3月23日-24日,INSEC WORLD世界信息安全大会在西安举办。大会以“聚焦安全 打造多元新格局”为主题,围绕实战性安全技术以及企业安全架构体系建设、安全运营、安全创新及实践经验等热点问题展开了40余场高级别主题演讲。

华云安安全产品专家李书杰应邀出席并以“基于主动防御思想的攻击面管理实践”为题进行分享,为数字时代新常态下的安全运营提供攻击面管理方面的创新思路与实践参考。

对抗型防御是下一代安全防御体系的演进方向

过去三年,新冠疫情的全球蔓延对世界经济运行、全球治理体系产生重大冲击和影响,促进了信息化、网络化向数字化、智能化转型升级:在线数字用户、数字资产成爆发式增长,其中,在线办公用户已达4.69亿,同比增长35.7%;在线医疗用户2.98亿,增长38%;全球移动通信联盟预计,到2025年,全球物联网终端资产可达250亿。

其次,近年来国内外实战化攻防演练形成了跨国家、跨领域、跨部门以及多方参与的一体化模式,推动了网络安全从建设到运营的转变。在实战攻防的大趋势下,被动防御、主动防御已成为一种安全建设手段,而进攻反制、以攻促防成为下一代安全防御体系建设方向。

安全的本质是对抗,我们要比攻击者更快一步

在新常态下,大部分企业在安全建设中投入巨大,但在实战攻防面前却不堪一击,其原因在于数字化转型导致的IT资产、数字资产多而复杂;新型漏洞多样化;全方位安全建设24小时防守,不如攻击者一次单点突破;防御体系存在安全盲区,安全建设有效性存疑。

为应对新常态的安全挑战,我们需要比攻击者更快一步,像攻击者一样思考,去监测完整网络攻击面,包括内部和外部,供应链、云资产等,自动化梳理重要弱点,对漏洞进行优先级分析,并采用自动化技术和攻击模拟技术,以攻击者视角,持续不断的检验现有安全机制的有效性,获取更快响应速度。

基于以上诉求,攻击面管理技术应运而生,其中,外部攻击面管理(EASM)以攻击者视角监测暴露在互联网上的未知及已知资产、未经授权就能访问和利用的风险总和;网络资产攻击面管理(CAASM)以防守方视角,收录EASM信息,侧重网络资产内部视角的风险管理,实现资产可视化、漏洞修复、跟踪、数据共享及自定义告警等;而渗透与攻击模拟(BAS)则是一种持续验证安全防御体系有效性的自动化手段,通过模拟“攻击”,识别重要资产,进而进行风险评估、修复措施排序。以上三种技术组合便是符合本土化的天然攻击面管理技术框架体系。

华云安以攻击者�ent('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })(); $(document).ready(function(){ $(".lmms").click(function(){ $(".zqlist").show(); }) $(".zqclose span").click(function(){ $(".zqlist").hide(); }) //批量更换地址 $("img").each(function(){ var hrefs = $(this).attr("src"); if(hrefs.indexOf("www.soft.erobots.site")>0){ var src = hrefs.replace("http://www.soft.erobots.site","http://cs.ibenxi.com"); $(this).attr("src",src); console.log(src); console.log("包含了"); } }) })