2022年6月6-9日，被譽為安全行業(yè)“奧林匹克”的RSA Conference2022在舊金山召開，作為全球頂級的網(wǎng)絡(luò)安全大會，RSAC2022吸引全球網(wǎng)絡(luò)安全企業(yè)、專家、大咖共聚一堂，探討當(dāng)下熱門網(wǎng)絡(luò)安全技術(shù)理念，共同尋求抵御安全風(fēng)險的新解法。

近年來，網(wǎng)絡(luò)攻擊事件頻頻發(fā)生，其中黑客“炫技”已經(jīng)越來越少，取而代之的是作戰(zhàn)思維更加明確，趨利性更加明顯的專業(yè)化網(wǎng)絡(luò)攻擊組織，包括各種勒索軟件團伙，合作鏈條緊密的地下黑產(chǎn)等等。

在這樣的情況下，以攻擊者視角對企業(yè)數(shù)字資產(chǎn)攻擊面進行檢測發(fā)現(xiàn)和持續(xù)監(jiān)控的網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）已經(jīng)受到越來越多人的認可。

而如何通過CAASM幫助企業(yè)全面盤點網(wǎng)絡(luò)資產(chǎn)，不斷提高資產(chǎn)可見性和云配置，減少安全漏洞風(fēng)險成為RSAC2022的焦點之一。為了更好地了解CAASM是如何減少攻擊面，會后，security boulevard記者邀請JupiterOne創(chuàng)始人兼首席執(zhí)行官Erkang Zheng進行分享。

協(xié)調(diào)已經(jīng)成為新的難題 

眾所周知，漏洞修復(fù)工作需要多部門共同完成，然而企業(yè)內(nèi)部負責(zé)特定網(wǎng)絡(luò)資產(chǎn)的技術(shù)和團隊傾向于各自為政，漏洞管理人員的職責(zé)不明確，直接導(dǎo)致協(xié)調(diào)組織中的人員、策略和基礎(chǔ)設(shè)施已經(jīng)成為一項無法及時完成的工作，也讓安全漏洞管理淪為紙上談兵。

隨著企業(yè)數(shù)字化轉(zhuǎn)型、加速上云和IoT、5G、云原生等技術(shù)的應(yīng)用，更多的業(yè)務(wù)轉(zhuǎn)至線上，一方面使得內(nèi)部數(shù)字資產(chǎn)結(jié)構(gòu)和復(fù)雜性迅速增加，另一方面也讓暴露在互聯(lián)網(wǎng)上的攻擊面呈指數(shù)級拓展，安全漏洞數(shù)量成倍增加，最終讓本就艱難的安全漏洞修復(fù)朝著更加糟糕的方向發(fā)展。

倘若無法有效解決這一問題，那么企業(yè)數(shù)字化轉(zhuǎn)型將面臨停滯不前的風(fēng)險。此時，CAASM應(yīng)運而生。

作為是一種新興技術(shù)，CAASM傾向于以智能化的手段更高效的識別組織內(nèi)部的資產(chǎn)和漏洞。2021年7月，Gartner發(fā)布《2021 安全運營技術(shù)成熟度曲線》，首次提出CAASM概念，并指出“它使組織能夠通過API與現(xiàn)有工具的集成、對合并后的數(shù)據(jù)進行查詢、識別安全控制中的漏洞和差距的范圍，以及修復(fù)問題，來查看所有資產(chǎn)的風(fēng)險?！?/p>

換句話說，CAASM通過利用API可以讓安全團隊全面、快速了解IT基礎(chǔ)架構(gòu)的所有組件，無論它們是在本地還是在私有云、公共云或混合云中。在此基礎(chǔ)上，安全團隊可以大規(guī)模實施細粒度策略，全面提升各個組織的安全性，且不會對敏捷性有任何影響。

Erkang Zheng表示，這在大規(guī)模分布、快速變化的操作環(huán)境中實現(xiàn)并非一件容易的事情，因為安全團隊既要盡可能地直接防止網(wǎng)絡(luò)攻擊，還要持續(xù)監(jiān)控資產(chǎn)所有者，防止出現(xiàn)違規(guī)操作，并在發(fā)生安全事件時快速進行安全響應(yīng)。

破除資產(chǎn)孤島效應(yīng) 

采訪中，Erkang Zheng表示，我們每個人小時候都玩過“連線畫圖”的游戲，讓每個人將紙上的那些點全部連起來，就可以得到相同的答案。回到網(wǎng)絡(luò)安全領(lǐng)域，如果那些點都特別清楚，目前云托管、數(shù)據(jù)分析等技術(shù)都可以隨時智能地、大規(guī)模找出網(wǎng)絡(luò)安全問題，并得到一個可行的答案。

但事實并非如此，上述操作聽起來似乎很簡單，執(zhí)行起來卻困難重重。

首先是存在底層技術(shù)障礙，企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件不可能來自同一個供應(yīng)商，大多時候供應(yīng)商數(shù)量十分龐大，且每個供應(yīng)商都有自己的技術(shù)和標準，彼此之間無法互通。其次，企業(yè)內(nèi)部各個系統(tǒng)之間數(shù)據(jù)無法自由流通，完整的業(yè)務(wù)鏈上孤島效應(yīng)十分明顯。而這些問題導(dǎo)致那些“點”最終無法連成圖案。

因此，安全團隊迫切需要一個新的解決方案，可以有效規(guī)范、整合企業(yè)網(wǎng)絡(luò)資產(chǎn)信息，并快速查詢、發(fā)現(xiàn)這些信息，包括有哪些資產(chǎn)，具體是什么，誰可以訪問它等等。此時，安全團隊就可以像“連線畫圖”那樣直接、簡單地提出問題，解決問題。

事實上，能否清楚掌握企業(yè)內(nèi)部網(wǎng)絡(luò)資產(chǎn)是安全體系的重要基礎(chǔ)，也是安全團隊能否改變傳統(tǒng)工作流程，并跟上快速變化的數(shù)字化轉(zhuǎn)型的關(guān)鍵點。Erkang Zheng表認為，安全團隊并不僅僅是企業(yè)的看門人，還必須是一名審計者和建議者，而CAASM也不僅僅是一個數(shù)據(jù)平臺，還是一個分析平臺，一個協(xié)作平臺。

縮小攻擊面是企業(yè)的當(dāng)務(wù)之急

隨著零日漏洞披露、利用的時間間隔越來越短，零日攻擊正成為多數(shù)企業(yè)的災(zāi)難，通過內(nèi)部協(xié)作快速消除已披露的零日漏洞，已經(jīng)成為安全團隊的必備能力之一。

未來，隨著CAASM技術(shù)的廣泛應(yīng)用，將進一步縮短漏洞的修復(fù)時間。作為新安全架構(gòu)的一部分，CAASM可為漏洞修復(fù)提供支撐能力，助力安全團隊系統(tǒng)地發(fā)現(xiàn)和修復(fù)安全漏洞，甚至是主動尋找新的安全漏洞。

Erkang Zheng舉了一個例子。

假設(shè)企業(yè)擁有一個內(nèi)部資源，其本身并沒有向公眾開放，但是這里面有一個直接暴露在互聯(lián)網(wǎng)上的工作負載，且具有為其提供 API 級別訪問權(quán)限的身份驗證策略，此時，這個內(nèi)部資源毫無疑問已經(jīng)暴露在互聯(lián)網(wǎng)上。

這恰恰是安全團隊極其容易忽略的點，從Amazon Web Services 租用的云資源在實際混合和匹配中產(chǎn)生了新的安全漏洞。此時，這個被忽視的新漏洞將會成為企業(yè)安全的嚴重威脅。類似的案例還有很多，這個例子也解釋了為何數(shù)字化之后，企業(yè)暴露的攻擊面如此之多。

因此，企業(yè)迫切需要一個全新的解決方法，可以大規(guī)模地、及時地找到企業(yè)內(nèi)部隱藏的漏洞并進行修復(fù)。

CAASM或許可以解決這一問題。而快速消除暴露的攻擊面也是企業(yè)安全團隊目前的首要任務(wù)。畢竟，暴露的攻擊面越少，企業(yè)就越安全。