长亭云图（Cloud Atlas）：管理看不见的攻击面-安全客

你已经有10多款安全产品了，为什么还是会被攻击者入侵成功？

一个直击灵魂的问题。

攻击者在瞄准大型企业进行攻击的时候，他们会去寻找阻力最小的攻击路径，寻找那 70% 未受持续保护、未受持续监控的攻击面。

NIST关于攻击面的定义：
The set of points on the boundary of a system, a system element, or an environment[the assets] where an attacker can try to enter, cause an effect on, or extract data from, the system, system element, or environment.

另一个灵魂拷问随之而至：每一位企业的安全负责人，你清楚的知道企业拥有的95%以上的数字资产状况嘛？哪些在用，哪些已经停用，哪些应该被释放而一直留在线上。

业务的复杂性，导致可见性失控，看不见的风险

过去8年，长亭为上千家企业提供高质量的安全服务，参与经历了大量的渗透测试和攻防对抗类项目。如果以每次发现3个及以上高危漏洞作为单次渗透测试成功的标准，我们发现：过去多年长亭的渗透成功率一直维持在95%以上。

而在以往每年举行的国家大型攻防演练活动中，真正能做到守住（失分小于1000）的防守单位不足20%，且这些企业代表了国内安全防御水平的最高水准。

企业的IT环境在变得越来越复杂，线下、私有云、公有云、多个云……数据资产开始大量汇聚。而这种复杂性带来的并不是安全水平质的提升，反而给攻击者更多曲径通幽的路径。

看见风险的前提是点清资产，面对在失控边缘徘徊的复杂体系，多少企业能看见自己95%的资产？

Gartner判断，不到1%。

企业在逐渐失去对资产的可见和掌控：复杂IT环境、多类虚拟资产、快速业务更迭…盘根错节、千丝万缕的关联性，只要与被攻击目标的网络或业务存在关联，就会成为攻击路径中的一环，攻击面快速放大。

IT资产离散态，每个门落一把锁的安全防护现状

解决方法的现状是，沿袭传统单点防护思路，一个问题配一个安全工具，每个门上加一把锁，安全体系的复杂性已经超过业务复杂性。

大部分企业给自己绑了100条防护绳，也许防住了浮出海面的冰山一角，对于能不能防住真正的关联攻击，心里是没底的。事后抢险救火是最后一根防护链。

根据Forrester的数据显示，集合现有安全工具，其实仅能覆盖40%的攻击面。

一项权限的审批，一个配置的改变，一场人事的变动，一次版本的迭代……都意味着企业数字资产的变更发生，而每一次的变更都有可能带来风险。线下资产本来已经有修不完的漏洞，云上配置错误持续产生新的漏洞……

现有的以「单点阻断」「事后防御」为特征的安全工具很难持续感知到攻击面的变化。防守者视角出发的安全工具无法阻断真实的攻击路径。

了解攻击面，先了解攻击者

同样一幅画，每个人看到的重点不一样。

防守者视角：攻击者势必先扫描，针对性部署安全产品

高级攻击者：我进去肯定不会用扫的

大象放进冰箱需要三步，攻击者会从哪一步开始？

攻击在与时俱进，攻击策略的不确定性大提升。
当攻击不确定性 x 复杂的IT资产
求成功绕过企业防线的路径数量

无处不在的攻击路径

门上已经有了100把锁，是加一把还是换个防护思路？

数字化在重新定义的「资产」和「风险」。

每扇门一把锁，能否发现IT环境内的异常，绘制威胁地图？

可以，但是会留白。

艺术创作的留白，是想象空间。安全防护的留白，是留给攻击者的窗口期。

我们来看一下几类常见安全产品，在绘制攻击面时候的能力和局限：

如果我们以点、线、面来做比喻，

BAS攻击模拟、渗透测试、红蓝对抗等产品是单频的，纵深的点状发现；

VM漏洞扫描、Scanner扫描器则更关注具体的技术细节，缺少对于客户和行业的业务适配；

动态变化的攻击面，需要更有效的风险控制手段。

逻辑推演，体系对抗复杂

攻击面管理平台（ASM），Gartner在2020年首次提出，细分为外部攻击面管理（EASM）和专注内部的网络资产攻击面管理（CAASM）。

ASM的身上可以看到很多传统安全工具的影子：漏洞管理、黑白盒测试、扫描器、渗透测试……这些安全技术是ASM能够产生风险绘制能力的锚点，也可以理解为这一类安全产品的演进方向。

云图（Cloud Atlas）将单点的安全技术融合起来，从攻击者视角出发，通过资产的生命周期监控和对攻击的全链路刻画，构建了逻辑链路完整的管理体系，这也让其成为安全运营体系中不可或缺的一环。

开放的API端口，从各类Agent中搜集情报、联动数据综合分析、以安全服务释放产品能力…是ASM类产品的正确开启方式。

这个系统核心帮助客户解决三个问题：

1、资产与攻击面的探查

发现影子、未知IT资产、供应链第三方资产等，并进行攻击面分析与识别，并根据资产类型和重要程度进行打标管理；

2、探查并阻断真正的风险

基于大量渗透测试、攻击情报等积累的经验，从攻击者视角出发，梳理真实的攻击路径，找到能真正对业务造成影响的风险，并进行优先级排序，减少无效噪音，提升运维效率；

3、持续性变更感知

对于资产、攻击面的进行定期安全巡检，并通过和各类安全产品、网络设备联动，提升风险感知和处理力；

通过这类体系化、自动化攻击面管理动作，将安全工作从「低频」变为「高频」，从事后攻击阻断变为日常运营。

汇聚两大内功于一体的云图（Cloud Atlas）平台

不难发现，要能做出能真正帮客户解决问题的攻击面管理平台（ASM），需要高超的「综合能力」：

对攻击者、攻击思路、流程、特点、工具…有深入了解
对高体量、高复杂资产管理有成熟的方法论
实时更新的情报库
强大的集成能力
完善的安全服务作为支撑
…….

在Gartner 2022年发布的安全运营成熟度曲线中，内外攻击面管理技术（EASM+CAASM）均属于技术萌芽期，产品声量和关注度高，但切实可用的产品少。

顶尖白帽的作品云图（Cloud Atlas）

猪猪侠钻研这类自动化工具已久。

作为中国最著名的白帽子之一，他留下过许多江湖传说：

乌云（WooYun）第一黑客
曾四次漫游进知名互联网公司内网
发现和报告过中国几乎所有著名企业的系统漏洞
保障阿里云平台安全N年
国内最大云平台千万级资产安全
……

在他看来，攻击面管理也许是当下解决安全碎片化、效率低、防护差的最好答案。

9月，云图（Cloud Atlas）攻击面管理运营平台由长亭科技发布。将攻击面管理平台强大的可见性与来自国内最好的攻击者洞察力相结合，持续识别、分析和消除客户资产所面临的实际风险。

云图（Cloud Atlas）能力体系

云图（Cloud Atlas）核心依托构建在云端强大的数据中台能力和长亭成熟的安全服务团队，提供给客户五大核心能力：

资产发现与管理：复杂环境下企业资产发现和关联分析；
攻击面发现：集成强大的威胁情报，通过多样化扫描方式，覆盖更广攻击面；
持续性安全巡检：从攻击者视角出发，持续验证企业安全状况；
优先级排序：确保最高等级的威胁能第一时间被发现和处理；
风险告警与处理：通过自动化、灵活配置、自定义开发等功能，大幅提升企业风险管理效率。

聚合上下文，提升企业安全健康指数

医院里，内科重要，还是外科重要？

内科关注免疫力疾病，外科更多使用阻断性处理方法。

攻击面管理，是典型的提升免疫力为目的的安全工具，它提升的是企业的安全健康指数。

云图（Cloud Atlas）为企业增强了哪些能力，来提升免疫力呢？

1.看见的能力：ASM并不追求大而全，在攻击面一个切面，以攻击者视角抽丝剥茧；

2.量力而为的能力：个位数的安全团队，五位数的漏洞数量，修还是不修？哪些优先解决，ASM会根据业务逻辑匹配优先级；

3.自动化的能力：大部分企业中，目前为止的巡检基本靠人肉。

云上做安全，更需要攻击面管理

2018年，美国企业的上云率已经超过85%（国务院发展研究中心发布的《中国云计算产品发展白皮书》），仅仅两年后，其市场SaaS化渗透率也达到了73%。

也正是这一年，Gartner首次提出攻击面管理（Attack Surface Management）的概念，旨在以攻击者视角对企业数字资产进行全面发现和风险处置，被视为安全从被动防御向主动转变的开端。

大洋彼岸，中国数字化经济也在经历腾飞。2022年国内SaaS化市场规模达到538亿，混合云渗透率将在2024年达到70%。数据的孤岛被打破，IT环境在庞杂异构中越来越复杂，传统「外科式」的安全防御思想越加臃肿，企业需要能构建内部「免疫力」的持续性安全运营。

企业的安全运维专家可以在控制台，针对企业面临的风险定制开发安全巡检策略，借助系统的调度能力，针对性的筛选出想要监控资产的安全状态，持续巡检资产存在的高危漏洞、数据泄露、影子资产、供应链安全等风险。发现风险后并对风险的优先级进行排序，将最重要、紧急的风险即时对接安全工单系统，将漏洞自动分配给安全责任人或研发修复，实现全流程的资产、风险管控。

云图（Cloud Atlas）核心架构

在长亭独特的攻防基因和猪猪侠独特攻击者视角的加持之下，云图（Cloud Atlas）不仅仅是一个单一的产品，而是向一整套风险资产解决方案发展，这也带给了它独特的优势：

其一，攻击者视角的积累

从攻击者视角出发不是一句空话，它的背后必定是长期的数据和人才的积累。云图（Cloud Atlas）可以做到：

更广的风险覆盖：已覆盖22个大类、102个小类风险类型，支持近千个已知高危漏洞的PoC，包含网络安全、高危漏洞、应用程序安全、数据泄漏、商誉、供应链、影子资产、子公司等等场景下的风险；

更强大的漏洞扫描能力：对乌云社区8.8万漏洞、安全社区、CVE、OWASP、CNVD等漏洞库均进行分析适配，支持近千种漏洞的POC检测规则，在智能化弱口令检测、WEB2.0动态爬虫、Web指纹识别、端口服务识别等能力上均有极强优势和积累；

更快速的应急响应：长亭强大的白帽社区和技术生态，可以第一时间为漏洞管理系统提供情报和安全技术，实现0-day和安全时间的快速跟踪及覆盖。

其二，海量复杂场景下的资产识别能力

长亭数十年攻防经验中积累的大量DNS子域名穷举字典、域传送漏洞插件、第三方数据API接口等等，让资产发现的效果更加全面和准确；而拥有数年千万级资产管理经验的猪猪侠，深知企业在资产管理时必须要做的事情，大到资产分类分级、分组管理、关联分析，小到批量确认、手动添加…落地可用才能达成最好的效果。

其三，融合中体现价值

Forrester提出过一个观点：攻击面管理（ASM）的价值是在融合中体现的。

长亭目前已经有7款成熟的产品，形成了“攻、防、知、查、抓”的产品体系。

在联动体系中，ASM和扫描器搜集到的风险告警信息，通过ASM内置的VPT功能，把有优先级排序的漏洞信息提供给各类安全产品（Firewall、IPS、APT）、SOC中台、主机安全产品。与此同时，SOC中台把搜集的各类告警信息，分析编排，形成可自动化执行的剧本。在高度API化的产品中，标准接口非常容易实现系统之间的对接，提供给客户更加联动和灵活的解决方案。