从漏洞管理到攻击面管理

近年来，随着攻防演练常态化，以及《网络安全法》《关键信息基础设施安全保护条例》等法律法规的相继颁布，网络安全建设从“合规驱动”阶段逐步过渡到 “实战驱动”阶段。传统的安全事件响应也由被动“亡羊补牢”的方式，向“先发现、先预防、先处理”的主动持续检测响应的方式转变。

当前，数字化转型加快了我国信息技术基础设施向数字化基础设施转变，数字化时代带来了新的安全挑战，使得网络安全的战场、网络安全的攻击手段、网络安全的目标等都发生了变化，网络安全攻防博弈的焦点已悄然发生转变。

一、漏洞管理的现状与瓶颈

作为网络安全亘古不变的话题，漏洞治理一直是网络安全的“共性顽疾”，是安全管理的重点和难点。传统的漏洞管理往往通过安全管理平台、态势感知等产品或人工的方式，将漏洞扫描的结果进行相应的处置，实现漏洞的生命周期跟踪与管理。

在漏洞管理过程中，常常会出现以下问题。安全管理人员在漏洞收集、验证过滤、去重标记等方面消耗大量时间和精力；在跨部门协作时，因为各种原因无法进行漏洞的修复，或将大量时间和精力消耗在同步信息和操作上；当出现与漏洞相关的安全事件时，难以快速定位定责。归结起来，漏洞管理面临漏洞精准检测难、漏洞验证确认难、海量漏洞修复难、跨部门沟通协作难、漏洞定位定责难、反复出现管控难等难题，这些现状暴露出了漏洞管理现有解决方案的弊端，同时也背离了企业进行漏洞管理的初衷。

除此之外，在数字化越来越普及的时代，还需要思考，仅仅围绕已知主机上存在的已知漏洞进行管理是否全面？从防御者视角获取到的漏洞和从攻击者视角看到的企业攻击面是否一致？物联网 IoT 类的哑终端、供应链、开源组件等是否纳入了管理视野？过期证书、泄漏数据等是否纳入了管理视野？因此，现有的针对漏洞进行的安全管理方法具有一定瓶颈，无法成为预防性安全管理的充分条件。

在新的 IT 环境下，需要重新定义漏洞管理。从漏洞多样性层面来看，不仅包括软件漏洞，也包括用户权限、泄露数据、钓鱼网站等。漏洞管理的目的并非传统意义上的单个漏洞管理，而是面向风险，进行最终的漏洞管理以及管控。漏洞管理的本质实际是在缩小企业暴露在外部的攻击面。

二、从漏洞管理到攻击面管理

根据美国国家标准与技术研究院（NIST）的定义，攻击面指“位于系统（包括系统组件、资产环境）边界的一组入口，导致攻击者可以通过该入口进入系统进行破坏或者盗取数据”。攻击面管理是将攻击者可能引发攻击的向量进行管理，以便进行减少入口点、限制访问和特权、减少面向互联网的应用程序与服务，甚至管控供应商产品和开放应用程序编程接口（API）等。以攻击者视角梳理和管理攻击面，才能及时了解内外网的弱点和所采取的防御策略，在发生真实逻辑攻击、零日漏洞（0day）等攻击时，进行更为全面的预防与安全监管。

攻击面管理，强调的绝不仅仅是已存在的静态漏洞及其闭环跟踪，而是任何可能发生的安全问题，进而演化为安全事件的网络风险和脆弱性。攻击面管理，新增了基于业务的风险评价过程以确定管理的有效性；以攻击视角汇集所有可能发生问题的攻击向量，通过扩大收集信息面来提高网络安全风险预防的全面性；融入了人、防御、流程等因素，将管理模型演变为立体空间。

攻击面管理的本质在于攻与防的对抗较量，在这个前提下，需要清楚地认知到，只有比攻击者更快一步，才能有效地降低企业发生安全事件的可能性。首先，必须要像攻击者一样思考，审视组织内部和外部可能存在的网络攻击面。其次，需要重点考虑最可能对攻击者产生价值的漏洞。第三，需要对组织的网络防御体系进行校验，根据发现的问题快速地进行安全响应，缩小事件可能的影响。

三、攻击面的检测与发现

数字资产发现与清点是攻击面检测与发现的第一步，全面的资产清点并识别完整的资产暴露面，才能从暴露的资产中找到可能被攻击者利用的攻击面。随着数字技术的变更，云计算、物联网等多种新兴业务场景让传统集中式管理实体化设备的方式不再适用，消失的资产边界也让基于业务视角的安全管理更加迫在眉睫。

此时，首要关心的是资产的外延。数字资产的对象既包括网站域名、数字证书、敏感数据、业务API、云资产、SaaS 应用、第三方组件等，也包括物联网设备如传感器、摄像头等非传统 IT 资产。其次，不能仅对已知资产进行管理，还要发现并管理未知资产、老化资产、僵尸资产、被遗忘的资产等影子资产；采用包括被动情报、主动探测、人工渗透等多种方式，获取暴露在外的影子资产。最后，要针对新入库的数据进行自动化比对，自动识别并标记老化资产、僵尸资产等各种影子资产。

自动化的验证测试是攻击面检测与发现的第二个核心。通过多维度的自动化安全测试，以攻击者视角绘制完整的资产攻击面。以风险视角看待漏洞管理，本质就是通过漏洞管理的方式缩小攻击面。需要将漏洞的概念扩展为弱点，纳入包括漏洞、弱口令、不安全配置、敏感信息泄露、暗网监测、防御有效性等多个方面，并打通弱点与资产、情报、响应间的关系，分析弱点可能产生的风险情况，识别弱点优先级，自动化进行标记和生命周期跟踪。漏洞扫描是攻击面检测的核心与基础，基于漏洞验证（PoC）的漏洞扫描技术在攻击面检测体系中显得尤为重要，其更关注实战性、高效性，加上对刚公布一天（1day）漏洞的快速响应，可以对被用于实际攻击的漏洞进行验证性检测。

此外，攻击模拟技术是攻击面检测的进阶和提升，它以攻击者的视角进行沉浸式模拟尝试甚至利用，能发现更深层的隐含风险。通过模拟攻击，将人员、流程、配置、弱点、业务融合，发现攻击点并绘制完整攻击链路。在此基础上，引入流量分析，进一步发现影子资产、僵尸资产，并识别其中可能的 0day 漏洞攻击与未知威胁，绘制更完善的攻击面。

四、攻击面的分析与研判

基于风险的漏洞管理，将精力聚焦在有价值的漏洞修复上。安全的本质，是攻守双方人与人的较量。真实攻击者不会无目标、无差别进行攻击。攻击面管理需要专注于对抗本质进行分析和研判，并不是所有的漏洞和安全弱点都需要修复，也不是所有的漏洞经过一次评估后其危害就一成不变，除了要考虑漏洞自身危害性，扩散范围、可利用性、资产价值等内容外，还要考虑漏洞对于业务的实际影响、利用成本，以及该漏洞是否能构成实现攻击的环节等。

攻击面分析与研判需要分析以下五个方面：评价该攻击面是否需要被管理；分析该攻击面出现根本原因；管理的成本与危害损失是否成正比；采取的管理方式是否可有效避免；攻击者可能采用何种方式和链路进行攻击。

安全管理人员需要进行基于业务场景的评估与判断，包括考虑业务维护、成本、响应代价、有效性、统一分发等，这些基于实际业务和风险影响的分析和研判，才是漏洞管理的核心所在。

五、攻击面情报预警

新一代的扩展威胁情报能力，要具备先于攻击者发现弱点和威胁的能力。攻击面检测与发现，主要以聚合分析内部信息为主。然而，在海量信息的互联网时代，外部情报的获取也不容忽视。

情报预警的价值，是将事后的应急提前至事前的预警，通过情报预警缩短响应时间并降低被攻击者利用的可能性。新一代的扩展威胁情报将防御者思维转为攻击者角度，利用国家级监管平台、互联网实时漏洞情报、外部攻击面监测情报等，共同构造外部视角的资产攻击面画像，辅助企业进行外部攻击面管理。通过收集和处理来自国家漏洞库、社区漏洞情报、开源情报、论坛媒体、域名注册、代码仓库、敏感信息泄露、暗网资源等多类安全情报源，汇集企业暴露在互联网上的信息资产，再通过“主动+被动+服务”形成具有即时性、可定位性、可追溯性的暴露面测绘图，持续监测网络安全态势，实现从“被动防御”向“主动防御”的进阶。

将扩展威胁情报数据进行日常安全运营，不仅能提高安全运营的动态性、响应性，更将常态化对抗防御思想以情报联防的形式融入组织自身安全管理工作中，实时将外部态势的变化同步到内部资产管理、弱点管理、响应运营的环节。在应用上，情报预警能力可无缝应用于产品，将其价值最大化。攻击面情报预警至少需要具备以下两个应用点。

先于监管要求的攻击面预警。聚合全球主流漏洞情报源、国家级漏洞通报预警、重大活动及演练成果等相关漏洞信息，实时传递最新的漏洞安全态势和攻击趋势，助力组织先于攻击者排查自身可能存在的安全隐患，做到先于监管要求进行自我风险审查。

先于攻击者的攻击面监测。打破攻守双方信息不平衡的局面，建立自身情报威胁库，了解全球视角下最具潜在威胁的应用及版本，以及与组织自身情况相关的最新攻击事件与 1day 漏洞，并采取针对性的主动防御，可极大缩短组织自身风险暴露时间，先于攻击者修复漏洞，预防入侵事件的发生。

六、基于攻击面的响应处置

通过简化的工作流集成，来缩短漏洞的响应时间。具体而言，通过自动聚合、关联将安全运营的关键流程与攻击面的不同类型进行匹配，实现自动化地监管自身内外网攻击面。针对攻击面进行全生命周期的监控和运营，利用管理手段缩小攻击面的安全风险影响。同时结合安全编排、自动化及响应（SOAR) 技术，对安全管理和应急流程进行贴合业务的自动化调度编排，将处置经验留存，降低攻击面响应处置对人的强依赖性。

新时代的安全运营更侧重协同响应的能力，所有的弱点或风险都需要响应，但并非所有的弱点和风险都能进行修复。好的安全响应运营体系应该降低对人员安全能力的高度依赖，以风险管理为核心指导思想，以缩小攻击面为主要目标，针对攻击方法、攻击链路、攻击态势的变化，及时反馈和动态调整响应策略、技术与手段，实现持续的监测响应，不断发现安全差距、验证控制策略的有效性。

另外，由于漏洞修复比较复杂，对一些无法采用升级方式进行风险消除的场景（如在线业务系统），又要满足其风险缓解的需求，所以在终端提供补丁信息的同时，还需要应用热补丁等技术，结合管理手段，满足攻击面应急响应与处置闭环。

攻击面管理作为近几年新涌现的技术，囊括了资产、漏洞、情报和响应的各个环节。无论是在企业的最佳实践层面还是方法论层面，攻击面管理都在不断地迭代和演进之中。随着数字化转型的进一步深入，基于攻击者视角构建新一代的数字资产攻击面管理体系，将是数字时代下安全管理的必然选择。