ASM-攻击⾯管理以攻击者视⻆准确评估系统安全⻛险 王昱（猪猪侠）@⻓亭科技⽬录CONTENTS 01企业安全攻VS防的差距与挑战 02企业安全⻛险管理应对策略 03外部攻击⾯管理最佳实践安全攻VS防的差距与挑战 https://chaitin.cn/过去5年， 攻击渗透的成功率⼀直维持在95%以上过去5年， 做到少量失分的防守单位不到20%攻击者总是从意想不到的地⽅进来 我们的安全到底出了什么问题? 渗透成功率定义: 每次项⽬均能发现3个及以上⾼危漏洞95%20% 买了很多安全设备和服务，为何还会被攻破？攻击⾯WAFIPSHIDSNG FW 各类产品与服务攻击者 从这⾥进来资产发现数量攻击⾯识别基数漏洞攻防知识数潜在攻击路径之和，任何⼀项基数的提升，都能提升攻击成功的概率 1个公⽹IP，对外开放了10个端⼝服务，每个服务存在5个已知⾼危漏洞被攻击的可能性是 资产(1) * 攻击⾯(10) * 漏洞(5) = 50最好的防守算法应该能够最⼤程度重现进攻 防御者要防御所有的⾯和点，⽽攻击者只要攻破其中⼀个点即可 针对潜在⽬标⻓期全⾯摸排，公开渠道收集信息资产信息筛查，匹配可利⽤的影⼦资产或漏洞学习理解业务，梳理潜在的攻击路径并做验证根据获取到的⼈员信息、业务信息构建社⼯素材 IP/域名/CDN/证书组织-⼈员-资产⼈员组织资产服务供应商分⽀单位 邮箱/OA/CMS/Software通讯录外包服务⼈员业务关联单位⽬标通过攻击者的眼光和思路看待安全攻防 国内顶尖实⽹攻防红队的⼯作开展思路（2022年国家级实⽹攻防第⼀） ⼈员少:20⼈团队/时间紧：12⼩时/14天⽬标资产多：平均1000+资产每⽬标⽬标分散：靶标位置模糊 ⻓亭红队提前分析200+潜在参演单位的资产，IP、域名、⼈员信息等01-全⾯摸排 对⽬标资产进⾏持续攻击⾯跟踪，针对临时新增资产，辅助进⾏蜜罐识别02-⻓期监控 根据开放的服务持续深度识别资产指纹（CMS、第三⽅系统、组件中间件等） 03-资产识别 供应链信息搜集，搜集⽬标的供应商，找到⽬标通⽤系统开发商或运维服务商04-摸排供应链 搜集业务信息并理解业务，了解并选择潜在的攻击路径05-业务学习 搜集⽬标⼈员信息，构造剧本以供⼤范围社⼯钓⻥，或针对特定⼈员定向捕鲸06-社会⼯程攻击⾯ •系统地址•账户凭证 VPN Mail•通讯录•历史邮件和附件 OA协同•组织架构•审批流程 OA系统⽔坑 捕鲸邮件 客户端更新合法权限登⼊恶意客户端构建直接翻找信息构建捕鲸邮件直接获取信息构建⽔坑攻击靶标筛选分析 利⽤ 挑选多个攻击路径多个攻击路径多个攻击路径X-RAY 2.0（DAST）/ 分布式扫描引擎实战驱动下的攻防不对称性-既要知⼰也要知彼 攻防对抗的输赢取决于信息是否对称，技术能⼒是否对等 500+安服专家团队挑战1 - 急速提升的复杂性，对外暴露的潜在攻击路径总和 - 攻击⾯IT环境多样化单⼀的线下机房以硬件资产为主，资产类型单⼀边界防御，暴露⾯有限，以WEB攻击为主流资产类型多元攻击⻛险多⾯过去 过去现在•漏洞、勒索软件、WEB攻击、渗透等层出不穷…•云上配置错误，证书失效、合规⻛险、⾼危运维管控端⼝…•员⼯/个⼈账户弱密码，钓⻥邮件等攻击导致账户劫持…•IoT智能设备侵⼊、恶意开源组件投毒、服务协议…•暗⽹、论坛、⽂库、⽹盘、开源社区、社交媒体•总部、分⼦公司、并购、第三⽅供应商...•云服务：公有云、混合云、专有云、多云…•IDC多地线下数据中⼼、营业厅…•SaaS化应⽤、容器、开源组件…•各地机房硬件资产、员⼯移动办公设备、⽹络设备…•国产操作系统、业务应⽤、APP、⼩程序、互联⽹应⽤…•企业⼈员、敏感数据、云资源、WEB服务、API接⼝…•第三⽅供应链、商业软件采购…现在现在