攻防之道，在于知己知彼

守在明，攻在暗

很多防守方在對(duì)決博弈之前

就已經(jīng)將弱點(diǎn)暴露在外

自己卻全然未覺(jué)

你有多少未知影子資產(chǎn)暴露在外？

這些資產(chǎn)隨時(shí)可能成為

攻擊者長(zhǎng)驅(qū)直入的突破口

一旦攻入

來(lái)不及反應(yīng)就已被攻下

觀己。據(jù)統(tǒng)計(jì)，2022年累計(jì)數(shù)據(jù)泄露事件超3200起，較2021年上升近一倍，數(shù)據(jù)泄漏事件的主要渠道包括：匿名社交平臺(tái)、網(wǎng)盤(pán)文庫(kù)、代碼托管平臺(tái)、蜜罐+黑產(chǎn)工具、暗網(wǎng)以及黑產(chǎn)論壇和公共媒體等。數(shù)據(jù)泄露的平均成本高達(dá)435萬(wàn)美元，創(chuàng)歷史新高，這一數(shù)據(jù)相比2021年增加了2.6%。83%的企業(yè)發(fā)生過(guò)多次數(shù)據(jù)泄漏事件，其中因供應(yīng)鏈安全導(dǎo)致數(shù)據(jù)泄漏占比19%，云端數(shù)據(jù)泄漏占比45%，憑據(jù)泄漏導(dǎo)致的"重大風(fēng)險(xiǎn)"增長(zhǎng)迅猛，數(shù)據(jù)泄露、影子資產(chǎn)導(dǎo)致企業(yè)網(wǎng)絡(luò)攻擊面擴(kuò)大。

觀敵。當(dāng)攻擊者無(wú)法直接從目標(biāo)單位資產(chǎn)進(jìn)行攻擊時(shí)，就有可能會(huì)滲透到軟件/業(yè)務(wù)供應(yīng)商的網(wǎng)絡(luò)中，自2020年初以來(lái)，有組織的軟件供應(yīng)鏈攻擊數(shù)量增加了4倍。Gartner預(yù)測(cè)，到2025年，45%的組織將經(jīng)歷對(duì)其軟件供應(yīng)鏈的攻擊。

防御盲區(qū)一直都在。企業(yè)想“摸清家底”，卻通常只面向自身傳統(tǒng)IT資產(chǎn)進(jìn)行安全排查、部署防御，而攻擊者則通過(guò)影子資產(chǎn)、開(kāi)源情報(bào)、組織信息等外部暴露信息尋找可利用的攻擊路徑，“摸不清”這些暴露在外的弱點(diǎn)，防御盲區(qū)必成大患。

知攻，方可知防。從攻擊者的視角出發(fā)，找到自身面向外部的薄弱點(diǎn)，構(gòu)建起常態(tài)化、真實(shí)化的安全治理能力，能夠快速、全面、清晰地管理企業(yè)面臨的攻擊威脅，才能在攻防博弈中占得先機(jī)。這就是外部攻擊面管理。

明確定義，為外部攻擊面管理“正名”

2018年，外部攻擊面的概念被Gartner首次提出，作為一種有效應(yīng)用于安全運(yùn)營(yíng)的新興技術(shù)，受到了持續(xù)的關(guān)注。亞信安全認(rèn)為，外部攻擊面是所有可被攻擊者利用的數(shù)字資產(chǎn)和對(duì)應(yīng)攻擊向量的集合，因此需要具備全面且強(qiáng)大的攻防能力、漏洞研究能力、網(wǎng)絡(luò)資產(chǎn)測(cè)繪能力、威脅情報(bào)能力等多重實(shí)力，同時(shí)結(jié)合云、網(wǎng)、邊、端的安全治理優(yōu)勢(shì)，才能夠形成有效應(yīng)對(duì)當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境的外部攻擊面管理。

數(shù)看威脅。進(jìn)行外部薄弱點(diǎn)綜合分析，參考股權(quán)關(guān)系、供應(yīng)鏈關(guān)系、資產(chǎn)主動(dòng)掃描、資產(chǎn)測(cè)繪數(shù)據(jù)、PDNS、開(kāi)源情報(bào)等眾多信息，形成資產(chǎn)暴露指數(shù)、攻擊利用難度指數(shù)、攻擊影響范圍等，量化不同資產(chǎn)的風(fēng)險(xiǎn)值，從而可視化、可參考、可對(duì)比這些安全威脅依據(jù)；

優(yōu)化排序。深度刻畫(huà)資產(chǎn)屬性，根據(jù)資產(chǎn)暴露程度、資產(chǎn)重要性、資產(chǎn)供應(yīng)關(guān)系、應(yīng)用底層架構(gòu)、歷史漏洞情況、攻擊路徑、POC/EXP等各類(lèi)參數(shù)來(lái)計(jì)算資產(chǎn)風(fēng)險(xiǎn)權(quán)重，同時(shí)結(jié)合專(zhuān)家模式進(jìn)行綜合風(fēng)險(xiǎn)研判，最終可形成由高到低的資產(chǎn)風(fēng)險(xiǎn)排序。

強(qiáng)化處置。根據(jù)上述風(fēng)險(xiǎn)值的高低，可進(jìn)行對(duì)應(yīng)性的修復(fù)工作，以及根據(jù)攻擊路徑進(jìn)行的定制化的安全產(chǎn)品部署，此外依據(jù)上述風(fēng)險(xiǎn)數(shù)據(jù)還可以提前做好應(yīng)急預(yù)案，和威脅事件的響應(yīng)流程，同時(shí)還能形成內(nèi)部安全意識(shí)培訓(xùn)等安排。

亞信安全外部攻擊面管理服務(wù)方案

從發(fā)現(xiàn)到評(píng)估最終完成治理，亞信安全外部攻擊面管理服務(wù)方案包含三大服務(wù)內(nèi)容，互聯(lián)網(wǎng)資產(chǎn)暴露面梳理服務(wù)、商業(yè)泄密風(fēng)險(xiǎn)檢測(cè)服務(wù)、外部攻擊面風(fēng)險(xiǎn)識(shí)別服務(wù)。

互聯(lián)網(wǎng)資產(chǎn)暴露面梳理服務(wù)，全網(wǎng)梳理

融入攻擊面概念，區(qū)別于傳統(tǒng)互聯(lián)網(wǎng)資產(chǎn)暴露面梳理服務(wù)維度，針對(duì)客戶(hù)互聯(lián)網(wǎng)IT資產(chǎn)，以主動(dòng)探測(cè)技術(shù)結(jié)合大數(shù)據(jù)篩查，對(duì)網(wǎng)站、應(yīng)用程序、數(shù)據(jù)庫(kù)、云主機(jī)、移動(dòng)應(yīng)用、公眾號(hào)、供應(yīng)鏈、郵箱和其它在線服務(wù)進(jìn)行梳理，結(jié)合股權(quán)穿透，協(xié)助理清資產(chǎn)對(duì)應(yīng)關(guān)系。該服務(wù)可以幫助客戶(hù)完成互聯(lián)網(wǎng)暴露資產(chǎn)盤(pán)點(diǎn)，建立清晰的互聯(lián)網(wǎng)IT資產(chǎn)清單，先于攻擊者掌握企業(yè)資產(chǎn)的互聯(lián)網(wǎng)暴露面，支撐暴露面收斂，降低客戶(hù)受攻擊的風(fēng)險(xiǎn)。

商業(yè)泄密風(fēng)險(xiǎn)檢測(cè)服務(wù)，多平臺(tái)監(jiān)測(cè)

商業(yè)泄密風(fēng)險(xiǎn)檢測(cè)服務(wù)能夠?qū)?guó)內(nèi)十余家主流網(wǎng)盤(pán)、數(shù)十家文庫(kù)、近十家主流代碼托管平臺(tái)進(jìn)行檢測(cè)，幫助客戶(hù)及時(shí)發(fā)現(xiàn)互聯(lián)網(wǎng)側(cè)數(shù)據(jù)泄露事件線索，降低如軟件代碼、口令等敏感泄漏信息被黑客在入侵時(shí)利用及商業(yè)隱私數(shù)據(jù)泄露可能對(duì)企業(yè)造成的經(jīng)濟(jì)損失。

外部攻擊面風(fēng)險(xiǎn)識(shí)別服務(wù)，多元分析處置

基于互聯(lián)網(wǎng)資產(chǎn)暴露面梳理服務(wù)，或者商業(yè)泄密風(fēng)險(xiǎn)檢測(cè)服務(wù)的結(jié)果，從攻擊者視角幫助客戶(hù)分析自身外部攻擊面風(fēng)險(xiǎn)，量化整體健康評(píng)估分值。該服務(wù)通過(guò)系統(tǒng)自動(dòng)化分析模型結(jié)合專(zhuān)家經(jīng)驗(yàn)，評(píng)估客戶(hù)整體外部攻擊面健康度及提供整改優(yōu)先級(jí)建議指導(dǎo)，為客戶(hù)提升外部攻擊面抗攻擊能力。

亞信安全外部攻擊面管理服務(wù)的專(zhuān)家支撐來(lái)自于亞信安全的北極狐高級(jí)攻防實(shí)驗(yàn)室。作為目前國(guó)內(nèi)頂尖的攻防團(tuán)隊(duì)，北極狐實(shí)驗(yàn)室的專(zhuān)家具備多年紅隊(duì)經(jīng)驗(yàn)，在各項(xiàng)攻防演練中獲得過(guò)優(yōu)秀成績(jī)，通過(guò)將多年攻防經(jīng)驗(yàn)下沉，形成了平臺(tái)的自有優(yōu)勢(shì)。

目前，攻擊面管理服務(wù)已經(jīng)覆蓋了開(kāi)源情報(bào)、資產(chǎn)識(shí)別、供應(yīng)鏈、股權(quán)關(guān)系、泄漏數(shù)據(jù)、攻擊技戰(zhàn)法等各個(gè)維度的攻擊者視角，同時(shí)結(jié)合攻擊面管理平臺(tái)的自動(dòng)化模型計(jì)算，幫助客戶(hù)全面評(píng)估攻擊面風(fēng)險(xiǎn)，梳理風(fēng)險(xiǎn)優(yōu)先級(jí)，實(shí)現(xiàn)“N->2”的風(fēng)險(xiǎn)降維，真正實(shí)現(xiàn)企業(yè)外部攻擊面管理。