原创 长江证券安全团队 2025-04-15 08:46 中国香港
展望是积极
摘要:针对证券行业在数字化转型背景下攻击面快速膨胀带来的网络安全挑战,本文结合安全团队攻击面管理的工作经验,介绍了攻击面的定义、分类,归纳了攻击面的识别方法,阐述了攻击面评估管控的具体措施,探讨了结合新兴技术优化攻击面管理框架的最佳实践。通过流程管控、持续监控、风险管理、动态评估、收敛策略等多个方面的管控措施,结合安全验证手段,提升企业攻击面管理的效能,强化网络安全防护能力。
关键词:攻击面;攻击面管理;安全验证
一、攻击面管理的背景与意义
一、攻击面管理的背景与意义
随着行业数字化转型的加速,金融科技的高速发展给证券行业的发展带来了巨大的机遇。在满足客户差异化服务需求的同时,信息资产的增加、人员队伍的扩充、数据中心的扩容,都使得攻击面随之快速膨胀。此外,日渐复杂的信息系统、动态弹性的网络环境、敏捷灵活的DevOps工作流也增加了攻击面管理的复杂程度。而对于攻击者来说,常常只需要在攻击面中找到一个切入点即可取得突破。不对称的攻防形态加剧了本已日益严峻的网络安全形势。为应对不断演变的网络威胁,保护企业资产安全和金融市场稳定,攻击面管理就成了网络安全团队不可回避的重要课题。
区别于传统的被动防御手段,攻击面管理作为一种新兴的网络安全解决方案,强调从攻防双方的视角出发,利用不断革新的安全技术(如安全有效性验证、零信任结构、安全编排与自动化响应(SOAR)以及大数据等技术)作为攻击面管理的有效抓手,持续地识别、评估与管控企业所面临的安全风险。这一解决方案在满足法律法规要求的前提下,不仅可提升企业自身风险状况的清晰度,还能促进安全资源的优化配置,支撑风险问题的有效控制。本文将从券商视角出发,聚焦攻击面管理的实践,探讨如何在日常网络安全工作中落实攻击面管理措施,并结合新兴技术优化攻击面管理框架,提升攻击面管理效能。
二、攻击面识别
(一)攻击面的定义与分类
根据美国国家标准与技术研究院(NIST)关于攻击面的定义,攻击面是指在一个系统、系统元素或环境的边界上,攻击者可以尝试进入、造成影响或窃取数据的所有攻击点的集合。具体来说,攻击面就是攻击者用来实施网络攻击所利用的漏洞、路径、信息等攻击媒介的集合。例如某个存在Weblogic远程代码执行漏洞的网站,某个IP端口上异常暴露的SSH服务,某个员工的邮箱与办公终端,某个存放着系统敏感配置信息的GitHub仓库,未经安全验证的API接口等,都是攻击面的一部分。
根据攻击面的具体表现形式,可以将其分为三大类:
表1 攻击面表现形式
理解攻击面的分类有助于更清晰地梳理、识别攻击面,进而主动降低潜在的安全风险。
(二)攻击面的识别维护
为全面地识别和维护攻击面,整合多方数据源显得尤为重要。
在信息资产攻击面方面,可通过整合漏洞扫描、CMDB、HIDS、网络流量分析、WAF、API管控、网络与中间件配置等数据为主,结合审批流程、电子化台账数据为辅的方式进行识别。针对云原生环境下信息资产的动态性和复杂性,可结合微隔离技术提升攻击面识别和维护的效果。通过实施微隔离技术,可以在更细粒度的应用层面划分不同的安全区域,识别并绘制应用间东西向和南北向访问关系,监控和限制应用间的流量,使得企业能够更清晰地识别和管理数据流动路径,掌握云原生环境下的攻击面。此外,微隔离技术可通过安全工具与CI/CD流程进行无缝集成,以实现持续的攻击面识别与维护。
对于组织攻击面与基础设施攻击面,主要依赖电子化台账和审批流程数据,可通过设置准入机制结合安全背景调查的方式来采集必要信息。例如,当员工终端申请接入办公Wi-Fi时,可对员工MAC地址进行采集,并通过准入软件采集必要信息,用于检查员工终端是否满足接入办公Wi-Fi的基线配置,根据检查结果系统将决定准许或拒绝接入网络,在这个过程中完成攻击面识别。
攻击面识别过程中所涉及的数据是海量的异构源数据,可依托成熟的大数据技术,采用可伸缩的数据采集方案,实时或周期性地采集不同平台系统产生的数据。在此基础上,进行自动化的汇总、分类与加工,并将处理后的丰富数据指标进行存储,以支撑多维度、场景化的输出与运用。利用大数据与自动化技术进行全面的数据分析整合,持续优化攻击面识别的策略和技术,能够更准确地维护攻击面,全面摸清家底,进而可以分析可能的攻击路径,并精准锚定攻击路径中的风险点。
在数据整合过程中,不同来源的数据可能存在冲突。为提高攻击面识别发现的准确性,可以通过设置权重来解决。例如,当漏洞扫描发现某系统在使用的Shiro组件疑似存在远程代码执行漏洞,而从系统主机上安装的HIDS识别到该组件版本不受影响,就可以给主机侧HIDS采集的数据设置较高的权重,从而正确识别系统使用的组件及其风险情况。一般来说,主机侧的数据的权重应高于远端识别的数据。
三、攻击面评估管控
(一)攻击面流程管控
流程管控是攻击面管理的重要抓手,企业应建立一套贯穿于攻击面整个生命周期的管控流程,将攻击面的新增与扩展、运营与管控、收敛与消亡的各个阶段都纳入管控范围,确保每一项安全策略与安全措施都能得到有效实施。安全措施不仅包括技术层面的防御措施,还需要涵盖人员培训和安全意识提升等软性措施,以便不断改进安全策略与安全措施,适应不断变化的攻击面。通过流程管控,不仅能有效识别和评估潜在风险,还能在攻击面发生变化前介入,确保安全措施的落实。
安全措施的落实是流程管控的关键环节。以信息资产攻击面为例,企业应设置攻击面新增/扩展流程,确保在攻击面扩大的同时,安全措施能够同步实施。例如,在某资产申请向互联网提供服务时,可通过自动化工具检查相关主机是否安装了恶意代码防护软件、HIDS Agent,该资产是否存在高危安全漏洞,对外服务的域名是否受到WAF的保护等。在云原生环境中,还应检查微隔离网络安全策略的启用情况,确保对网络中不同区域进行隔离,包括将不同的应用、用户或业务模块进行隔离,从而限制潜在攻击者的东西向移动。只有在满足相关要求后,才能发起攻击面新增/扩展流程。
在流程的标准化与自动化方面,DevSecOps理念为攻击面流程管控提供了新的视角。DevSecOps将安全能力嵌入整个软件开发生命周期,其代码审查、软件成分分析、开源软件治理等过程的输出结果可作为攻击面识别分析的数据来源,流水线质量门禁卡点也可以作为攻击面流程管控的具体实现方案。对于涉及攻击面变化的变更,可将变更管理工具与DevSecOps标准化流程结合,有效促进研发运维的协作,提高攻击面识别的响应速度,减少攻击面流程管理中的延误和遗漏。
(二)攻击面监控
信息资产的变更、人员架构的调整、基础设施的更新都会导致企业的攻击面处于动态演变之中。为及时发现攻击面的变化带来的潜在威胁并采取相应措施监控攻击面的变化显得尤为重要。
信息资产攻击面是监控的核心内容之一。一方面,需要对传统的IP、端口、域名和URL等进行监测,定期探测IP、端口,并结合配置数据、WAF与数据流量进行分析,以识别域名、URL的变化情况;另一方面,组件、账户、API接口也是重要的关注点,一是结合漏洞扫描、HIDS、网络流量数据监测系统组件及版本的变化,及时确认变化情况,并结合外部威胁情报进行动态分析和评估,二是对主机和应用账户进行定期巡检,关联登录和操作数据进行分析,以发现账户异常情况并进行确认,三是识别API接口并监控其调用频率和访问行为,整合API安全管理工具实时分析访问权限和数据传输,并通过API审计机制定期巡检已识别API接口,及时发现和修复安全漏洞,增强数据安全防护能力。例如,在监控中发现某系统组件新增了Fastjson,安全人员就需要结合Fastjson版本确认其是否受到已知漏洞的影响并进行必要的干预。
组织攻击面的监控主要关注账户、终端、邮箱、安全意识、员工行为等方面。在账户方面,应结合日志数据分析异常登录行为,例如多个地点登录同一账户、同一IP登录不同账户等;在终端方面,需要监控病毒查杀、内网流量、终端发起认证的情况,持续跟踪终端设备的安全状态;在邮箱方面,需关注邮件外发情况,多设备接入访问的情况,以识别未授权的访问,防止数据泄露;在安全意识方面,应定期开展实战化钓鱼演练,并基于演练成果数据,维护安全意识待提升人员清单,开展专场培训,并针对性地强化安全措施,如在相关员工终端上额外开启EDR策略等;对于员工行为,可以监控敏感运维操作命令,结合流量与审计数据识别敏感行为,并及时采取措施防止潜在安全事件的发生。
基础设施攻击面则主要涉及门禁和支持办公的基础设施服务。以机房门禁为例,机房的门禁系统需要严格控制,确保只有授权人员在授权时间能够进入。当员工在开市期间进入机房,应该对该异常行为进行告警,及时进行处置。
为进一步提升攻击面监控与响应的效率,可结合SOAR等自动化技术,场景化地编排安全剧本,固化安全场景,标准化安全流程,智能分析决策,自动化处理来自不同监控系统的数据,进行实时分析与自动化响应,在显著提高MTTR的同时,减少人工干预带来的不确定性。
(三)攻击面风险管理
应实施周期性的、规范化的攻击面安全风险管理过程,主要包括风险识别、风险评估和风险处置三个环节。在风险识别环节,发现与确认可能存在的内部弱点、外部威胁,并结合威胁情报对可能存在的漏洞风险进行预警;在风险评估环节对风险严重程度、利用方法难易、影响范围进行评估与量化,根据量化结果反映出的风险点,按轻重缓急有序处置;在风险处置环节,结合风险的实际情况对风险处置提出建议,复核风险的处置结果,使攻击面风险被控制到一个可控水平。
以信息资产攻击面为例,在风险识别阶段,可根据所涉信息资产保密性、完整性、可用性要求对风险进行评估,如其承载的信息越保密、数据越关键、业务越重要,则其权重越高。再通过漏洞扫描、渗透测试、流量数据与HIDS数据等,发现所涉信息资产的脆弱性与潜在威胁,并充分利用威胁情报(如国家信息安全漏洞共享平台等官方漏洞通报平台、威胁情报系统、公开的威胁情报社区等)获取可能存在的已知风险,实现对风险的有效识别。
在风险评估阶段,从业务应用层面对攻击面所包含的Web应用、客户端、App应用、API接口等存在的薄弱点、面临的外部威胁进行评估与量化,从系统环境层面对攻击面所涉及的IT资产,包括中间件、数据库、第三方组件、操作系统、主机、网络等存在的漏洞风险进行量化,借鉴CNVD对漏洞风险的评级量化方法,参考风险攻击途径、攻击复杂度、安全认证、权限控制等情况,以及风险对机密性、完整性、可用性的影响程度,结合证券相关系统业务的特点,从风险等级、风险利用难易度与风险影响范围三个维度来实现风险量化评估。
在风险处置阶段,根据量化评估结果来消除或降低风险影响。首先,对风险进行优先级排序,以确定侧重点;其次,权衡处置措施的代价与风险威胁的大小,采用成熟的解决方案消除风险,或通过监控与管理等措施以降低风险;最后,权衡业务时效收益,综合技术与管理措施,在可承受的风险容忍度下,折中业务与安全间的制约关系,以较小的代价来保护重要的信息资产安全。
(四)攻击面评估
传统的攻击面评估通常依赖静态分析,难以有效反映外部威胁或系统环境的变化。因此,针对攻击面进行持续的动态评估显得极为关键。
针对信息资产攻击面,实施动态风险评估时,应结合自动化技术,对系统各个组件进行识别、分类与信息维护,统计系统访问量,分析用户访问行为,结合外部威胁情报,持续跟踪评估这些组件的安全风险。攻击面动态评估通过持续监测系统组件状态、访问情况和用户行为等动态因素,可帮助安全团队了解系统当前安全态势,及时识别新出现的威胁和脆弱点,并及时调整防护策略,确保安全策略始终与当前的安全态势相匹配。例如,收到Log4j漏洞预警后,SOAR平台可对使用了该组件的攻击面进行即时风险评估更新,确保优先处理相关风险;在监控中发现某个API接口访问量大幅上升,除了检查系统运行状态外,应对系统攻击面进行再评估,关注是否因组件版本、配置不当等导致越权调用的问题。在云原生环境中,企业可利用微隔离平台进行东西向访问关系测绘,并对不同区域每个微环境的安全策略进行独立的动态风险评估,从而有效地分析每个微环境的安全状态。例如,通过监控微隔离区的访问请求和流量,及时发现异常活动及可能的攻击企图,评估潜在威胁对企业整体安全态势的影响。基于评估结果,可通过优化安全策略和资源配置对不同区域的风险进行有效控制。
针对基础设施攻击面,结合常见的近源攻击手段与攻防演练公开案例,进行常态化评估。一是对受保护区域的监控和门禁系统进行定期审计,确保其有效性和安全性,及时发现潜在隐患;二是识别日常办公与数据中心区域的Wi-Fi,警惕冒充公司Wi-Fi的无线信号,确保网络环境安全;三是巡查操作终端设备,确保设备的安全性,对离开不锁屏、违规借用终端等情况结合技术与管理手段进行安全提醒,增强员工的安全意识;四是定期评估数据中心的基础设施风险因素,识别潜在的安全威胁,推动制度流程的完善与技术措施的覆盖,以提升整体安全防护能力。
针对组织攻击面,应综合运用安全意识培训与实战钓鱼演练,对组织人员的安全意识进行持续跟踪评估。基于安全培训的参与情况、钓鱼演练的中招情况、终端的安全告警情况以及网络安全事件的发生情况,定期对组织攻击面进行量化评估,并将评估结果应用于后续的监控中。针对识别出的“安全短板”人员,实施个性化辅导,并针对性开展短平快的小范围演练,同时,结合考核与激励等管理手段进行正向引导,提升相关终端、邮箱和应用系统登录的监控层级,有效补齐短板。
评估结果的反馈机制是攻击面管控的关键环节。企业应建立动态风险评估的反馈机制,基于评估结果及时调整防护策略,不断优化攻击面管理。
(五)攻击面收敛
在攻击面持续扩张的背景下,一些非必要的攻击面给网络安全工作带来了困扰。因此,攻击面收敛已成为保护网络安全的重要策略。攻击面收敛是一个系统性工程,可通过非必要攻击面的常态化清理工作来进行攻击面收敛,同时在应急演练中进行验证和增强。
企业需要定期对企业暴露在互联网侧的IP、端口进行常态化巡检,对敏感服务进行告警联动,监测互联网侧的疑似网站后台页面,并在确认必要性后推动其收入内网环境。此外,企业还应对GitHub、Gitee的代码仓库进行周期性排查,发现涉企业敏感信息的,联系当事人进行仓库的整体下线。在安全应急预案中,应明确涉及攻击面收敛的场景和具体实施步骤,并进行周期性的应急演练,模拟安全事件场景,以检验应急预案的有效性。演练后进行评估总结,识别并打通环节中的堵点,明确事件应急中攻击面收敛的常规程序,并持续优化应急预案。在安全事件发生时,企业应及时采取措施收敛攻击面,例如隔离受影响的系统、关闭不必要的服务、禁用员工的OA账户等,以确保攻击者无法进一步渗透。
实施零信任架构对攻击面的收敛也能起到积极作用。通过将零信任工具与企业办公客户端深度融合,推动用户侧“无感”的零信任架构实施,灵活运用身份认证手段,并结合用户行为分析,即时触发安全策略,以便较早干预异常活动,控制影响范围,从而有效收敛攻击面。
四、攻击面安全验证
(一)攻击面安全验证定义
攻击面安全验证是将攻击面安全管理与安全有效性验证有机结合的一种安全解决方案。它基于入侵和攻击模拟(BAS)技术,在预设的时间模拟潜在攻击者如何实际攻击已识别的攻击面,测试安全防御体系的反应能力,对企业攻击面进行实战化的网络安全评估。
攻击面安全验证可以是一次性的或周期性的。具体来说,攻击面安全验证通过预设的安全场景验证用例,结合自动化工具,在既定的攻击链路上对企业攻击面实施攻击,并利用攻击链路所涉及安全设备的日志信息,自动化验证安全策略有效性、安全设备检测能力以及安全设备防御覆盖度。这种闭环验证能够以实战检验企业当前的安全防护能力,并基于验证结果进行针对性改进。
(二)攻击面安全场景验证
1、边界安全场景验证
边界安全场景验证旨在评估整个纵深防御架构中对边界突防的保护能力,重点关注攻击面在边界上是否受到有效防护,尤其是WAF的阻断能力。基于已知的攻击面相关IP、URL,通过互联网侧的攻击发起端发送攻击请求和正常请求,观察返回的HTTP状态及TCP状态,以判断边界侧对验证用例攻击载荷(Payload)的拦截有效性,从而实现边界安全验证场景的闭环验证。
在这一验证场景中,验证用例可包括近几年的高危漏洞攻击、OWASP TOP10通用漏洞攻击、常见WEB后门投递等。验证结果可显示是否有部分站点未被纳入WAF设备的覆盖范围,是否有部分较新的攻击载荷未能被WAF设备有效拦截。基于验证结果,对照攻击面梳理情况,逐步完善WAF覆盖范围,优化WAF防护策略,可有效提升边界安全防护能力。
2、流量安全场景验证
流量安全场景验证旨在评估安全防御体系对于东西向异常流量的识别检测能力,通过模拟攻击者对攻击面发起的恶意流量(如漏洞利用、命令注入、Webshell上传、隐秘通信等),检测网络流量分析平台(NTA)对异常流量的安全检测能力。通过接入NTA日志并实施自动化闭环验证,研判NTA是否能准确识别这些不安全流量,从而评估流量安全控制的有效性。
在这一验证场景中,验证用例可覆盖暴力破解、反弹Shell、隐秘隧道、APT攻击、Webshell命令执行、高危漏洞利用、远控木马等。根据验证结果,可优化设备安全策略和重点区域网络隔离策略,加强NTA对常见恶意流量的巡检监测,提升异常流量的识别检测能力。
3、主机安全场景验证
主机安全场景验证旨在评估信息资产攻击面主机侧整体安全防护能力,通过模拟攻击者在目标主机上执行各种操作(如植入后门、隧道通信、本地提权、执行系统命令等),评估主机侧防护软件(如杀毒软件、HIDS等)的安全防护效果。通过接入安全设备日志并实施自动化闭环验证,识别主机侧防护软件是否成功检测与阻止恶意行为,并产生相应的安全告警,从而判断防护的有效性。
在这一验证场景中,验证用例主要包括Webshell植入、端口转发、隧道通信、恶意后门、反弹Shell、内存马植入、系统命令执行等。根据验证结果,可检测主机杀毒软件和HIDS对预设的主机侧攻击场景的用例是否能较好地进行识别与干预,整体安全防护能力是否达到了预期。
终端安全场景验证旨在评估组织攻击面中终端节点的防御策略与检测能力的有效性。通过在目标终端设备上预先部署Agent,模拟终端执行恶意代码、下载恶意文件等异常行为,评估终端防护软件是否能有效识别、阻止这些行为并生成安全告警,从而判断安全防护的效果。
在这一验证场景中,验证用例主要覆盖各类病毒样本投递、恶意命令执行、恶意文件执行、黑客工具使用等。根据验证结果,可对公开黑客工具的哈希值进行收录,与防病毒厂商联系进行沟通反馈,提升终端防护能力。
API安全场景验证旨在评估安全防御体系对API接口的保护能力,重点关注攻击面在API层级是否受到有效防护,尤其是对敏感数据的访问控制和认证机制的有效性。通过模拟攻击者对已识别的API接口发起恶意请求,检测API安全网关和身份验证服务对这些请求的响应情况,以判断其是否能够有效拦截和处理潜在的攻击。
在这一验证场景中,验证用例可覆盖对API的身份验证绕过、数据泄露、注入攻击、恶意请求等多种攻击情景。根据验证结果,可识别某些接口的身份验证机制是否能有效地防止未授权访问,导致敏感数据可能被泄露,进而与相关开发团队沟通并增强API的安全控制措施。
6、云原生安全场景验证
云原生安全场景验证旨在评估企业内部网络中微隔离策略的有效性,重点关注对不同业务区域、部门或应用之间的访问控制和通信限制。通过模拟攻击者进行云原生环境下进行横向渗透,评估在某一部分微环境受到攻击时,是否能有效控制安全风险的外溢,从而检验微隔离的效果。
在这一验证场景中,验证用例可覆盖尝试从被攻击的应用访问其他应用或数据库的行为,以及执行未授权的数据传输操作等。根据验证结果,可以检查成功访问了被保护的资源,评估微隔离策略的有效性,并据此优化隔离措施。
五、未来展望
在未来的网络安全环境中,攻击面将不断演变,威胁将变得更加复杂多样。随着物联网(IoT)、人工智能(AI)及区块链等新技术的广泛应用,攻击者能够利用更多的入口点进行攻击。因此,企业需要采取前瞻性的策略,定期评估和更新攻击面的安全防护措施。以下是几个可能较为关键的未来趋势:
(一)攻击面管理成为行业共识
攻击面管理将逐渐成为安全运营的必选项。证券行业以及开始越来越重视攻击面管理,将其作为防御体系的核心组成部分。随着全球网络安全威胁的不断加剧,企业安全攻防重视程度逐年加强,攻击面管理作为以攻击者视角对企业安全建设进行审视的手段,将逐渐凸显自身的重要作用。随着需求的增加推动了攻击面管理产品的市场化,使得攻击面管理产品市场更规范、更成熟,更好地与证券行业自身能力进行互补。
(二)证券行业攻击面管理向“大集中”靠拢
金融机构将趋向于集中管理分支机构的业务及配套资产,以减少潜在的攻击面。这种集中化的管理模式将提高攻击面管理的ROI,并减少资源浪费。
(三)对攻击面的实时可观测性准确度会越来越高
随着技术的发展,特别是云原生技术的应用,攻击面管理的实时可观测性和准确度将得到显著提升。安全团队将能够实现更全面的数据采集,为攻击面管理提供更有利的技术基础与数据基础。
(四)攻击面管理技术的发展
攻击面管理技术将继续发展,不仅解决技术层面的防护问题,而且更加注重全面、智能的安全生态建设。随着网络攻击手段的不断演化,企业必须在攻击面管理方面进行积极的布局,以提升主动防御能力。
攻击面管理的未来展望是积极的,它将成为网络安全领域的一个重要发展方向,在证券行业中的应用将更加广泛和深入。
参考文献:
作者介绍
长江证券安全团队,安全团队的成长与进步离不开行业内的交流分享与协作创新,愿与行业各团队构建合作生态,携手发展,共同应对日益严峻的安全挑战。
