灵知：以情报驱动的外部攻击面管理:灵符咒

当前的攻击手段层出不穷、应急响应多以补救措施为主，因此一种新的外部攻击面管理技术思路就此诞生：“以情报驱动构建外部攻击面管理技术，实现先于攻击者掌握攻击面”灵符咒。

依据《中国攻击面管理市场研究报告》，外部攻击面管理是指完全基于攻击者视角来发现、监测、评估、响应、预警企业所有攻击面的技术灵符咒。作为攻击面管理的重要组成，今天我们来探讨如何通过灵知·互联网威胁监测预警中心（Ai.Radar），基于情报视角进行外部攻击面管理。

师父微信:  sanqingge8

师父微信：   sanqingge8

1.企业四大痛点推动外部攻击面管理发展

当前企业已经通过各种安全演练提升了安全意识灵符咒，可是为啥在实战攻防中还是不堪一击呢？我们认为有以下几个问题：

 安全建设有盲区

首先，企业产生安全事件的原因从来不是防住了什么，而是没有防住什么灵符咒。究其根本，目前大多数企业受困于人员能力参差不齐、预算有限等原因，很难做到360度无死角的安全防护。所以在此局限的情况下，最重要的就是防御住攻击者最可能发起攻击的风险点。可企业并不能完全感知到企业所面临的攻击点。

 企业无法确认未知资产

上一点说到了企业需要加强安全建设，才能有提高自身安全的能力灵符咒。可是加强安全建设的前提是要清楚了解现在有哪些资产，这样才能知道安全设备需要架设在哪些资产前。目前，企业对于未知资产的防护还是短板。退一步讲，企业想对未知资产进行安全加固，企业是否能够准确而全面的发现未知资产？如果企业无法梳理清楚未知资产，那就无从谈起攻击面管理。

 企业对已经存在安全威胁知之甚少

即使客户已经清楚拥有哪些资产，也未必清楚了解这些资产面临哪些安全风险灵符咒。外部攻击面管理所定义的资产已经不仅仅包括IT资产、云资产、软硬件，还包括企业人员的社工信息、员工的在网络上的博客、github仓库、企业软硬件供应链等等。过往发生的安全事件屡屡告诉我们，网络安全防护最难的不是系统安全，而是“人”的安全意识。值得警示的是，很多安全事件的背后，都是来源于一个个微不足道的信息泄露。因此，新一代企业安全解决方案就需要从多维度发现企业面临的威胁。

展开全文

 企业无法做到事前预警灵符咒，更多是事后应急

通常情况下，企业都是在某个安全事件爆发后，进行事后的应急响应灵符咒。实际是新爆发的0day漏洞，都先会在小圈子进行小范围传播，传统的安全建设，其实很难收集到此类漏洞情报信息。当企业感知到有0ady、1day漏洞的时候，往往是攻击者已经利用漏洞对企业进行了攻击，已经造成了实质上的损失。只有在安全事件全面爆发之前，能够通过情报实现事前预警，并积极排查才能有效提升安全建设能力。

2.外部攻击面呈现四大特点

华云安认为攻击面管理具备四大特性：攻击面的时效性，攻击面的跨系统性，攻击面的跨实体性，攻击态势是动态的灵符咒。因此攻击面管理的新思路，是要先于攻击者掌握攻击面。

外部攻击面有几大特点：

 攻击面是有时效性的

外部攻击面是不断变化的，例如80%-95%的Ip地址是短暂的，很可能只是短时间的暴露就会使攻击者拿到他想要的信息和数据灵符咒。

 攻击面是跨系统的

随着时间推移，攻击者可以尝试作为攻击目标的环境不仅限于传统IT，还可能是代码、敏感数据、移动应用、甚至IoT设备等灵符咒。

 攻击面是跨实体的

数字时代的攻击面不仅仅是自身软件缺陷，还包括弱口令、配置缺陷、泄漏数据、过期证书、钓鱼网站、供应链漏洞等多种类型灵符咒。

 攻击态势是动态的

管理者还需要以攻击者的视角了解每天外部攻击态势的变化情况，第一时间掌握新爆发的漏洞、恶意的文件标识、流行的攻击手法等灵符咒。

3.灵知灵符咒，以情报驱动的外部攻击面管理

安全的本质是持续对抗灵符咒。知己知彼才能百战百胜。以往安全建设是基于防守者的角度，尽可能的防守住攻击；而经过实战验证：基于攻击者视角的主动防守才能真正发现企业面临的网络安全风险，进而实现先于攻击者掌握攻击面，在这一过程中情报搜集便是首要的。

这里所指的情报并非是传统的“威胁情报”，而是“扩展情报”灵符咒。在灵知·互联网威胁监测预警中心（Ai.Radar）所定义的情报不仅包含传统的“威胁情报”，更包括漏洞情报（例如漏洞的流行度、可利用性、可检测性、漏洞利用成功率等）、数据泄露情报（例如企业的某些敏感信息、配置文件被人公开在了github等）、安全事件情报（例如某0day漏洞爆发）、以及被攻击者大范围使用的情报。因此灵知定义的“扩展情报”已突破了IT层的边界，一切可能影响企业网络安全和政策安全的信息，都被称之为“扩展情报”。

华云安的灵知·互联网威胁监测预警中心（Ai.Radar），依托海量数据情报构建的互联网威胁监测平台，基于自然语言处理（NLP）和知识图谱（KG）技术对30多个数据源进行大数据处理捕获情报数据，灵知从发现情报到华云安情报库可查询，精准定位情报来源可以做到分钟级的情报响应灵符咒。在情报分析方面，华云安将VPT技术融入其中，从CVSS、发布时间长度、可修复性、漏洞影响范围、漏洞利用条件等10+个维度对攻击态势进行评估，实现精准、全面、及时的发现外部攻击面。目前，灵知已支持定向情报订阅服务。

灵知是以黑盒视角模拟攻击者对企业进行过安全评估，将收集所有企业相关的“扩展情报”，按照实体类型和实体间关系，绘制企业暴露面，构建基于攻击者视角的企业资产知识图谱，同时基于企业暴露面，将自动化渗透测试与安全服务团队结合，绘制企业攻击面灵符咒。同时将暴露面与攻击面进行关联分析，形成基于攻击者视角的企业暴露面与攻击面交错的全景图。

标签：灵符咒