一、引言
随着云计算技术的不断进步,传统的网站安全监管手段在云环境下显得捉襟见肘。以往,我们主要依赖Web应用安全扫描工具,定期地对网站进行安全扫描与评估,然后根据评估结果来加强安全防护和进行风险管理。然而,这种安全检查方式本质上是一种静态的、间断性的工作,它只能反映网站在某一特定时期的安全状况,而无法实现风险的持续监测。
以网站挂马和网站篡改等突发事件为例,这些事件往往具有突发性和短暂性的特点。一旦发生,它们不仅会对企业的形象造成严重影响,还可能对信息网络乃至核心业务造成无法挽回的损失。然而,传统的每周或每月一次的安全检查方式,显然无法在第一时间内发现这些已经产生的严重风险事件,更无法及时作出有效的处理。
因此,我们需要寻找一种更为高效、实时的网站安全监管方式,以适应云环境下日益复杂多变的安全挑战。通过引入先进的实时监测技术和智能分析系统,我们可以实现对网站安全的持续监控和风险评估,从而及时发现并应对各种潜在的安全风险,确保企业信息网络的稳定运行和业务的持续发展。
二、云环境下对云资产风险监测的挑战
挑战一:全局风险态势不全
伴随着云端业务、远程办公需求增加,分支机构扩张,以及合作伙伴网络蓬勃发展。从黑客的角度来看,攻击者的策略往往不是直接瞄准企业最为安全的区域,而是通过审视企业相关联的互联网资产,巧妙地寻找并利用最脆弱的环节进行渗透。
在这一背景下,互联网边界资产的监测与检测能力显得至关重要。许多边界被攻破正是由于业务遗漏导致的资产漏洞,国家级攻防演练团队总能在供应商网络和资产中找到新的渗透点,这也使得企业面临着需要解决已知资产漏洞和未知资产发现问题的挑战。
此外,从模拟攻击者的视角来看,目前的外部漏洞扫描和渗透测试很可能仅覆盖了总攻击面的 60%。外部网络风险态势包括安全漏洞的侦测,但也必须考虑到高危端口和服务暴露、远程可访问的 IT 运维管控服务、SSL 证书的失效、配置错误的应用程序接口以及数据库,以及可能泄漏在外部网络中的密钥凭证和代码等潜在问题。
挑战二:风险分析及响应能力不足
每当涌现新的安全漏洞,恶意攻击者会立即在互联网上展开扫描,锁定脆弱系统的目标。而网络防御者则必须以分秒必争的态度迅速修补漏洞,并采取其他缓解措施来强化网络的保护。当下,众多机构需要耗费至少 40 个小时,甚至更长时间才能审视其外部攻击面的潜在风险。若企业期望第一时间警觉并深入分析全面高危漏洞爆发情况,以及明确影响范围,外部攻击面检测的平均响应时长将成为安全运营体系中至关重要的指标。
在众多风险预警信息涌入的情景中,单纯根据每一条警示进行排查分析已难以维持企业安全运营体系的有效运转。有必要进一步从攻击者角度出发,基于业务系统优先级,结合攻击路径可达性、利用条件以及修复复杂度等多方位因素综合评估风险,以协助安全运营团队更有针对性地消除潜在威胁。
挑战三:网络安全攻防不对等
随着 IT 技术的飞速发展以及互联网的广泛普及,各级政府机构、组织、企事业单位都分别建立了网络信息系统。与此同时各种木马、0day 漏洞,以及类似 APT 攻击这种新型的攻击手段也日渐增多,信息安全攻防对抗愈演愈烈,而防总是慢于攻,攻防并不对等。一方面,漏洞被发现与被解决之间的时间差造成了各种各样安全事件的爆发和延续,传统厂家的安全设备虽然能解决一些常规的旧问题,但在面对新危机时候,显得无力。另一方面,服务已经变得越来越重要,各种上级检查刺激了用户对服务的投入,而由于用户对服务的认知程度不够高,安全服务人才匮乏、对服务人员的核算标准较低、利润不能最大化等问题使得厂家和用户在服务上投入并不能跟上脚步。
新型的互联网众测机构的出现,以白帽子集中检测的方式发现用户的安全问题,在一定程度上弥补了传统安全厂家的防御不足,但用户对众测机构的不够信任和众测人员自身的素质不统一,并不能让更多用户对众测埋单。
从早期的设备防御、到安全服务、再到众测,安全防御的脚步一直在前进,然而并没有追赶上黑客的步伐,防御依旧被动。
挑战四:网站合规运营能力缺失
2022 年 9 月 14 日,国家互联网信息办公室发布《关于修改<中华人民共和国网络安全法>的决定(征求意见稿)》,对于违反网络运行安全、用户个人信息保护、关键信息基础设施安全保护、网络信息安全的行为加大处罚力度。
这些政策的颁布与实施,表明了我国对互联网内容监测管理工作不断重视与强化。在政策法规的要求和行业发展的推动之下,当前各行业,尤其是政府机关、新闻媒体、金融机构、央国企等影响重大的领域开始加强对网站和新媒体平台发布内容的监控审核,从源头上确保网络传播内容的准确性和规范性。
三、构建以攻击面管理为理念构建云资产风险监测体系
1、何为攻击面管理
攻击面管理是对网络探针、Web 爬虫、威胁情报、指纹识别、信息探测、漏洞检测、漏洞管理等渗透中涉及的探测技术进行了全面整合。以攻击者视角出发审视资产,从而有效发现可能存在的网络安全暴露面,对网络安全暴露面做到“先于攻击者发现风险、先于攻击前封堵暴露面”。
攻击面管理聚焦资产全生命周期安全管理,包括资产梳理、登记和上下线管理,强化工单与流程(登记、变更、资源分配、审核、通报),借助资产测绘等技术手段,建立风险治理机制和形成联动管控模式。清晰完整的资产台账、分类分级、边界和责任、资产多维属性关联分析、风险管理、资产全景态势可视化分析,满足不同角色使用的(高层领导、信息化、安全管理、安全分析、安全运营、业务部门)的统一视角,让资产数据可管理、可运营。资产测绘是基础手段,全面且清晰的资产台账,是安全建设的必答题,也是迈向高水平安全运营的必经之路。
2、面对庞大的监测数据如何快速自检
传统的数据处理方式在面对海量的安全数据时显得力不从心,难以应对日益复杂的安全挑战。为此,德迅云安全凭借其自主研发并经数百万用户验证的先进算法,成功推出了新一代安全检测方法——“AI+安全”。这种方法通过引入人工智能和机器学习技术,实现了对网站安全事件及安全漏洞的主动监测和深入分析,从而能够更准确地发现网站存在的安全问题。
借助机器学习建模技术,能够及时发现异常行为,并实时探测分析网站安全事件。这种实时性的优势使得企业能够在第一时间发现潜在的安全风险,并迅速采取相应的应对措施,有效保护企业的信息资产和核心业务免受损失。
“AI+安全”不仅提升了安全检测的准确性和效率,还为企业提供了一种全新的安全监管模式。通过持续学习和优化算法模型,能够不断适应新的安全威胁和攻击手段,确保企业网站的安全防护始终保持在行业前沿。
3、引入ASM 理念的下一代风险感知系统
ASM 理念的下一代风险感知系统致力于全面保障企事业单位的网络资产安全,为网站、主机、服务、数据等提供全天候、多维度的严密监测。该系统能够迅速识别并预警网络安全风险、合规风险、运维风险以及数据泄露风险,从而大幅提升使用单位的网络应急响应能力。
从攻击者的角度出发,能够深入洞察多维度的安全与合规隐患,自动化地协助使用单位排查并封堵互联网暴露面,进而提升整体网络安全建设水平。系统特别注重“可观测性”与“可运营性”,确保资产的全面性、风险以及响应处置均可量化评估,为用户提供了清晰、准确的安全态势感知。
4、德迅云眼(网站安全监测)
德迅云眼(网站安全监测)以ASM 理念的下一代风险感知系统为基础,在攻击面管理的核心思想下结合“安全+AI”系统,帮助使用单位从攻击者的角度审视多维度的安全和合规隐患。有效协助实体检测互联网暴露面,并迅速封堵可能存在的漏洞点。
此外,德迅云眼系统整合了 Web2.0 的感知技术以及基于 AI 的分析技术,使得实体能够更全面地审视网络生态,识别风险并作出适当应对。通过对攻击面的管理和监测,企业和机构可以更具前瞻性地规划安全策略,强化网络保障措施,确保信息资产和数据受到充分的保护。
- 资产探测能力:整体梳理用户资产,发现企业资产暴露面并指导用户进行封堵加固。
- 漏洞风险监测能力:支持 Web 漏洞、主机漏洞和弱口令漏洞的监测,漏洞库已经超过 20 万条。
- 运维风险监测能力:通过 100+全球分布的监测节点对云资产的可用性及健康度进行监测,支持 HTTP、TCP、UDP、WebSocket 和DNS 服务的监测。
- 数据泄漏监测能力:可及时发现企业相关数据泄露、从而降低由于代码泄露导致的一系列安全风险。
- 合规风险监测能力:以国内合规政策为方向,支持网站篡改监测、域名合规监测、网站内容合规监测、暗链/外链监测、挂马监测、个人敏感数据监测和文本纠错。
安全架构
云监测系统架构分为三层一列,三层分别为应用层、处理层、感知层,一列为各类风险数据库。
- 应用层:应用层向用户提供具体风险监测功能,包括攻击面管理(包含漏洞风险监测能力)、资产管理、合规&运维监测、风险管理、态势分析等能力
- 处理层:处理层负责拉通上层应用层和下层感知层,主要起到监测任务的调度下发和结果收集。
- 感知层:感知层接受处理层下发的任务,执行具体感知任务,再将任务结果回传至处理层。
331
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
