真正讓 ASM 值得關(guān)注的原因在于�,它不光出現(xiàn)在了《2022 中國(guó)安全成熟度曲線》�����,而是頻繁出現(xiàn)在 Gartner 的各種安全報(bào)告當(dāng)中����,甚至不局限在國(guó)內(nèi)?���!禜ypeCycle for Security Operations,2021》中同樣在曲線中標(biāo)出了 ASM 正在快速成長(zhǎng)期,年初《2022 網(wǎng)絡(luò)安全趨勢(shì)報(bào)告》中也把 ” 攻擊面擴(kuò)大 ” 列在了 7 大趨勢(shì)的首位 …
圖 2021 年的曲線里 CAASM 與 EASM 上榜
然而 ASM 的熱度并不完全來(lái)源于商業(yè)層面�,在本次 Gartner 發(fā)布的報(bào)告中也在 ” 阻礙因素 ” 部分也提到 “ASM 與其他安全市場(chǎng)重疊,未來(lái)可能會(huì)與其他市場(chǎng)合并����。”
真正讓 ASM 成為關(guān)注熱點(diǎn)的原因是,隨著全球范圍內(nèi)網(wǎng)絡(luò)空間中攻防對(duì)抗的不斷加劇�,安全圈迫切需要一種貼合實(shí)戰(zhàn)且能打破現(xiàn)有攻防不對(duì)等態(tài)勢(shì)的技術(shù)產(chǎn)品。而 ASM 本身就是基于攻擊者視角誕生的�,無(wú)論對(duì)攻擊方還是防守方,掌握 ” 作戰(zhàn)地圖 ” 都是行動(dòng)精準(zhǔn)�、快速的基礎(chǔ)條件。
地圖指路���?是衛(wèi)星制導(dǎo)���!
在談 ASM 對(duì)當(dāng)前網(wǎng)絡(luò)安全的重要性前����,有幾個(gè)外部環(huán)境要素需要先說(shuō)明�����。
1����、攻擊者的強(qiáng)度增加
職業(yè)化、專業(yè)化����、資源充足、國(guó)家背景等����,已經(jīng)成為當(dāng)前黑客的主要標(biāo)簽,其戰(zhàn)斗力已今非昔比�。
2、網(wǎng)絡(luò)戰(zhàn)爭(zhēng)初現(xiàn)威力
俄烏沖突中雙方在網(wǎng)絡(luò)空間中的 ” 交火 ” 展示出了完全不亞于現(xiàn)實(shí)武器的破壞力����。
3����、全球經(jīng)濟(jì)發(fā)展降速��,競(jìng)爭(zhēng)博弈加劇
受疫情等因素影響���,國(guó)家間的競(jìng)爭(zhēng)博弈正在加劇,” 第五空間 ” 正在以完全不同的形態(tài)成為博弈焦點(diǎn)���,未來(lái)重大安全事件只會(huì)更多����。
綜合以上三個(gè)因素����,今天單一安全事件中的攻防雙方在組織、意愿����、資源等方面正在呈現(xiàn)出全面的不對(duì)等。而 ASM 正是被寄予厚望����,可以幫助防守方拉平態(tài)勢(shì)的技術(shù)賽道�����。
ASM 常被稱為攻防中的 ” 作戰(zhàn)地圖 “�����,用來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的薄弱點(diǎn)�����,但也正如 Gartner 在報(bào)告中提出的����,ASM 并不能單獨(dú)解決問(wèn)題�����,需要配合其他產(chǎn)品平臺(tái)�。
高精度的地圖,對(duì)于勝負(fù)的重要性無(wú)需多言�,但今天的網(wǎng)絡(luò)空間中資產(chǎn)是隨時(shí)都在變化的,因?yàn)闃I(yè)務(wù)調(diào)整需要新上設(shè)備�、新開(kāi)端口、調(diào)整架構(gòu)非常普遍,這也是政企單位保證業(yè)務(wù)靈活發(fā)展的基礎(chǔ)�����,此時(shí)通過(guò)人工不斷地重新 ” 畫(huà)地圖 ” 明顯不現(xiàn)實(shí)�����。
而不準(zhǔn)����、不全的地圖勢(shì)必會(huì)留下安全 ” 死角 “�,或者說(shuō) ” 影子資產(chǎn) “,這也是國(guó)內(nèi)外大量黑客攻擊事件的起點(diǎn)����。從 ” 攻擊者視角 ” 看,黑客不在乎你的資產(chǎn)規(guī)模��、防御部署等�����,他們尋找的永遠(yuǎn)都是你的系統(tǒng)中哪里有突破口��。
而擁有自動(dòng)化����、平臺(tái)化能力的攻擊面管理(ASM)���,其價(jià)值非常類似于現(xiàn)代戰(zhàn)爭(zhēng)中的衛(wèi)星,幫助決策者全盤掌握戰(zhàn)場(chǎng)情況���,衛(wèi)星不能幫你直接打贏�,就像你發(fā)現(xiàn)了敵人���,也不能用棍子教訓(xùn)坦克���。但 ” 武力 ” 類似的情況下,一方有衛(wèi)星��,另一方?jīng)]有�����,雙方接觸時(shí)就會(huì)呈現(xiàn)出碾壓的局面���。
基于實(shí)戰(zhàn)����、用于實(shí)戰(zhàn)
Gartner 在本次報(bào)告的每個(gè)賽道描述中都寫了 ” 阻礙要素 ” 部分,也就是這項(xiàng)技術(shù)發(fā)展的風(fēng)險(xiǎn)點(diǎn)�����,其中就包含了 ASM 的 ” 阻礙 ” 重要集中在商務(wù)方面�����,而非技術(shù)替代���、缺乏標(biāo)準(zhǔn)、消耗資源等��。
事實(shí)上�,Gartner 非常了解攻擊面管理的價(jià)值以及其在國(guó)內(nèi)的發(fā)展情況。例如 Gartner 的分析師在 ASM 的驅(qū)動(dòng)因素第一條就直接指明了國(guó)內(nèi)已經(jīng)持續(xù)多年舉辦的 ” 攻防演習(xí) “�����,即 HVV�。回想每次活動(dòng)中�����,無(wú)論紅隊(duì)(攻擊方)、藍(lán)隊(duì)(防守方)電腦屏幕上清一色的 FOFA�,正是國(guó)內(nèi)使用最多的網(wǎng)絡(luò)資產(chǎn)搜索引擎,這一工具在攻防演練中發(fā)揮的作用就是發(fā)現(xiàn)資產(chǎn)�����。
圖 FOFA 頁(yè)面
熟悉網(wǎng)絡(luò)安全行業(yè)的讀者朋友們肯定也知道�����,國(guó)內(nèi)網(wǎng)絡(luò)空間測(cè)繪����、攻擊面管理、資產(chǎn)安全這一大類技術(shù)與產(chǎn)品的興起正是伴隨著全國(guó)范圍的攻防演練��,大家可以回想一下有多少單位是演習(xí)中被打崩��,隨后沒(méi)多久就上了相關(guān)解決方案��。
在本次報(bào)告中的 ” 典型廠商 ” 里列舉了三家��,分別是華順信安�����、零零信安、華云安��,前文提到的工具 FOFA 就是華順信安的產(chǎn)品��。與國(guó)內(nèi)奇安信��、360 相比��,這三家明顯體量偏小�����,這也符合 Gartner 在 ASM 賽道 ” 阻礙要素 ” 的綜述�����,短期內(nèi) ASM 一定不是最賺錢的賽道��,不能獨(dú)立解決安全問(wèn)題讓市場(chǎng)教育難度較高��,產(chǎn)品技術(shù)仍處于初期需要對(duì) ” 元數(shù)據(jù) ” 進(jìn)一步打磨分析 … 這些要素疊加在一起讓重視投產(chǎn)比的安全大廠不會(huì)投入大量資源研發(fā)這項(xiàng)技術(shù)���,而 ASM 的準(zhǔn)確性���、全面性需要長(zhǎng)期積累,并直接關(guān)聯(lián)產(chǎn)品的可用性��。
這樣的情況也為專注這一領(lǐng)域的廠商留足了發(fā)展空間�����,可以和市場(chǎng)共同發(fā)展�����,而不用過(guò)于擔(dān)心被行業(yè)里的大廠 ” 資源碾壓 “���,從而更加專注產(chǎn)品技術(shù)和實(shí)戰(zhàn)場(chǎng)景����。
經(jīng)過(guò)筆者對(duì)上述三家企業(yè)公開(kāi)信息的分析�����,發(fā)現(xiàn)目前 ASM 類產(chǎn)品(CAASM/EASM)的主要客戶為政府單位����、關(guān)基單位�、大型國(guó)企等���。
這些客戶的共同點(diǎn)是���,按規(guī)定需要參加年度攻防演練,且對(duì)網(wǎng)絡(luò)安全有極高要求���。
以積累���,戰(zhàn)未來(lái)
Gartner 報(bào)告中提出了 ” 當(dāng)前的 ASM 解決方案提供 IT 環(huán)境中的功能,但不完全支持網(wǎng)絡(luò)物理系統(tǒng)(CPS)���,如物聯(lián)網(wǎng)(IoT)和操作技術(shù)(OT)��。” 而 ” 建議 ” 部分也提示用戶要關(guān)注購(gòu)買的解決方案支持識(shí)別哪些物聯(lián)網(wǎng)設(shè)備�����、操作系統(tǒng)等。
這也就牽出了關(guān)于 ASM 的另一個(gè)關(guān)鍵點(diǎn) ” 指紋庫(kù) “���。
無(wú)論是華順信安的 FOFA�、FOBrain,還是零零信安的 00SEC 系列產(chǎn)品����,能夠?qū)裘孢M(jìn)行管理的基礎(chǔ)是資產(chǎn)識(shí)別,更進(jìn)一步說(shuō)是 ” 規(guī)則 ” 或稱 ” 資產(chǎn)指紋 “����。
而指紋庫(kù)的豐富程度則直接關(guān)乎掃出來(lái)的資產(chǎn)是否準(zhǔn)確全面,目前����,但凡涉獵這一領(lǐng)域的廠商都會(huì)講自己擁有十幾萬(wàn)、幾十萬(wàn)條指紋規(guī)則覆蓋主流資產(chǎn)�,不能說(shuō)數(shù)量大沒(méi)用,但隨著 ASM 價(jià)值的普及���,具有行業(yè)�、領(lǐng)域特征或獨(dú)有的資產(chǎn)才是更有價(jià)值的安全數(shù)據(jù)��,例如醫(yī)院和工廠即便使用的是同一款終端��,其系統(tǒng)資產(chǎn)也天差地別����,這些長(zhǎng)期趴在一線積累的資產(chǎn)指紋將會(huì)拉開(kāi)廠商間的差異�����。
總結(jié)
ASM 在國(guó)內(nèi)安全圈已經(jīng)擁有了一定的關(guān)注度���,但其未來(lái)的發(fā)展仍有巨大的想象空間,只要網(wǎng)絡(luò)空間中沒(méi)有誕生一勞永逸的安全方案�,能夠給防守方提供攻擊者視角的 ASM 價(jià)值就不會(huì)存在替代風(fēng)險(xiǎn)。
眼下�����,國(guó)內(nèi)政府單位���、國(guó)企��、關(guān)基單位安全部門極為重視 ASM��、網(wǎng)絡(luò)空間測(cè)繪等技術(shù)領(lǐng)域���,其根本原因在于全球網(wǎng)絡(luò)空間安全形勢(shì)的惡化。究竟 ASM 市場(chǎng)未來(lái)會(huì)并入其他賽道��,或者是以完全不同于其他安全資產(chǎn)的新品類面世,值得拭目以待�����!
比.jpg)
