数世咨询：攻击面收敛能力指南（下）

攻防

11月前

6　攻击面收敛案例收录

某金融行业用户案例
本案例由华顺信安提供

场景介绍

　　随着金融机构稳妥发展，金融科技和数字化转型不断加深，导致相应的资产数量和资产种类也日趋增多，资产暴露面越来越大，同时数据密度和网络资产价值凸显，系统的关联性和复杂度不断增强，相应的攻击手段也在不断变化，传统资产安全管理方式难以为继。当前网络安全已经是金融科技发展的重要保障，金融机构所面临的网络空间安全环境在发生剧烈变化。因此，收敛金融行业互联网暴露面、明确需要保护的网络空间资产、保护核心资产免受各类安全威胁，开展有效的资产安全运营成为金融机构亟待解决的问题。

客户需求

　　随着金融监管部门对金融企业网络安全的重视不断加强，某大型金融机构已经将开展资产管理及安全风险管控作为安全运营的首要工作。华顺信安通过多次与该客户深入沟通，明确了客户的资产安全管理需求，主要包括以下内容：

● 全网IT资产的集中管理和可视化

　　底数清则态势明，该金融机构网络资产繁多且归属复杂，包括云主机、网络设备、办公终端、安全设备、业务系统、IOT终端、容器、API，并且不同种类的IT资产信息散布在不同类型的设备中。

● 互联网暴露面及其风险管理

　　具备互联网暴露面监测能力，该金融机构的数字化转型带来的互联网暴露面不断扩大，如果不对暴露面进行收敛，将成为整个网络安全体系的重大短板，包括未知资产、僵尸资产、违规资产、钓鱼网站、仿冒资产等，其次还需要具备公众号、小程序、APP等数字资产的发现、互联网数据泄露风险监测能力。

● 安全指标度量能力

　　该金融机构的资产安全运营的目标之一是提高各类安全工具或安全策略的覆盖率，需要直观展现各类资产安全指标。包括客户端覆盖率、安全管控覆盖率、安全风险整改率，并通过构建全面的在线资产库，快速定位未纳入安全管控的资产信息，如：未安装防病毒的Windows服务器、未安装HIDS的服务器，消除资产安全管理盲区，还需要建立各个条线、团队或业务系统的安全指标动态变化曲线，跟踪各类安全指标变化情况。

● 资产赋能能力

　　需要具备丰富资产数据接口，通过将多维资产数据，可供第三方平台消费使用，可对接给态势感知，实现关联安全告警日志和资产信息，实现告警事件的快速定位、跟踪、处置；可对接SOAR实现多种安全告警事件的自动化处置，提升安全运营效率，形成整体防御、精准防御能力，提升该金融机构网络安全事件处置效率和应急响应速度。

解决方案

　　整体方案设计思路以华顺信安FOBrain网络资产攻击面管理平台、F0Radar互联网资产攻击面管理平台（外网资产测绘探针）、FOEYE网络资产测绘及风险分析系统（内网资产测绘探针）为基础，全面对接该客户多个资产数据源、漏洞数据源，对资产、漏洞等信息做清洗、去重、归一、关联等分析工作，实现资产画像和各类关联分析。能够基于攻击者视角全面梳理暴露面及攻击面，通过多种前沿核心技术，帮助该客户实现基于资产的安全运营，能够更快发现威胁、评估合规差距、确定风险优先级，以提升安全运营效率和网络安全防护水平。

● 实现全网IT资产的集中管理和可视化

　　通过FOBrain调用FOEYE和FORadar实现资产测绘的同时，还接入客户侧的CMDB、HIDS、堡垒机、TDP等十多个数据源，建立了可视化的数据模型，支持字段级的数据源优先级配置，解决了数据源字段冲突的问题，帮助该客户梳理了已知资产、数字资产，识别了未知资产、仿冒资产、违规资产，形成了精准的资产库，并通过将多个来源的IT资产碎片化数据进行关联分析，实现对资产属性的多维度画像。

● 实现漏洞智能化管理

　　FOBrain现已积累了数十万的漏洞情报库，首先通过对接多源异构的漏洞扫描工具，实现调度漏洞扫描工具，将多个漏洞扫描工具的漏洞数据基于漏洞情报库进行标准化处理，解决漏洞数据格式不统一的问题。同时，基于CVE、CNVD、CNNVD进行归一化去重处理，通过对相同的漏洞做了去重合并，有效降低漏洞数量，降低数据噪音。

　　基于FOBrain创新漏洞优先级排序技术，重新定义了漏洞优先级，漏洞优先级不仅基于CVSS，还从漏洞是否存在POC、EXP、漏洞是否多次出现、漏洞是否可以远程利用、漏洞关联资产的重要性、所属区域、互联网暴露情况、FOFA引擎热力值等多个加权值，计算漏洞优先级，该客户的安全运营人员只需关注归一化之后的漏洞数据，且漏洞处置顺序更加有的放矢。同时，通过关联分析，可以直观的看到漏洞对应的责任人、内外网资产映射关系，并有多种漏洞状态：未处理、待修复、待核查、已修复、忽略、误报、复现等，极大的提升了漏洞安全运营工作效率。

● 实现安全指标度量管理

　　基于精准全面的资产库，解决了资产的唯一性识别问题，通过与EDR、WAF、数据库审计进行对接，能够直观展示各类资产安全指标，包括CMDB覆盖率、防病毒客户端覆盖率、WAF覆盖率、漏洞修复率等多个指标，快速定位未纳入安全管控的资产信息，同时帮助该客户绘制了安全指标动态变化曲线，能够跟踪各类指标变化情况，反馈安全运营治理效果。

客户价值

● 摸清全网资产底数和风险敞口

　　通过华顺信安强大的资产测绘能力，统筹该金融机构互联网资产和内网资产，建立了精准化的资产信息库，打破了客户现有的资产数据孤岛，摸清了资产底数和资产暴露面及攻击面，有效弥补当前的资产管理短板，帮助该金融机构落实资产责任到人，时时掌握资产安全态势，为网络安全管理奠定了基础。

● 健全金融机构安全风险响应机制

　　通过全面、深入以及持续高效的资产安全监测和漏洞智能化管理，实现了“业务系统-互联网资产-内网资产-风险-部门-责任人”的自动关联分析，帮助该金融机构建立了基于资产多场景化的自动化处置流程，实现风险资产通报机制，通过闭环式的监督、管理、检查，帮助该客户总部履行监管协查、责任通报、结果复核的监督管理职能，摆脱以往依赖人工处置的困境，缩减修复窗口期，从而降低资产安全风险，实现可落地的预警与风险整改督促。

● 实现资产的安全指标度量，助力资产安全运营

　　基于为该金融机构构建的全量精准资产库，实现了对资产安全指标的度量，通过各类覆盖率的分析与展示，快速定位未纳入安全管控的资产信息，同时提供安全指标动态变化曲线，能够实时跟踪安全指标的变化，助力实现资产安全运营。

某大型国有集团用户案例
本案例由360数字安全提供

场景介绍

　　随着数字化转型、互联网业务的不断发展，某大型国有集团由于经营范围广泛，分支公司众多，信息化业务已经具备较大规模，为了保障信息化业务安全，支撑上层安全运营、统一监管等各项安全措施开展，该大型国有集团建设了资产与脆弱性子系统，将网络中运行的各类信息化业务及其风险统一管理，提升安全管理基础能力，并面向数量众多的分支机构开放自服务，形成了整体化的攻击面管理能力。

客户需求

● 全网资产发现能力建设

　　发现在企业网络中活跃的各类设备，包括私有云主机、终端、服务器、网络设备、安全设备等，并通过多种手段对资产进行细粒度的识别和监控，获取实时、详细的资产信息。

● 1day漏洞快速定位和评估

　　当出现1day漏洞时，能够基于详细的资产维护信息，快速定位1day漏洞所影响的资产以及他们关联的业务情况，从而评估1day漏洞的影响范围。

● 集团化资产运营体系建设

　　为分子公司提供资产上报、确认、梳理的途径，建设全集团的资产运营管理机制，保障资产的业务归属、人员归属等信息详细、准确。

● 风险汇聚和全生命周期管理

　　汇聚多个来源的漏洞数据，包含扫描器、HIDS、情报平台等，对多个来源的漏洞进行加工归并、风险评价，并基于平台跟踪漏洞和弱口令的修复情况。

建设方案

　　根据该大型国有集团客户的建设需求和实际业务场景，为客户设计建设了资产与脆弱性管理子系统。该系统功能包含资产发现、资产管理、漏洞检测、漏洞管理、生命周期跟踪、任务管理等多个模块。

　　在本项目中，资产与脆弱性子系统共计对接整合了十余个资产系统、6类漏洞检测工具，对接范围包含CMDB、私有云、HIDS、漏扫工具、情报平台、SOC等，有效将原有建设的各类安全平台中分散的资产、脆弱性数据进行了整合加工。

　　同时该项目也从资产、脆弱性检测维度，为客户提升了整体资产与风险发现能力，根据业务实际需求，为客户在多个子网中建设主动资产探测、被动流量识别、漏洞扫描三类探针共计15个，实现了全网资产发现能力建设，能够持续化监控并发现企业内网资产。

　　子系统整体与上层安全运营平台进行对接，为安全运营工作提供资产与风险数据支撑，同时联动工单能力，形成资产与风险全生命周期管理，并为子公司提供数百个账号，面向子公司提供了资产、风险上报与处置能力。

整体建设方案示意图如下：

客户价值

● 建设全网资产识别监控机制，从而形成集团化资产管理体系

　　通过建设主动、被动资产发现能力，发现在网络中存在的未知资产和“僵尸”资产，同时对接已有资产来源，融合加工后形成权威资产库，为分子公司提供资产确认、上报、业务登记途径，最终形成集团化资产运营管理体系。

● 多来源漏洞去重后统一纳管，降低漏洞处置工作量

　　对接各类漏扫、HIDS、SOC平台、威胁情报平台等六个漏洞来源，纳管20w+漏洞，并对漏洞数据进行去重和缩减，合并多来源漏洞避免重复工作量。

● 分子公司漏洞全流程线上管理，全面掌握漏洞加固进展

　　支持漏洞自动化复测，根据漏洞来源任务自动化下发复测任务并获取复测结果，降低原本复测工作量，同时对漏洞处置工作进展的平均时长、当前进展状态等维度进行统计，帮助客户全面掌握漏洞处置工作进展情况。

● 漏洞优先级推荐，快速定位优先修复漏洞，降低响应时长

　　系统根据资产重要性、漏洞情报、漏洞等级等维度，对漏洞的加固优先级进行评价，快速定位需要优先修复的漏洞，帮助客户降低重大漏洞的响应时长

某运营商用户案例
本案例由探真科技提供

背景介绍

　　某运营商单位在早期搭建好容器云PaaS平台，采用传统的针对物理机、与虚拟机的安全防护模式，但不管从实现方式、规模、防护方式等方面均一定程度上不适用于容器云PaaS平台，无法针对容器场景下的安全威胁做到很好的发现与拦截。正值单位内部组织针对集团自身的HW活动，借此机会梳理当前容器化场景下内部网络的安全脆弱性，希望能在HW期间实现收敛攻击面，并建设自身针对容器平台的安全防护能力。

客户需求

　　探真科技通过与客户紧密沟通，包括结合客户的实际环境，明确在此次HW行动中客户所关注和面临的问题主要如下：

● 云原生化衍生了一些新的安全问题，如：逃逸难度降低，利用组件API暴露提权等，传统安全产品在这类场景下防御能力不足，需要针对这类新型攻击方式具备较好的发现能力。

● HW中攻击队会使用0day、1day等攻击手段，导致普通防御方式失效，很难被检测到，希望能针对这类未知攻击具备发现能力。

● 大量的无效告警极大的消耗了运维人员的精力，希望能根据条件筛查一些准确的、实际的威胁，快速定位攻击发生位置、攻击时间、攻击方式等。

● 希望对目前仓库中的镜像进行一个全面检查，发现目前镜像中存在的一些恶意文件、敏感信息、病毒木马等，同时筛选出存在高危漏洞的镜像，客户将针对这些镜像进行修复。

● 客户目前已具备有WAF等南北向流量的防御能力，普通攻击队想从外网攻入难度较大，但客户自身攻击队对内网结构及企业账号相关较为熟悉，每年HW从内网发动攻击的情况较多，有较多的逃逸及提权实践，因此比较关注逃逸相关的安全问题，同时希望能通过微隔离有效限制攻击范围。

建设方案

　　根据以上问题，探真科技结合HW场景以及客户容器安全能力构建需求，提出了针对运行时安全检测以及镜像安全的完整解决方案，其中具体包含了“镜像扫描、流水线扫描与阻断、运行时攻击检测、主动防御、偏移防御、微隔离”等安全能力，并辅以“容器资产梳理、精细化告警筛查、攻击事件关联”等能力，帮助客户在HW及容器安全能力构建中发挥作用。

　　探真科技将容器侧风险分为了两个部分，一部分是供应链风险，攻击方可能利用镜像投毒、容器后门、镜像漏洞等方式发动入侵，因此在镜像构建及入库阶段，通过对镜像构建进行快速扫描，即时发现并解决存在的各种系统漏洞、软件漏洞、病毒木马等问题，可保证业务基础环境的安全，同时可在多个阶段设置卡点，对不合规的容器禁止其入库或部署。

　　另一部分则是运行时风险，攻击者可能通过多种手段入侵，因此也需要更加全面的检测能力。针对逃逸、提权、容器后门等，检测引擎通过基于eBPF的内核态检测能力，可以及时发现攻击并无视攻击者的绕过手段；针对横向攻击，通过微隔离等手段进行细粒度隔离防止攻击扩散；针对0day等未知攻击，主动防御通过诱导攻击进而捕获入侵行为；另外，基于容器不可变性，偏移防御通过固化容器内二进制，并拒绝一切其它有害工具的引入，可实现强防御。

　　除产品的安全检测能力外，辅以人工值守，在整个攻防演练期间，针对客户的业务环境，定制开关部分规则以降低干扰，并通过持续的日志分析确认攻击事件的有效性，同时针对有效攻击进行溯源，协助客户共同处理。

客户价值

● 构建完整云原生防护能力

　　通过供应链安全能力实现CI/CD阶段的基础镜像安全，通过基于ATT&CK的多重检测能力保障运行时安全，结合事件关联、资产可视化等多重安全能力，覆盖各个云原生场景下的各个安全风险点，全面收敛安全攻击影响范围，为客户构建了完整的云原生安全防护体系。

● 攻击告警与拦截

　　在演练过程中，除了帮助客户发现与修复多个镜像漏洞外，产品通过运行时安全检测能力，发现多起针对容器的逃逸、恶意工具执行、端口扫描等攻击行为，并进行了及时上报与处置，同时主动防御模块也捕获了多起攻击者的内网横向移动，保障了客户在整个演练期间容器业务0失分。

● 运营成本降低

　　通过自定义安全筛查条件，对告警事件实现了精细到具体进程、端口的过滤，剔除大量无效攻击事件，极大的缩减了运营人员针对攻击事件的筛查成本。

某证劵行业用户案例
本案例由魔方安全提供

背景介绍

　　证劵公司业务场景走向互联网金融化已成未来发展趋势，互联网+新业态+新生态发展成为各证劵实现业务快速拓展的必经之路，此背景下监管侧、券商侧、消费者侧都在时刻关注其网络安全水平及风险防范能力，而互联网攻击面治理又为常态化安全运营中最重要的一环，当前各证劵公司的互联网受攻击面正在不断增长，暴露在攻击者视角下的企业攻击面更趋复杂化，随着网络攻击技术的持续演进，各证劵公司在攻击面治理领域面临严重的压力与挑战，如何发现并高效管理互联网攻击面，持续治理并收敛风险，更好地管理组织数字资产、防止各类安全事件及数据泄漏事件发生，护航业务安全，是网络安全工作中的重中之重及决定整体网络安全体系建设是否达标的关键一环。

客户需求

　　新业态场景下，数字资产形态变化快、管理难度大，如何精准护航业务穿透式发展?

　　由于当前业务竞争的压力大，新互联网金融线上业务“野蛮发展”，业务驱动IT场景下带来的资产形态、资产数量、资产属性、资产状态动态多变，组织需要关注的数字资产类型复杂，除传统的互联网域名、业务系统外，微信公众号、小程序、APP、支付宝生活号、业务第三方生态合作系统已成为需要持续跟踪管理的组织新型数字资产攻击面，如何统一纳管，提升安全团队、运维管队管理效率，为整体安全运营提供有力支撑，助力业务开拓，成为互联网攻击面管理的第一必答题。

　　实战型导向已成为监管新趋势，如何抢在监管之前发现、闭环互联网侧风险事件?

　　当前证劵公司面临着多个行业主管单位的交叉监管，当前各监管力度趋向于实战型问题检查，影子资产、仿冒网站、高危漏洞、数据泄漏首当其冲成为其攻击暴露面扫描与通报的重点关注场景，安全团队需要构建常态化安全运营能力，建立高时效性的攻击面收敛响应能力。

　　敏感数据泄漏逐步强合规，但缺乏多源监测能力及运营能力。

　　证劵行业机构及用户数据资产由于其行业特殊性，成为攻击者重点关注对象，随着《数据安全法》、《个人信息保护法》等政策法规的实施推行，当前组织敏感数据泄露监测能力及排查收敛成为当前重点需要弥补的短板能力，一方面外部攻击形势日益严峻，攻击者持续挖掘证劵公司内部数据进而流入非法平台获利，如用户信息、交易信息等，另一方面内部员工、第三方合作商缺乏安全意识及有效管理，在工作中有意无意将业务系统核心代码上传至GitHub、Gitee等第三方代码托管平台，重要文档、文件共享至第三方网盘文库、文档共享平台，造成安全威胁。

解决方案