2022年6月6日至9日,被誉为安全行业“奥林匹克”的RSAConference2022在旧金山举行。RSAC2022作为全球顶级网络安全大会,全球瞩目网络安全企业、专家、大咖齐聚一堂,共同探讨当前流行的网络安全技术理念,共同寻求抵御安全风险的新方案。近年来,网络攻击事件频发,其中黑客“炫技”越来越少,取而代之的是专业的网络攻击组织,作战思路更加清晰,逐利行为更加明显,其中包括各种勒索团伙,合作链条严密地下黑产等等。在这样的情况下,从攻击者的角度检测、发现并持续监控企业数字资产攻击面的网络资产攻击面管理(CAASM)得到了越来越多的人的认可。如何利用CAASM帮助企业全面清查网络资产,不断提升资产可视性和云化配置,降低安全漏洞风险,成为RSAC2022关注的焦点之一。为了更好地了解CAASM如何减少攻击面,会后,安全大道记者邀请了JupiterOne创始人兼CEO郑尔康进行分享。协调成为新的挑战。众所周知,漏洞修复需要多个部门共同完成。然而,企业内部负责特定网络资产的技术和团队往往是独立工作的。漏洞管理人员职责不明确,直接导致人员、政策、基础设施的协调成为不能及时完成的??工作,让安全漏洞管理成为无稽之谈。随着企业数字化转型、云迁移的加速以及物联网、5G、云原生等技术的应用,更多业务转移到线上。一方面,内部数字资产的结构和复杂性迅速增加;互联网的攻击面呈指数级扩大,安全漏洞的数量成倍增加,最终使本来就很难修复的安全漏洞雪上加霜。如果这个问题得不到有效解决,企业的数字化转型将面临停滞不前的风险。这时,CAASM应运而生。CAASM作为一项新兴技术,倾向于使用智能手段更高效地识别组织内的资产和漏洞。2021年7月,Gartner发布《2021 安全运营技术成熟度曲线》,首次提出CAASM的概念,并指出“它使组织能够通过API与现有工具集成,查询组合数据,并找出安全控制中的漏洞和差距,以及补救问题,以查看所有资产的风险。”换句话说,通过利用API,CAASM使安全团队能够全面、快速地了解IT基础设施的所有组件,无论它们是在本地还是在私有云、公共云或混合云中。最重要的是,安全团队可以大规模实施细化策略,在不影响敏捷性的情况下提高整个组织的安全性。郑尔康表示,在大规模分布式、瞬息万变的运营环境中,这并不是一件容易的事情,因为安全团队不仅要尽可能直接地防止网络攻击,还要持续监控资产所有者以防止非法操作。并在安全事件发生时迅速进行安全响应。在打破资产孤岛效应的采访中,郑尔康表示,我们每个人小时候都玩过“连线”的游戏,让大家把纸上的所有点都连起来,得到相同的答案。回到网络安全领域,如果说那几点特别明确,现在的云托管、数据分析等技术可以随时智能、大规模地发现网络安全问题,并得到可行的答案。但这种情况并非如此。以上操作听上去很简单,执行起来却很难。首先,存在底层技术壁垒。企业网络基础设施组件不可能来自同一个供应商。很多时候,供应商的数量非常多,每个供应商都有自己的技术和标准,彼此无法沟通。其次,数据无法在企业内部各个系统之间自由流动,整个业务链的孤岛效应十分明显。而这些问题,导致那些“点”最终没能形成图案。因此,安全团队迫切需要一种新的解决方案,能够有效规范和整合企业网络资产信息,并快速查询和发现这些信息,包括有什么资产,有什么资产,谁可以访问等等。这时候安全团队就可以像“连图”一样直接简单的提出问题和解决问题。事实上,能够清晰掌握企业内部网络资产是安全体系的重要基础,也是安全团队能否改变传统工作流程,跟上快速发展的关键点。改变数字化转型。郑尔康认为,安全团队不仅是企业的守门人,更是审计师和顾问,CAASM不仅是数据平台,更是分析平台和协作平台。缩小攻击面是企业的首要任务。随着零日漏洞的披露和利用之间的时间间隔越来越短,零日攻击正在成为大多数企业的灾难。通过内部协作快速消除已披露的零日漏洞已成为安全团队的首要任务。必备能力之一。未来,随着CAASM技术的广泛应用,漏洞修复时间将进一步缩短。CAASM作为新安全架构的一部分,可以提供漏洞修复支持,帮助安全团队系统地发现和修复安全漏洞,甚至主动发现新的安全漏洞。郑尔康举了一个例子。假设一家企业有一个内部资源,它本身不向公众开放,但有一个直接暴露在互联网上的工作负载,并且有一个为其提供API级访问的身份验证策略。毫无疑问,它已经在互联网上曝光了。这恰恰是安全团队很容易忽略的一点,实际混合和匹配从AmazonWebServices租用的云资源会产生新的安全漏洞。此时,这个被忽视的新漏洞将成为企业安全的严重威胁。类似的案例还有很多,这个例子也解释了为什么企业在数字化之后会面临如此多的攻击面。因此,企业迫切需要一种全新的解决方案,能够大规模、及时地发现并修复企业内部隐藏的漏洞。CAASM或许可以解决这个问题。快速消除暴露的攻击面是企业安全团队目前的首要任务。毕竟,暴露的攻击面越少,企业就越安全。
