呢能力，根據業務實際需求，為客戶在多個子網中建設主動資產探測、被動流量識別、漏洞掃描三類探針共計 15 個，實現了全網資產發現能力建設，能夠持續化監控并發現企業內網資產。子系統整體與上層安全運營平臺進行對接，為安全運營工作提供資產與風險數據支撐，同時聯動工單能力，形成資產與風險全生命周期管理，并為子公司提供數百

41、個賬號，面向子公司提供了資產、風險上報與處置能力。整體建設方案示意圖如下：22客戶價值建設全網資產識別監控機制，從而形成集團化資產管理體系通過建設主動、被動資產發現能力，發現在網絡中存在的未知資產和“僵尸”資產，同時對接已有資產來源，融合加工后形成權威資產庫，為分子公司提供資產確認、上報、業務登記途徑，最終形成集團化資產運營管理體系。多來源漏洞去重后統一納管，降低漏洞處置工作量對接各類漏掃、HIDS、SOC 平臺、威脅情報平臺等六個漏洞來源，納管20w+漏洞，并對漏洞數據進行去重和縮減，合并多來源漏洞避免重復工作量。分子公司漏洞全流程線上管理，全面掌握漏洞加固進展支持漏洞自動化復測，根據漏洞來

42、源任務自動化下發復測任務并獲取復測結果，降低原本復測工作量，同時對漏洞處置工作進展的平均時長、當前進展狀態等維度進行統計，幫助客戶全面掌握漏洞處置工作進展情況。攻擊面收斂能力指南 23漏洞優先級推薦，快速定位優先修復漏洞，降低響應時長系統根據資產重要性、漏洞情報、漏洞等級等維度，對漏洞的加固優先級進行評價，快速定位需要優先修復的漏洞，幫助客戶降低重大漏洞的響應時長某運營商用戶案例本案例由探真科技提供背景介紹某運營商單位在早期搭建好容器云 PaaS 平臺，采用傳統的針對物理機、與虛擬機的安全防護模式，但不管從實現方式、規模、防護方式等方面均一定程度上不適用于容器云 PaaS 平臺，無法針對容器場

43、景下的安全威脅做到很好的發現與攔截。正值單位內部組織針對集團自身的 HW 活動，借此機會梳理當前容器化場景下內部網絡的安全脆弱性，希望能在 HW 期間實現收斂攻擊面，并建設自身針對容器平臺的安全防護能力?？蛻粜枨筇秸婵萍纪ㄟ^與客戶緊密溝通，包括結合客戶的實際環境，明確在此次HW 行動中客戶所關注和面臨的問題主要如下：云原生化衍生了一些新的安全問題，如：逃逸難度降低，利用組件 API暴露提權等，傳統安全產品在這類場景下防御能力不足，需要針對這類新型攻擊方式具備較好的發現能力。HW 中攻擊隊會使用 0day、1day 等攻擊手段，導致普通防御方式失效，很難被檢測到，希望能針對這類未知攻擊具備發現能

44、力。大量的無效告警極大的消耗了運維人員的精力，希望能根據條件篩查一24些準確的、實際的威脅，快速定位攻擊發生位置、攻擊時間、攻擊方式等。希望對目前倉庫中的鏡像進行一個全面檢查，發現目前鏡像中存在的一些惡意文件、敏感信息、病毒木馬等，同時篩選出存在高危漏洞的鏡像，客戶將針對這些鏡像進行修復?？蛻裟壳耙丫邆溆?WAF 等南北向流量的防御能力，普通攻擊隊想從外網攻入難度較大，但客戶自身攻擊隊對內網結構及企業賬號相關較為熟悉，每年HW 從內網發動攻擊的情況較多，有較多的逃逸及提權實踐，因此比較關注逃逸相關的安全問題，同時希望能通過微隔離有效限制攻擊范圍。建設方案根據以上問題，探真科技結合 HW 場景以

45、及客戶容器安全能力構建需求，提出了針對運行時安全檢測以及鏡像安全的完整解決方案，其中具體包含了“鏡像掃描、流水線掃描與阻斷、運行時攻擊檢測、主動防御、偏移防御、微隔離”等安全能力，并輔以“容器資產梳理、精細化告警篩查、攻擊事件關聯”等能力，幫助客戶在 HW 及容器安全能力構建中發揮作用。探真科技將容器側風險分為了兩個部分，一部分是供應鏈風險，攻擊方可能利用鏡像投毒、容器后門、鏡像漏洞等方式發動入侵，因此在鏡像構建及入庫階段，通過對鏡像構建進行快速掃描，即時發現并解決存在的各種系統漏洞、軟件漏洞、病毒木馬等問題，可保證業務基礎環境的安全，同時可在多個階段設置卡點，對不合規的容器禁止其入庫或部署。

46、攻擊面收斂能力指南 25另一部分則是運行時風險，攻擊者可能通過多種手段入侵，因此也需要更加全面的檢測能力。針對逃逸、提權、容器后門等，檢測引擎通過基于 ebpf的內核態檢測能力，可以及時發現攻擊并無視攻擊者的繞過手段；針對橫向攻擊，通過微隔離等手段進行細粒度隔離防止攻擊擴散；針對 0day 等未知攻擊，主動防御通過誘導攻擊進而捕獲入侵行為；另外，基于容器不可變性，偏移防御通過固化容器內二進制，并拒絕一切其它有害工具的引入，可實現強防御。除產品的安全檢測能力外，輔以人工值守，在整個攻防演練期間，針對客戶的業務環境，定制開關部分規則以降低干擾，并通過持續的日志分析確認攻擊事件的有效性，同時針對有效

47、攻擊進行溯源，協助客戶共同處理?？蛻魞r值構建完整云原生防護能力通過供應鏈安全能力實現 CI/CD 階段的基礎鏡像安全，通過基于 ATT&CK的多重檢測能力保障運行時安全，結合事件關聯、資產可視化等多重安全能力，覆蓋各個云原生場景下的各個安全風險點，全面收斂安全攻擊影響范圍，為客戶構建了完整的云原生安全防護體系。攻擊告警與攔截在演練過程中，除了幫助客戶發現與修復多個鏡像漏洞外，產品通過運行時安全檢測能力，發現多起針對容器的逃逸、惡意工具執行、端口掃描等攻擊行為，并進行了及時上報與處置，同時主動防御模塊也捕獲了多起攻擊者的內網橫向移動，保障了客戶在整個演練期間容器業務 0 失分。運營成本降低通過自

48、定義安全篩查條件，對告警事件實現了精細到具體進程、端口的過濾，剔除大量無效攻擊事件，極大的縮減了運營人員針對攻擊事件的篩查成本。26某證劵行業用戶案例本案例由魔方安全提供背景介紹證劵公司業務場景走向互聯網金融化已成未來發展趨勢，互聯網+新業態+新生態發展成為各證劵實現業務快速拓展的必經之路，此背景下監管側、券商側、消費者側都在時刻關注其網絡安全水平及風險防范能力，而互聯網攻擊面治理又為常態化安全運營中最重要的一環，當前各證劵公司的互聯網受攻擊面正在不斷增長，暴露在攻擊者視角下的企業攻擊面更趨復雜化，隨著網絡攻擊技術的持續演進，各證劵公司在攻擊面治理領域面臨嚴重的壓力與挑戰，如何發現并高效管理互

49、聯網攻擊面，持續治理并收斂風險，更好地管理組織數字資產、防止各類安全事件及數據泄漏事件發生，護航業務安全，是網絡安全工作中的重中之重及決定整體網絡安全體系建設是否達標的關鍵一環?？蛻粜枨笮聵I態場景下，數字資產形態變化快、管理難度大，如何精準護航業務穿透式發展?由于當前業務競爭的壓力大，新互聯網金融線上業務“野蠻發展”，業務驅動 IT 場景下帶來的資產形態、資產數量、資產屬性、資產狀態動態多變，組織需要關注的數字資產類型復雜，除傳統的互聯網域名、業務系統外，微信公眾號、小程序、APP、支付寶生活號、業務第三方生態合作系統已成為需要持續跟蹤管理的組織新型數字資產攻擊面，如何統一納管，提升安全團隊、

50、運維管隊管理效率，為整體安全運營提供有力支撐，助力業務開拓，成為互聯網攻擊面管理的第一必答題。實戰型導向已成為監管新趨勢，如何搶在監管之前發現、閉環互聯網側風險事件?攻擊面收斂能力指南 27當前證劵公司面臨著多個行業主管單位的交叉監管，當前各監管力度趨向于實戰型問題檢查，影子資產、仿冒網站、高危漏洞、數據泄漏首當其沖成為其攻擊暴露面掃描與通報的重點關注場景，安全團隊需要構建常態化安全運營能力，建立高時效性的攻擊面收斂響應能力。敏感數據泄漏逐步強合規，但缺乏多源監測能力及運營能力。證劵行業機構及用戶數據資產由于其行業特殊性，成為攻擊者重點關注對象，隨著數據安全法、個人信息保護法等政策法規的實施推

51、行，當前組織敏感數據泄露監測能力及排查收斂成為當前重點需要彌補的短板能力，一方面外部攻擊形勢日益嚴峻，攻擊者持續挖掘證劵公司內部數據進而流入非法平臺獲利，如用戶信息、交易信息等，另一方面內部員工、第三方合作商缺乏安全意識及有效管理，在工作中有意無意將業務系統核心代碼上傳至GitHub、Gitee等第三方代碼托管平臺，重要文檔、文件共享至第三方網盤文庫、文檔共享平臺，造成安全威脅。解決方案通過魔方安全外部攻擊面管理EASM平臺（Gartner EASM場景用例全覆蓋），28配套精細化攻擊面運營服務，以產品+情報+運營能力持續交付，最終實現攻擊面管理的指標化運營。1、數字資產統一納管解決方案：一本

52、帳，已知理得清，未知全發現，安全團隊可管理。通過對現有已知臺賬導入及金融云平臺對接，實現現有互聯網資產的掌握與同步。通過魔方外部攻擊面管理系統 EASM 實現深度數字資產發現、云資產采集，SaaS 安全運營專家輔助業務梳理與登記，做到全資產的統一納管，做到已知資產一本帳。通過對某證劵公司的組織資產屬性分析，生成資產線索，并根據企業名稱、Logo、APP 名稱、代碼特征進一步拓展關聯線索，通過魔方自主全球影子資產發現引擎及多方光譜 API 查詢，實現影子資產監測常態化、自動化。2、防微杜漸，主動、及時響應上級監管單位要求，高危漏洞快速修復。通過魔方安全外部攻擊面管理系統 EASM 多通道監測漏洞

53、發布平臺，數 攻擊面收斂能力指南 29字情報實驗室主動挖掘監測 twitter、微博、微信、安全社區、開源社區、小密圈等平臺，并及時通過漏洞情報下發到產品高危漏洞 30min 內自動化預警，SaaS 安全運營專家解析漏洞形成無害化PoC 驗證插件，輸出詳細漏洞原理、利用條件、緩解建議，輔助客戶根據資產庫進行全網驗證排查并進行全生命流程跟蹤及過程保障，針對已修復漏洞可利用平臺快速一鍵復驗。聯動魔方漏洞管理平臺 CVM，針對漏洞事件通過深度學習學習引擎實現漏洞數據聚合、去重，通過 VPT 技術，將漏洞修復過程轉化成精細指標項，結合 EASM 平臺資產庫快速關聯業務及負責人，實現漏洞攻擊面快速收斂。

54、3、建立常態化、多源化數據泄漏監測能力并逐步具備數據運營能力，針對主流泄漏渠道實現全覆蓋，并實現關停 用戶根據當前安全關注重點，公司當前業務特點及研發特點，協同魔方 SaaS 安全運營專家制定監測線索，針對暗網、文庫、網盤、開源社區通過EASM 平臺自動化、全范圍監測針對海量泄漏告警，通過 EASM 平臺數據過濾引擎及 SaaS 安全運營專家人工干預調整數據泄漏關聯規則，幫助客戶梳理高價值重點泄漏事件，極大提30升安全運營效率，并針對重點泄漏信息進行下架閉環?？蛻魞r值構建攻擊者視角的資產全景視圖：傳統的 IT 信息資產+新型的數字化資產一本賬，持續監測影子資產，全面覆蓋新業態數字化資產。風險持續監測，先于監管定位問題，進快速收斂：結合魔方持續更新的POC、漏洞情報庫，當高危漏洞事件爆發，第一時間知曉并定位、閉環。敏感信息泄露全掌握，可下架：依托平臺化的大網數字風險搜索引擎，先于攻擊者發現開源社區、網盤、文庫、暗網等泄漏信息，學習引擎上下文驗證，提供驗證與告警，并可協助下架處理，有效避免網絡入侵、數據泄露、監管問責等風險。數字安全領域中立第三方調研機構