真正讓 ASM 值得關(guān)注的原因在于,它不光出現(xiàn)在了《2022 中國安全成熟度曲線》,而是頻繁出現(xiàn)在 Gartner 的各種安全報告當(dāng)中���,甚至不局限在國內(nèi)。《HypeCycle for Security Operations,2021》中同樣在曲線中標(biāo)出了 ASM 正在快速成長期���,年初《2022 網(wǎng)絡(luò)安全趨勢報告》中也把 ” 攻擊面擴(kuò)大 ” 列在了 7 大趨勢的首位 …
圖 2021 年的曲線里 CAASM 與 EASM 上榜
然而 ASM 的熱度并不完全來源于商業(yè)層面,在本次 Gartner 發(fā)布的報告中也在 ” 阻礙因素 ” 部分也提到 “ASM 與其他安全市場重疊���,未來可能會與其他市場合并�����。”
真正讓 ASM 成為關(guān)注熱點的原因是����,隨著全球范圍內(nèi)網(wǎng)絡(luò)空間中攻防對抗的不斷加劇�����,安全圈迫切需要一種貼合實戰(zhàn)且能打破現(xiàn)有攻防不對等態(tài)勢的技術(shù)產(chǎn)品。而 ASM 本身就是基于攻擊者視角誕生的�����,無論對攻擊方還是防守方����,掌握 ” 作戰(zhàn)地圖 ” 都是行動精準(zhǔn)、快速的基礎(chǔ)條件��。
地圖指路�?是衛(wèi)星制導(dǎo)!
在談 ASM 對當(dāng)前網(wǎng)絡(luò)安全的重要性前���,有幾個外部環(huán)境要素需要先說明��。
1�、攻擊者的強(qiáng)度增加
職業(yè)化����、專業(yè)化、資源充足�、國家背景等,已經(jīng)成為當(dāng)前黑客的主要標(biāo)簽��,其戰(zhàn)斗力已今非昔比。
2���、網(wǎng)絡(luò)戰(zhàn)爭初現(xiàn)威力
俄烏沖突中雙方在網(wǎng)絡(luò)空間中的 ” 交火 ” 展示出了完全不亞于現(xiàn)實武器的破壞力���。
3、全球經(jīng)濟(jì)發(fā)展降速�,競爭博弈加劇
受疫情等因素影響�,國家間的競爭博弈正在加劇,” 第五空間 ” 正在以完全不同的形態(tài)成為博弈焦點���,未來重大安全事件只會更多�。
綜合以上三個因素��,今天單一安全事件中的攻防雙方在組織�����、意愿��、資源等方面正在呈現(xiàn)出全面的不對等����。而 ASM 正是被寄予厚望�,可以幫助防守方拉平態(tài)勢的技術(shù)賽道�。
ASM 常被稱為攻防中的 ” 作戰(zhàn)地圖 “,用來發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的薄弱點�,但也正如 Gartner 在報告中提出的,ASM 并不能單獨解決問題���,需要配合其他產(chǎn)品平臺����。
高精度的地圖���,對于勝負(fù)的重要性無需多言�,但今天的網(wǎng)絡(luò)空間中資產(chǎn)是隨時都在變化的���,因為業(yè)務(wù)調(diào)整需要新上設(shè)備���、新開端口、調(diào)整架構(gòu)非常普遍�,這也是政企單位保證業(yè)務(wù)靈活發(fā)展的基礎(chǔ),此時通過人工不斷地重新 ” 畫地圖 ” 明顯不現(xiàn)實�����。
而不準(zhǔn)、不全的地圖勢必會留下安全 ” 死角 “��,或者說 ” 影子資產(chǎn) “����,這也是國內(nèi)外大量黑客攻擊事件的起點。從 ” 攻擊者視角 ” 看���,黑客不在乎你的資產(chǎn)規(guī)模��、防御部署等,他們尋找的永遠(yuǎn)都是你的系統(tǒng)中哪里有突破口���。
而擁有自動化�、平臺化能力的攻擊面管理(ASM)�����,其價值非常類似于現(xiàn)代戰(zhàn)爭中的衛(wèi)星����,幫助決策者全盤掌握戰(zhàn)場情況,衛(wèi)星不能幫你直接打贏���,就像你發(fā)現(xiàn)了敵人�,也不能用棍子教訓(xùn)坦克。但 ” 武力 ” 類似的情況下���,一方有衛(wèi)星�����,另一方?jīng)]有����,雙方接觸時就會呈現(xiàn)出碾壓的局面����。
基于實戰(zhàn)、用于實戰(zhàn)
Gartner 在本次報告的每個賽道描述中都寫了 ” 阻礙要素 ” 部分�,也就是這項技術(shù)發(fā)展的風(fēng)險點,其中就包含了 ASM 的 ” 阻礙 ” 重要集中在商務(wù)方面���,而非技術(shù)替代�����、缺乏標(biāo)準(zhǔn)�����、消耗資源等���。
事實上�,Gartner 非常了解攻擊面管理的價值以及其在國內(nèi)的發(fā)展情況����。例如 Gartner 的分析師在 ASM 的驅(qū)動因素第一條就直接指明了國內(nèi)已經(jīng)持續(xù)多年舉辦的 ” 攻防演習(xí) “,即 HVV���?���;叵朊看位顒又?,無論紅隊(攻擊方)�����、藍(lán)隊(防守方)電腦屏幕上清一色的 FOFA��,正是國內(nèi)使用最多的網(wǎng)絡(luò)資產(chǎn)搜索引擎��,這一工具在攻防演練中發(fā)揮的作用就是發(fā)現(xiàn)資產(chǎn)。
圖 FOFA 頁面
熟悉網(wǎng)絡(luò)安全行業(yè)的讀者朋友們肯定也知道����,國內(nèi)網(wǎng)絡(luò)空間測繪、攻擊面管理��、資產(chǎn)安全這一大類技術(shù)與產(chǎn)品的興起正是伴隨著全國范圍的攻防演練�,大家可以回想一下有多少單位是演習(xí)中被打崩,隨后沒多久就上了相關(guān)解決方案���。
在本次報告中的 ” 典型廠商 ” 里列舉了三家���,分別是華順信安、零零信安�、華云安,前文提到的工具 FOFA 就是華順信安的產(chǎn)品�����。與國內(nèi)奇安信��、360 相比����,這三家明顯體量偏小�����,這也符合 Gartner 在 ASM 賽道 ” 阻礙要素 ” 的綜述��,短期內(nèi) ASM 一定不是最賺錢的賽道���,不能獨立解決安全問題讓市場教育難度較高,產(chǎn)品技術(shù)仍處于初期需要對 ” 元數(shù)據(jù) ” 進(jìn)一步打磨分析 … 這些要素疊加在一起讓重視投產(chǎn)比的安全大廠不會投入大量資源研發(fā)這項技術(shù)����,而 ASM 的準(zhǔn)確性、全面性需要長期積累����,并直接關(guān)聯(lián)產(chǎn)品的可用性。
這樣的情況也為專注這一領(lǐng)域的廠商留足了發(fā)展空間��,可以和市場共同發(fā)展���,而不用過于擔(dān)心被行業(yè)里的大廠 ” 資源碾壓 “,從而更加專注產(chǎn)品技術(shù)和實戰(zhàn)場景����。
經(jīng)過筆者對上述三家企業(yè)公開信息的分析���,發(fā)現(xiàn)目前 ASM 類產(chǎn)品(CAASM/EASM)的主要客戶為政府單位、關(guān)基單位��、大型國企等��。
這些客戶的共同點是�,按規(guī)定需要參加年度攻防演練,且對網(wǎng)絡(luò)安全有極高要求�����。
以積累��,戰(zhàn)未來
Gartner 報告中提出了 ” 當(dāng)前的 ASM 解決方案提供 IT 環(huán)境中的功能���,但不完全支持網(wǎng)絡(luò)物理系統(tǒng)(CPS)���,如物聯(lián)網(wǎng)(IoT)和操作技術(shù)(OT)。” 而 ” 建議 ” 部分也提示用戶要關(guān)注購買的解決方案支持識別哪些物聯(lián)網(wǎng)設(shè)備����、操作系統(tǒng)等��。
這也就牽出了關(guān)于 ASM 的另一個關(guān)鍵點 ” 指紋庫 “���。
無論是華順信安的 FOFA、FOBrain�,還是零零信安的 00SEC 系列產(chǎn)品,能夠?qū)裘孢M(jìn)行管理的基礎(chǔ)是資產(chǎn)識別����,更進(jìn)一步說是 ” 規(guī)則 ” 或稱 ” 資產(chǎn)指紋 “。
而指紋庫的豐富程度則直接關(guān)乎掃出來的資產(chǎn)是否準(zhǔn)確全面�����,目前�,但凡涉獵這一領(lǐng)域的廠商都會講自己擁有十幾萬、幾十萬條指紋規(guī)則覆蓋主流資產(chǎn)��,不能說數(shù)量大沒用��,但隨著 ASM 價值的普及���,具有行業(yè)�����、領(lǐng)域特征或獨有的資產(chǎn)才是更有價值的安全數(shù)據(jù)�����,例如醫(yī)院和工廠即便使用的是同一款終端���,其系統(tǒng)資產(chǎn)也天差地別,這些長期趴在一線積累的資產(chǎn)指紋將會拉開廠商間的差異���。
總結(jié)
ASM 在國內(nèi)安全圈已經(jīng)擁有了一定的關(guān)注度�,但其未來的發(fā)展仍有巨大的想象空間����,只要網(wǎng)絡(luò)空間中沒有誕生一勞永逸的安全方案,能夠給防守方提供攻擊者視角的 ASM 價值就不會存在替代風(fēng)險�。
眼下,國內(nèi)政府單位���、國企���、關(guān)基單位安全部門極為重視 ASM、網(wǎng)絡(luò)空間測繪等技術(shù)領(lǐng)域��,其根本原因在于全球網(wǎng)絡(luò)空間安全形勢的惡化。究竟 ASM 市場未來會并入其他賽道���,或者是以完全不同于其他安全資產(chǎn)的新品類面世��,值得拭目以待��!
