华云安·ASM技术篇：情报赋能攻击面管理

　　攻击面管理关键目的是保护资产和资产上存储、传输的数据。而攻击面管理是风险管理的前提。唯有梳理清楚自有网络中所有资产及资产相关攻击面数据，才能充分评估网络风险。

　　在攻击面管理过程中，利用外部情报(如漏洞情报、POC情报、供应链情报等)能够实时信息快速定位影响本地资产攻击面的关键风险点，结合业务系统资产重要等级，给出更为有效的风险评估分析报告和响应处置方案，进而提升网络安全健壮性，避免网络安全事件和意外事件的发生。

　　1 通过情报赋能攻击面管理

　　随着情报越来越丰富以及准确度的不断提升，情报被运用于攻击面管理的场景也越来越多。在实际应用场景中，通过情报联动所有攻击面管理能力，为攻击面管理进行赋能，从而实现能力互补。

　　企业将是情报与攻击面管理高效联动、紧密结合的最终受益者。情报驱动并以外部视角梳理企业的暴露面、攻击面的信息，通过主动发现、被动测绘、周期扫描，持续探测，帮助企业实现业务风险的及时监测与防控。企业通过情报订阅服务，有助于增强自身建设整体威胁情报能力，有助于更好得进行攻击面管理。

　　做好外部攻击面管理通过威胁情报赋能，可以提供：

　　基础阻断能力

　　依据情报提供结果，结合攻击面管理数据，进行资产画像，可以初步进行一些资产或流量的阻断工作。

　　威胁分析能力

　　以IP情报为例，既可以提供访问的广(访问量大)度、热(单次访问多)度，还可以提供IP上开放的端口服务。比方说这个域名曾经在历史上解析过哪些域名，以及这些IP的互联网态势和它的基础信息。除了这些，如果IP和APT组织有关联，也可以获取家族团伙的信息，以及其部分历史攻击行为为客户提供参考。

　　供应链分析能力

　　攻击面主要包括物理攻击面、数字攻击面、社会工程攻击面、供应链攻击面等，尤其供应链和其他第三方(尤其是能够访问组织数字资产或数据的第三方)也会给企业带来重大的网络风险。威胁参与者可以利用这些供应链系统中的安全问题，通过“供应链攻击”方式攻击客户组织。

　　定制情报能力

　　对于客户来说，结合事件的定制情报触达感更强。推送客户关心的最新最热的安全信息和有价值信息，并协助他们提前进行预判;与此同时，如果客户授权，也可以给客户提供更多攻击面信息，比如客户资产存在哪些潜在危险，哪些在互联网上暴露的信息、端口存在被利用、被攻击的可能性;同时帮助客户分析企业是否存在信息泄露的风险。另外还有一些黑灰产、仿冒APP、仿冒网站等情报，也是客户比较关注的。

　　2 借助情报发现攻击面关键风险点

　　华云安关注全球安全情报，与多方广泛合作，建立起了VTI情报系统，并成为华云安攻击面管理的重要情报来源。华云安攻击面管理方案可以从华云安情报系统获取漏洞披露情报，结合资产信息，精确分析漏洞对网络的影响，并对可能存在漏洞的资产进行预警。

　　积极防患于未然，通过结合威胁情报和资产的大数据分析发现最易受到攻击的关键攻击面风险点。优先修补关键漏洞，可以在数以千计的漏洞管理中降低管控难度，进而最大化降低通过攻击面受到漏洞攻击的概率。

借助情报深入了解各个方向

　　3 构建基于情报的快速应急响应机制

　　在网络攻防之战中，通过情报可以最大程度减小攻击面暴露时间窗，同时驱动、提高企业应急响应能力。比如：

　　1)2021年9月Conti勒索软件也开始针对Microsoft Exchange服务器，利用ProxyShell漏洞(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)破坏企业资产等;

　　2)2021年12月被全球广泛应用的Apache Log4j组件曝出“核弹级”的超危漏洞，成功利用漏洞的攻击者能够在目标服务器上远程执行恶意代码。

　　针对以上漏洞利用事件，华云安情报平台在漏洞披露的第一时间将预警推送给客户，并提供可落地的检测手段和解决方案，助力客户建立健全安全漏洞的应急响应机制，第一时间发现漏洞、处置漏洞，很大程度上保护企业资产免遭损失。

华云安漏洞情报平台

　　作为国内首个推出完整的攻击者视角的安全运营一体化解决方案的安全企业，华云安已建立了动态的应急响应机制。通过华云安漏洞情报中心实时跟踪热点漏洞事件，在华云安攻击面管理平台获取情报后直接定位到客户网络受影响资产范围，给出漏洞预警，帮助安全运营人员尽快完成确认、分析、修复工作，并确认修复效果，构造攻击面管理和风险管理完整响应闭环。

　　华云安攻击面管理平台中，威胁情报被应用于漏洞快速响应、漏洞风险分析和优先级分析、漏洞修补等各环节，帮助安全运营人员动态识别企业信息系统中的关键风险，优先处理关键漏洞，在数以千计的漏洞管理中降低管控治理难度，从而达到对安全风险控制未雨绸缪。情报赋能可让攻击面管理和风险管理变得敏捷高效。