1、李铭睿李铭睿信息安全顾问如何有效评估企业攻击面的安全态势如何有效评估企业攻击面的安全态势2现实世界攻击威胁正在进化现实世界攻击威胁正在进化攻击者关注的是系统攻击者关注的是系统和应用程序的漏洞和应用程序的漏洞恶意软件利用缺陷的恶意软件利用缺陷的ActiveDirectory配置配置攻击者开始利用云攻击者开始利用云200520152020每起登上头版头条的信信息息安全安全事件背后都与已知缺陷相关！的的企业在过去企业在过去1年至少遭受过年至少遭受过1次因网络攻击次因网络攻击导致的业务损失导致的业务损失92%新恶意软件包括特定代码新恶意软件包括特定代码以攻击以攻击ACTIVE DIRECTORY为目标

2、为目标的数据泄漏与公有云的数据泄漏与公有云配置不当有关配置不当有关59%具备利用成熟度的高风险漏洞存在时具备利用成熟度的高风险漏洞存在时间超过间超过1年年1/2理解安全风险是基本的价值命题理解安全风险是基本的价值命题5检测与响应检测与响应(事后事后)Detection and Response防御防御(事中事中)Protection风险可视风险可视(事前事前)Cyber Exposure发现所有缺陷缺陷借助有效的评估机制借助有效的评估机制公有云公有云基础架构基础架构微软微软AD域域Web应用应用发现所有缺陷缺陷借助有效的评估机制借助有效的评估机制公有云公有云基础架构基础架构微软微软AD域域We

3、b应用应用问题一：过度依赖CVSS的漏洞修复标准8你已经修复了99个漏洞个漏洞但黑客只利用你没修的那1 1个的漏洞会被黑客在真实攻击场的漏洞会被黑客在真实攻击场景使用利用景使用利用3%问题二：缺少漏洞修复闭环10传统漏洞处理流程传统漏洞处理流程信息安全运维工程师资产负责人A资产负责人B资产负责人C扫描结果漏洞扫描器漏洞扫描器企业平均漏洞修复时间为：40天天11漏洞扫描漏洞管理RBVM基于风险的漏洞管理基于风险的漏洞管理度量度量发现发现缓解缓解评估评估优先优先识别并映射每项资产，识别并映射每项资产，以在任何计算环境中实以在任何计算环境中实现可视性现可视性了解所有资产的状态，包括了解所有资产的状态

4、，包括漏洞，配置错误和其他健康漏洞，配置错误和其他健康指标指标确保实施缓解方法并确保实施缓解方法并准确部署补丁准确部署补丁度量关键指标以识别度量关键指标以识别覆盖范围和领域中需覆盖范围和领域中需要改进的地方要改进的地方利用威胁情报和业务环境专注于可被利用的漏洞利用威胁情报和业务环境专注于可被利用的漏洞漏洞生命周期管理最佳实践13A级服务器(重要)B级服务器(重要)C级服务器(非重要)D级服务器(非重要)E级服务器(非重要)Step1-区分资产优先级Step2-分批次周期性扫描Step3-扫描结果优先级排序Step4-9分以上漏洞自动提交工单系统Step5 分配责任人修复Step6 UAT环境补

5、丁修复Step8 生产环境补丁修复Step7 修复结果复检漏洞扫描器漏洞扫描器漏洞管理平台漏洞管理平台12345678发现所有缺陷缺陷借助有效的评估机制借助有效的评估机制公有云公有云基础架构基础架构微软微软AD域域Web应用应用你的网站就像你的大门别忘了锁门！网站中存在高危或严重网站中存在高危或严重的的web漏洞漏洞63%的黑客攻击是对的黑客攻击是对web应应用程序的攻击用程序的攻击43%Web应用程序安全技能应用程序安全技能短缺排在第一位，甚至短缺排在第一位，甚至高于云安全高于云安全#1网络黑客每天都在测试你的网站网络黑客每天都在测试你的网站15同时在开发和生产环境中应用DAST16代码编写

6、应用程序构建打包封装测试环境生产环境扫描器扫描器从开发工具直接API调用扫描开发同事安全同事1234扫描结果直接通过开发工具查询定期计划任务扫描查看扫描结果56漏管平台扫描器扫描器如何发现全量的InternetWeb访问点？17AttackerScanner门户网站应用AppSSLVPN公开APIEmailGatewayEASM 外部攻击面管理(ExternalAttack Surface Management)分布式扫描架构分布式扫描架构完整的漏洞发现完整的漏洞发现灵活的灵活的API调用调用简单易用的配置菜单简单易用的配置菜单如何执行有效的DAST扫描1.通过多扫描器高并发，提高扫描效率2.

7、选择覆盖完整OWASP Top 10漏洞的扫描工具3.将DAST扫描集成进入CI/CD流水线4.简化扫描配置选项，快速发现问题5.与外部攻击面管理结合，扫描无死角18发现所有缺陷缺陷借助有效的评估机制借助有效的评估机制公有云公有云基础架构基础架构微软微软AD域域Web应用应用20使用使用CVE漏洞漏洞和和AD错误配置的攻击路径示例错误配置的攻击路径示例CVE-2021-22986 F5 BIG-IPMS17-010(SMB exploit)Windows Windows running an obsolete OS Account having&dangerous SID History at

8、tribute CVE-2016-1525Windows server with Netgear Pro NMS 300 Privileged account running Kerberos services Root objectspermissions allowingDCSync attack Domain Controllersmanaged by illegimateusersCVE-2020-1472Windows DC with ZeroLogon初次感染初次感染&跳转跳转横向移动横向移动&特权升级特权升级域控被攻占域控被攻占21“回归基本面回归基本面”发现严重发现严重CVE漏

9、洞漏洞尽快修补您的系统尽快修补您的系统注意您的注意您的AD配置错误配置错误“因为攻击者也会做同样的事情因为攻击者也会做同样的事情”22AD安全来说什么是最重要的安全来说什么是最重要的?实时攻击检测是不够的实时攻击检测是不够的实时攻击检测实时攻击检测前期预防加固前期预防加固收到一条短信说“收到一条短信说“你的车撞墙了你的车撞墙了”收到一条短信说收到一条短信说:“你需要检查刹车配置你需要检查刹车配置保护保护AD环境打断打断攻击路径找到并解决现有的脆弱性找到并解决现有的脆弱性立即发现、映射并评分现有的脆弱性遵循补救步骤，防止进一步攻击揭示新的攻击路径揭示新的攻击路径不断发现新的漏洞和错误配置打破攻击

10、路径，保证威胁在可控范围内调查事件并寻找威胁调查事件并寻找威胁在Object和Attribute层面搜索和关联AD变化在SOAR中触发响应脚本123发现所有缺陷缺陷借助有效的评估机制借助有效的评估机制公有云公有云基础架构基础架构微软微软AD域域Web应用应用Developers造成这一切只需造成这一切只需一个错误的改变一个错误的改变.MILITARYINFRASTRUCTURECOMMERCIALINDUSTRIALCONSUMER72Commit code超过300亿亿笔数据在过去3年中遭到泄露 暴露数十亿条记录数十亿条记录25云数据泄露事件屡见不鲜云数据泄露事件屡见不鲜缺少对配置缺陷的可见

11、性缺少对配置缺陷的可见性存储桶是否启存储桶是否启用了双重身份用了双重身份验证？验证？安全组是否随意安全组是否随意让端口处于开放让端口处于开放状态？状态？数据库是否启用数据库是否启用了服务器端加密？了服务器端加密？容器镜像内是容器镜像内是否有恶意软件？否有恶意软件？容器镜像是否存容器镜像是否存在高危漏洞？在高危漏洞？K8S是否暴露了是否暴露了高风险端口？高风险端口？云环境配置是云环境配置是否偏离了基线？否偏离了基线？运行时主机是否运行时主机是否出现了新的漏洞？出现了新的漏洞？云上资产是否发云上资产是否发生了变化？生了变化？IaC配置缺陷问题配置缺陷问题K8S配置缺陷问题配置缺陷问题运行时配置缺陷

12、问题运行时配置缺陷问题难点难点:信息安全无法跟上开发速度信息安全缺陷往往在开发周期的后半段或投入生产之后投入生产之后才被发现安全团队缺少上下文上下文，修复过程往往依靠手动依靠手动人工安全修改又会被下一次部署所覆盖覆盖云基础架构通过代码构建的方式不断快速不断快速变化27解决方案解决方案:将信息安全从生产前移到开发(shift-left)28DEVELOPERSECURITYDEVELOPMENTRUNTIMEIaC Security&ConSecBuild-Time:Code Repos&CI/CD IntegrationKSPM,ConSec&Drift MonitoringRuntimes:

13、Kubernetes&ContainersCSPM,FA&Drift MonitoringRuntimes:Workloads,&Serverless有效评估云基础架构安全问题有效评估云基础架构安全问题代码仓库及代码仓库及CI/CD开发环境开发环境（云端及本地）（云端及本地）代码仓库集成，IaC文件扫描CI/CD 管道集成，对IaC及容器进行安全扫描IaC自动修复建议推荐公有云环境公有云环境云平台资产可视云平台资产实时安全分析云平台资产配置（IaC）漂移追踪K8s及容器环境（云端及本地）及容器环境（云端及本地）K8s配置安全分析K8s配置（IaC）漂移追踪容器镜像安全扫描发现所有缺陷缺陷借助有效的评估机制借助有效的评估机制公有云公有云基础架构基础架构微软微软AD域域Web应用应用