如何防范网络中“未知的未知”风险 获取攻击者视角或是唯一答案

作为防御者，你必须要保证你在所有时间里都不会犯错误，至于攻击者，只需要把事情做对一次，那么这场攻防对抗的较量其实已经宣告结束。因此，对于企业尤其是IT、安全相关的团队或人员而言，较为有效的方式就是能够尽早地发现自身弱点并弥补，降低它们被攻击者发现并成功利用的概率。

在这一状况下，偏向于主动防御且更注重实战对抗的攻击面管理理念无疑是当前值得关注的方向。

如果综合遭受攻击的潜在成本以及可能因攻击事件爆发导致的严重后果，就会发现攻击面管理无论是在效果还是收益方面都具有不小的优势。关于攻击面管理，在Gartner此前发布的《2022中国网络安全技术成熟度曲线》中指出，识别网络资产，了解资产的脆弱性和潜在的攻击方式尤为重要。ASM使企业从内部管理和外部攻击者的角度，解决资产和漏洞可视化的难题，并基于优先级计算指导防御人员进行主动防御。

ASM帮助安全和风险管理团队识别潜在的攻击路径，并指导开展安全控制措施的改进和调整，提高整体安全防御水平。

可以看到，网络资产的识别被着重强调，对于任何企业而言，要想做好安全建设，这一点都是不可或缺的。一般情况下，企业对于对资产的掌握只限于那些经常使用的，但从安全角度考量，理想情况应是对自身所拥有的所有资产都要有清晰了解并拥有完整而准确的清单，这也意味着任何新设备或是被添加到网络中的内容都要从初始阶段就得到充分的管理。此外，漏洞仍然是个老生常谈的问题，但不可否认的是，当前所存在的漏洞肯定比我们所认知的要多得多。

如果上述这些都做不好，那么当未知因素叠加在一起，如“未知的资产中存在有未知的漏洞”，那么所面临的潜在风险有多大也就不难想象。前文所说的攻击者要做对的那件事，就是要发现这些处在企业未知范围的弱点并加以利用，并最终实现一次成功的攻击，最终令企业为之付出代价。

因此，所谓掌握攻击者视角，就是要力争消灭这些在防御者视角下的“未知”，甚至是“未知的未知”。

对于企业而言，以攻击者视角审视自身将会是对传统安全建设的极大补充，具体操作层面，较为容易的方式主要集中在以下几种：渗透测试渗透测试这种方法已经存在多年了，对于以攻击者视角来提高安全水平的诸多方式中，堪称老而弥坚，他们利用自身的经验和真实的技术、工具、流程来试图和攻击者一样去寻找企业的漏洞和弱点，相比于许多企业内部的安全或IT团队而言，他们面对安全问题会有一些不同的思考方式，并且也有着不同的心态，这也是通过外部专业团队来做测试的好处之一。但这种方式的弱点也非常明显，因为它仅能反应企业当前安全水平的状况，相当于一个时间点的快照，而不是持续的监测，毕竟企业在发展过程中总是会部署新的设备、系统或应用，甚至包括像整体迁移到云上这种大操作等等，那么这种方法是难以满足需求。但不可否认的是，渗透测试仍然是一个很好的方法，只是单独依靠它是不够的。

开源情报近年来，越来越多的IT资产通过企业网络被连接到互联网中，如果没有妥善保护，这些资产可能会被暴露，也意味着这些数据可以被收集和搜索，这里大家比较熟的如知道创宇的ZoomEye、华顺信安的FOFA、国外的SHODAN搜索引擎等。这些数据源可以作为开源情报向所有人开放，通过利用OSINT资源，企业可以在IT、OT和IoT设备中查找潜在的问题资产或其他问题。当然，这其中也有一个巨大的挑战，那就是如何将这些公共数据与企业的内部资产列表关联映射，以使其对企业有价值。举个例子，假设企业拥有一个123.com的域名，而邮件服务器和该域名相关联，但能否代表就能看出其与在另一个不同的子域上启动的另一台Web服务器有何关系吗？如果缺少这种对所有子域及内、外部资产之间连接的可见性，那么想要获取全面且准确的情况将会非常难。

外部攻击面管理关于外部攻击面管理我们其实也说过很多，它是一种非常好的方法，而且易用的工具也已有，它可以观察整个组织的IT组合，包括企业在内部和云端使用的各种系统、平台，同时检测任何潜在的问题或威胁，寻找任何由于糟糕的配置或不安全资产而导致的潜在漏洞。这种方法可以发现并标记以前未知的任何资产，寻找潜在的问题，如未经授权的设备、未经批准或支持终止的应用、开放的端口，或是未经批准的应用程序和域等等。与渗透测试一样，它提供了一个由外向内的网络视图，但相比之下，它完全不会受到时间推移的影响。尽早了解错误配置或漏洞对于在攻击者利用它们之前修复它们至关重要。

理想情况下，企业可以结合各种方法来提高可见性，确保持续的安全性，同时，通过自动化的流程更是可以帮助企业的安全或IT团队更有效和高效地做好响应工作。尽管攻击面管理的好处多多，但对于多数企业而言，即便对如何管理攻击面的方法、方式有所了解，但想要从头建立并实现具备攻击面管理能力，仍是一个极大的挑战，因此，引入专业力量来实现有效的攻击面管理，在我们看来，无论是安全能力、水平还是成本收益方面，都能体现出一定的优势。据安全419此前在行业内的沟通调研情况，在攻击面管理领域，包括华云安、云科安信以及零零信安这三家以攻击面管理为主要方向的企业值得关注。