2022中国金融行业攻击面管理白皮书

2022中国金融行业 攻击面管理白皮书 ©北京数字世界咨询有限公司2023.1 2022中国金融行业 攻击面管理白皮书 ©北京数字世界咨询有限公司2023.1 2020年，数世咨询首创网络安全三元论，后进化为“数字安全三元论”，该理论由信息技术、网络攻防、业务应用三个支点与数据安全这个核心构成，其中： ●信息技术是数字安全工作开展的基础，不清楚资产，何谈保护？没有网络，就没有网络安全； ●网络安全的伴生、服务和对抗本质，决定了它将永远的场景化、碎片化和动态化； ●业务应用既是信息技术与网络攻防的成本来源，也是两者最终的价值所在。 数字世界以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。 数字安全以网络安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和国家社会的和谐稳定。 数字世界，安全共生！ 数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 主笔分析师刘宸宇 首席分析师李少鹏 分析团队：数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。 任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目 录 前言1 关键发现3 1定义及描述4 1.1攻击暴露面4 1.2攻击面管理4 1.3EASM与CAASM5 1.4与现有安全解决方案的区别5 2金融行业攻击面管理需求现状分析8 2.1安全强合规，但缺少可落地的指导细则8 2.2金融机构安全团队往往面聊多个监管方的扫描与通报 …………… 8 2.3攻击面管理的建设与运营，仍然需要事件驱动和推动 …………… 9 2.4业务变化快，更注重资产生命周期的多标签动态管理 …………… 9 2.5 业务属性差异大，要完全实现“同业参考”是一个伪命题……10 2.6 响应时效要求高，需要兼顾可观测性与安全有效性10 2.7 攻击面收敛难，需要专业技术与服务意识相结合11 2.8 共同成长，金融机构与安全厂商形成攻击面管理的共生互助关系…12 3行业用户场景13 目 录 3.1分支机构资产纳管13 3.2实网攻防演练13 3.3数据泄露溯源取证14 3.4安全运营基础设施14 3.5后疫情时代的攻击面管理15 4关键能力16 4.1攻击暴露面发现能力16 4.1.1外部信息攻击面覆盖16 4.1.2网络资产攻击面覆盖17 4.1.3脆弱性风险评估19 4.2攻击面数据融合能力21 4.2.1多源资产数据接入21 4.2.2数据融合与分析22 4.3攻击面管理平台能力22 4.3.1基于业务视角的资产属性22 4.3.2可观测性23 4.3.3资产数据输出24 4.4攻击面专项收敛能力25 4.4.1互联网风险资产快速定位与下线25 4.4.2外部信息攻击面收敛26 目 录 4.4.3办公网资产整体收敛26 4.5能力建设建议：阶梯式建设27 5代表企业28 5.1Mandiant28 5.2SevcoSecurity29 5.3魔方安全31 6未来展望34 6.1 攻击面管理作为行业共识，将成为安全运营必选项34 6.2 金融行业攻击面管理将向“大集中”靠拢34 6.3 攻击面管理方案的交付将以“平台+服务”结合为主要方式…34 6.4 对攻击暴露面的实时可观测性准确度会越来越高35 •2022中国金融行业攻击面管理白皮书• 前言 金融行业具有关键基础设施属性，是国家与社会生活正常运转的基础与核心。金融行业具有领先的科技属性，AI、区块链、云计算、大数据、5G等新技术都能在金融行业中找到优秀的最佳实践。同时，金融行业还具有极高的安全属性，从信息安全到网络安全再到数据安全，金融行业的安全需求始终以“强合规、高要求”走在各行业前列，由这些新需求带来的供给侧安全技术创新，也具有很强的示范性与可复制性。 在关基属性、科技属性、安全属性等三个属性背景下，金融行业安全建设与运营，最首要场景需求是梳理潜在的攻击暴露面并有效缩小这个攻击面，使其收敛至可视、可查、可控的程度。这成为了金融行业中安全从业者要面对的第一个，也是最基本的一个问题。 面对这一需求，供给侧情况如何呢？我们先看国外，继“网络空间测绘”、“资产管理”等概念之后，Gartner于2021、2022连续两年在HypeCycleforSecurityOperations中提出了CAASM（网络资产攻击面管理），开启了“攻击面管理”时代。我们用以色列安全公司Axonius为例，作为一家专门从事网络安全资产管理的安全企业，它夺得了2019年RSAC创新沙盒的冠军，在夺冠当年，它的slogan是这样说的： Youcan’tsecurewhatyoucan’tsee. 三年后，它则明确提出了: Fromassetsmanagementtoassetsintelligence:crossingtheCAASM 此为一证。国内的安全供应商也是如此，无论较早成立的以“资产测绘” 或“资产安全管理”为主要技术路线的企业，还是近两年如雨后春笋般新成立的定位“攻击面管理“的初创团队，都在积极向攻击面管理ASM这个赛道靠拢。 然而与国外环境不同的是，国内金融行业虽然相比其他行业已经大多设立了首席安全官CSO或有专门的安全团队，但话语权普遍不高。近年来国内安全市场很大一部分驱动力，来自于监管机构的合规要求和逐渐常态化的实网攻防演练，导致在应对潜在的攻击暴露面时，有很多不同于国外的“独特”管理手段，例如，发现风险资产后收敛的难度更大，常常需要借助安全重保与攻防演练的机会，对其进行收敛。 综上所述，数世咨询认为在突出的现实需求与供给能力之间，始终缺少一个以行业用户访谈为基础，以金融行业为代表的“攻击面管理”报告对其做出梳理与阐述。鉴于此，我们协同国内攻击面管理领域安全厂商魔方安全对银行、证券、基金、资管及互联网金融等数几十家金融行业典型客户开展了为期一个多月的调研工作，并在保护用户隐私不泄露任何调研原始数据的基础上，将调研成果整理成为各位读者看到的《2022中国金融行业攻击面管理白皮书》。 报告同时还收录了该领域具有代表性的一些国际、国内能力企业，供各位读者参考。鉴于时间紧迫，调研对象样本有限，报告中难免有遗漏、偏颇之处，请各位读者不吝指正。 •2022中国金融行业攻击面管理白皮书• 关键发现 ●金融行业安全强合规，但与“攻击面管理”直接相关的合规要求始终缺少可落地的指导细则。 ●金融行业攻击面管理“同业参考”是一个伪命题。 ●金融行业业务变化快，攻击面管理更加注重资产生命周期的多标签动态管理。 ●金融行业的收敛响应时效要求更高，攻击面管理平台应具备较强的可观测（可视、可查、可控、可度量）能力。 ●金融行业攻击面的收敛效果主要依赖于资产数据的完整性、可观测性，以及与漏洞等脆弱性情报的关联性，这些也都同时与机构的安全策略管理与安全有效性验证存在正相关。 ●攻击面管理作为行业共识，将成为安全运营必选项。 ●金融行业攻击面管理将向“大集中”靠拢。 ●金融行业攻击面管理方案的交付形态，以“平台+服务”相结合的方式为主。 1定义及描述 1.1攻击暴露面 本报告中的“攻击暴露面”指潜在攻击者对金融行业用户机构开展网络安全攻击时可能利用的所有数字资产、外部信息、脆弱性风险等数据的集合，称为该用户机构的攻击暴露面。 资产的定义：首先明确网络空间资产的定义，这里的资产是指赛博空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体对象包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等。概括来说，只要是可操作的对象，不管是实体还是属性。都可以称之为“网络空间资产”。 图例1：常见攻击暴露面数据纬度（本图例由魔方安全提供） 1.2攻击面管理 如无特别说明，本报告中的“攻击面管理”特指金融行业用户依托攻击面管理平台，结合安全运营服务，对机构自身及下属分支机构的攻击暴露面进行 •2022中国金融行业攻击面管理白皮书• 发现、判别、确认，并协调内、外部第三方对攻击面进行持续收敛的解决方案。 图例2：金融行业攻击面管理示意简图 1.3EASM与CAASM 攻击面管理分为外部攻击面（ExternalAttackSurfaceManagement，缩写为EASM）和网络资产攻击面（CyberAssetAttackSurfaceManagement，缩写为CAASM）。EASM强调外部攻击者视角，针对暴露在公网的资产（包括互联网、云、物联网、智慧城市等环境下的资产与风险），主要通过黑客探测的手法与情报来进行分析。CAASM则强调内外部全局视角，通过API与其他系统集成的方式来解决持续的资产可见性和漏洞风险。 1.4与现有安全解决方案的区别 图例3：与现有解决方案的区别 攻击面管理与传统漏洞扫描及渗透测试服务的对比 漏洞扫描和漏洞管理是网络安全运营工作的基础，从防御者视角出发，聚焦现有的IP资产台账，进行常规的巡检与通报。但金融行业的业务具有多样复杂、快速迭代的属性，与之相伴的是企业的网络边界变得模糊，大量开源组件被广泛应用，并衍生出App、小程序和API等数字资产新形态，这些变化让安全管理员遭遇巨大的挑战，传统的漏扫工具和专项渗透测试均不能很好地应对，从而出现更多的影子资产（ShadowIT）。 漏洞扫描类产品会根据CVSS评分体系对漏洞进行风险评级，方便安全管理员开展收敛工作。但对攻击者而言，更关注能被有效利用的价值漏洞，这种视角差、信息差令安全管理员的精力无法投放到更有价值的工作当中。 综上所述，快照式、长间歇的工作方式无法满足数字化业务和资产不断变化的要求。相对传统的渗透测试等安全服务手段，攻击面管理在广度、频度和数据驱动响应与运营方面的实践更优，也避免了高度依赖于人而导致的产出质量不稳定、资源投入大等问题。 攻击面管理与资产测绘及资产安全管理的区别 “网络空间测绘”的定义：针对赛博空间中的数字化资产，通过扫描探测、流量监听、主机代理、特征匹配等方式，动态发现、汇集资产数据，并进行关联分析与展现，以快速感知安全风险，把握安全态势，从而辅助用户进行指挥决策，支撑预测、保护、检测、响应等安全体系的能力，即为网络空间资产测绘(CAM)。测绘是一种技术手段，用于获取空间的数据实体，基本面向IP对象，端口与服务。 对比网络空间测绘，资产安全管理更进一步：更聚焦资产全生命周期安全管理，包括资产梳理、登记和上下线管理，强化工单与流程（登记、变更、资源分配、审核、通报），借助资产测绘等技术手段，建立风险治理机制和形成联动管控模式。清晰完整的资产台账、分类分级、边界和责任、资产多维属性 •2022中国金融行业攻击面管理白皮书• 关联分析、风险管理、资产全景态势可视化分析，满足不同角色使用的（高层领导、信息化、安全管理、安全分析、安全运营、业务部门）的统一视角，让资产数据可管理、可运营。资产测绘是基础手段，全面且清晰的资产台账，是安全建设的必答题，也是迈向高水平安全运营的必经之路。 攻击面管理聚焦在攻击者视角，是一种比网络空间测绘和资产安全管理更高维的资产安全管理的方法，融入了更多威胁因素，以保护组织数字资产安全为出发点，聚焦在攻击者视角去审视网络空间内不同形态种类的资产所组成的攻击暴露面，同时特别强调“可观测性”、“可运营”，这意味着资产的全面性可度量、风险可度量、响应处置可度量。 2金融行业攻击面管理需求现状分析 在调研访谈中，我们与多位金融行业安全团队负责人进行了沟通，梳理出金融行业攻击面管理需求现状的以下八大特点： 2.1安全强合规，但缺