當前的攻擊手段層出不窮、應急響應多以補救措施為主，因此一種新的外部攻擊面管理技術思路就此誕生：“以情報驅動構建外部攻擊面管理技術，實現先于攻擊者掌握攻擊面”。

依據《中國攻擊面管理市場研究報告》，外部攻擊面管理是指完全基于攻擊者視角來發現、監測、評估、響應、預警企業所有攻擊面的技術。作為攻擊面管理的重要組成，今天我們來探討如何通過靈知·互聯網威脅監測預警中心(Ai.Radar)，基于情報視角進行外部攻擊面管理。

1.企業四大痛點推動外部攻擊面管理發展

當前企業已經通過各種安全演練提升了安全意識，但是為啥在實戰攻防中還是不堪一擊呢?我們認為有以下幾個問題：

·安全建設有盲區

首先，企業產生安全事件的原因從來不是防住了什么，而是沒有防住什么。究其根本，目前大多數企業受困于人員能力參差不齊、預算有限等原因，很難做到360度無死角的安全防護。所以在此局限的情況下，最重要的就是防御住攻擊者最可能發起攻擊的風險點。但企業并不能完全感知到企業所面臨的攻擊點。

·企業無法確認未知資產

上一點說到了企業需要加強安全建設，才能有提高自身安全的能力。但是加強安全建設的前提是要清楚了解現在有哪些資產，這樣才能知道安全設備需要架設在哪些資產前。目前，企業對于未知資產的防護還是短板。退一步講，企業想對未知資產進行安全加固，企業是否能夠準確而全面的發現未知資產?如果企業無法梳理清楚未知資產，那就無從談起攻擊面管理。

·企業對已經存在安全威脅知之甚少

即使客戶已經清楚擁有哪些資產，也未必清楚了解這些資產面臨哪些安全風險。外部攻擊面管理所定義的資產已經不僅僅包括IT資產、云資產、軟硬件，還包括企業人員的社工信息、員工的在網絡上的博客、github倉庫、企業軟硬件供應鏈等等。過往發生的安全事件屢屢告訴我們，網絡安全防護最難的不是系統安全，而是“人”的安全意識。值得警示的是，很多安全事件的背后，都是來源于一個個微不足道的信息泄露。因此，新一代企業安全解決方案就需要從多維度發現企業面臨的威脅。

·企業無法做到事前預警，更多是事后應急

通常情況下，企業都是在某個安全事件爆發后，進行事后的應急響應。實際是新爆發的0day漏洞，都先會在小圈子進行小范圍傳播，傳統的安全建設，其實很難收集到此類漏洞情報信息。當企業感知到有0ady、1day漏洞的時候，往往是攻擊者已經利用漏洞對企業進行了攻擊，已經造成了實質上的損失。只有在安全事件全面爆發之前，能夠通過情報實現事前預警，并積極排查才能有效提升安全建設能力。

2.外部攻擊面呈現四大特點

華云安認為攻擊面管理具備四大特性：攻擊面的時效性，攻擊面的跨系統性，攻擊面的跨實體性，攻擊態勢是動態的。因此攻擊面管理的新思路，是要先于攻擊者掌握攻擊面。

外部攻擊面有幾大特點：

·攻擊面是有時效性的

外部攻擊面是不斷變化的，例如80%-95%的Ip地址是短暫的，很可能只是短時間的暴露就會使攻擊者拿到他想要的信息和數據。

·攻擊面是跨系統的

隨著時間推移，攻擊者可以嘗試作為攻擊目標的環境不僅限于傳統IT，還可能是代碼、敏感數據、移動應用、甚至IoT設備等。

·攻擊面是跨實體的

數字時代的攻擊面不僅僅是自身軟件缺陷，還包括弱口令、配置缺陷、泄漏數據、過期證書、釣魚網站、供應鏈漏洞等多種類型。

·攻擊態勢是動態的

管理者還需要以攻擊者的視角了解每天外部攻擊態勢的變化情況，第一時間掌握新爆發的漏洞、惡意的文件標識、流行的攻擊手法等。

3.靈知，以情報驅動的外部攻擊面管理

安全的本質是持續對抗。知己知彼才能百戰百勝。以往安全建設是基于防守者的角度，盡可能的防守住攻擊;而經過實戰驗證：基于攻擊者視角的主動防守才能真正發現企業面臨的網絡安全風險，進而實現先于攻擊者掌握攻擊面，在這一過程中情報搜集便是首要的。

這里所指的情報并非是傳統的“威脅情報”，而是“擴展情報”。在靈知·互聯網威脅監測預警中心(Ai.Radar)所定義的情報不僅包含傳統的“威脅情報”，更包括漏洞情報(例如漏洞的流行度、可利用性、可檢測性、漏洞利用成功率等)、數據泄露情報(例如企業的某些敏感信息、配置文件被人公開在了github等)、安全事件情報(例如某0day漏洞爆發)、以及被攻擊者大范圍使用的情報。因此靈知定義的“擴展情報”已突破了IT層的邊界，一切可能影響企業網絡安全和政策安全的信息，都被稱之為“擴展情報”。

華云安的靈知·互聯網威脅監測預警中心(Ai.Radar)，依托海量數據情報構建的互聯網威脅監測平臺，基于自然語言處理(NLP)和知識圖譜(KG)技術對30多個數據源進行大數據處理捕獲情報數據，靈知從發現情報到華云安情報庫可查詢，精準定位情報來源可以做到分鐘級的情報響應。在情報分析方面，華云安將VPT技術融入其中，從CVSS、發布時間長度、可修復性、漏洞影響范圍、漏洞利用條件等10+個維度對攻擊態勢進行評估，實現精準、全面、及時的發現外部攻擊面。目前，靈知已支持定向情報訂閱服務。

靈知是以黑盒視角模擬攻擊者對企業進行過安全評估，將收集所有企業相關的“擴展情報”，按照實體類型和實體間關系，繪制企業暴露面，構建基于攻擊者視角的企業資產知識圖譜，同時基于企業暴露面，將自動化滲透測試與安全服務團隊結合，繪制企業攻擊面。同時將暴露面與攻擊面進行關聯分析，形成基于攻擊者視角的企業暴露面與攻擊面交錯的全景圖。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：