一、數(shù)字化轉(zhuǎn)型：時(shí)代的“脈搏”

　　《新IT重塑企業(yè)數(shù)字化轉(zhuǎn)型（2022年）》顯示，2021年我國(guó)數(shù)字化轉(zhuǎn)型中涉及的相關(guān)IT服務(wù)和解決方案市場(chǎng)總體規(guī)模達(dá)21,669億元，未來(lái)幾年預(yù)計(jì)將保持20%以上的平均增速，有望在2025年逼近5萬(wàn)億大關(guān)。在此背景下，伴隨數(shù)字化轉(zhuǎn)型的深入推進(jìn)，安全運(yùn)營(yíng)也從以資產(chǎn)為中心、以業(yè)務(wù)為中心的傳統(tǒng)模式，快速邁向以數(shù)據(jù)鏈為中心、多系統(tǒng)協(xié)同驅(qū)動(dòng)的全新階段。在金融領(lǐng)域，人民銀行和銀保監(jiān)會(huì)于2022年初相繼發(fā)布了《金融科技發(fā)展規(guī)劃（2022-2025年）》與《關(guān)于銀行業(yè)保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》，銀行業(yè)網(wǎng)絡(luò)安全體系建設(shè)逐步由“局部整改、定期檢查”轉(zhuǎn)變?yōu)椤叭娼ㄔO(shè)、持續(xù)監(jiān)測(cè)”，并更為強(qiáng)調(diào)安全運(yùn)營(yíng)向體系化、常態(tài)化、實(shí)戰(zhàn)化發(fā)展，以更快、更好地識(shí)別各類資產(chǎn)風(fēng)險(xiǎn)，切實(shí)提升安全防護(hù)能力。

　　二、數(shù)據(jù)割裂：安全運(yùn)營(yíng)的“原罪”

　　安全運(yùn)營(yíng)于數(shù)字化轉(zhuǎn)型而言是能力，更是基因。以數(shù)據(jù)鏈為中心、多系統(tǒng)協(xié)同驅(qū)動(dòng)是安全運(yùn)營(yíng)的基礎(chǔ)，也是數(shù)字化轉(zhuǎn)型的重點(diǎn)和難點(diǎn)。然而，由于歷史原因，數(shù)據(jù)割裂問(wèn)題普遍存在于銀行機(jī)構(gòu)，并嚴(yán)重阻礙了銀行數(shù)字化轉(zhuǎn)型和安全運(yùn)營(yíng)建設(shè)進(jìn)程，主要表現(xiàn)如下：

　　一是資產(chǎn)數(shù)據(jù)割裂。從時(shí)間維度，由于多期項(xiàng)目建設(shè)以及資產(chǎn)的動(dòng)態(tài)變化，資產(chǎn)數(shù)據(jù)的準(zhǔn)確性、完整性、實(shí)時(shí)性無(wú)法保障，遺漏或者“脫韁”的資產(chǎn)易成為運(yùn)營(yíng)盲點(diǎn)；從空間維度，資產(chǎn)在類別、品牌、系統(tǒng)、平臺(tái)等方面呈多元化發(fā)展態(tài)勢(shì)，數(shù)據(jù)難以聚合。

　　二是資產(chǎn)數(shù)據(jù)和安全數(shù)據(jù)缺少連接，資產(chǎn)與風(fēng)險(xiǎn)動(dòng)態(tài)關(guān)聯(lián)分析能力不足，安全風(fēng)險(xiǎn)無(wú)法有效可視，風(fēng)險(xiǎn)感知慢、威脅處置滯后。

　　三是安全數(shù)據(jù)割裂，脆弱性管理、風(fēng)險(xiǎn)檢測(cè)、安全防護(hù)、響應(yīng)處置等通常由多個(gè)平臺(tái)操作，安全運(yùn)營(yíng)效率較低。

　　從銀行角度來(lái)看，安全運(yùn)營(yíng)通常意義上需要具備三點(diǎn)能力，即事前的網(wǎng)絡(luò)管理、資產(chǎn)管理、事件采集、漏洞管理能力，事中的事件應(yīng)急響應(yīng)、事件分析處理能力，事后的事件追溯能力以及日常的數(shù)據(jù)聯(lián)動(dòng)、工單處理能力，但上述能力在數(shù)據(jù)割裂的場(chǎng)景下均無(wú)以為繼。

　　三、資產(chǎn)測(cè)繪與攻擊面管理：

　　運(yùn)維轉(zhuǎn)型迫在眉睫

　　01 核心理念

　　面向新時(shí)代，基于數(shù)據(jù)鏈的安全運(yùn)營(yíng)首先要做到“知己知彼”?！爸骸?，即全面、實(shí)時(shí)、完整地掌握所有數(shù)字資產(chǎn)；“知彼”，即持續(xù)監(jiān)測(cè)資產(chǎn)脆弱性和風(fēng)險(xiǎn)事件。在此基礎(chǔ)上，“協(xié)同”威脅情報(bào)、業(yè)務(wù)系統(tǒng)平臺(tái)實(shí)現(xiàn)安全事件的分析、響應(yīng)和處置，將上述一系列能力集成到統(tǒng)一的安全平臺(tái)上，即是網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪（以下簡(jiǎn)稱“資產(chǎn)測(cè)繪”）和網(wǎng)絡(luò)資產(chǎn)攻擊面管理（以下簡(jiǎn)稱“攻擊面管理”）：

　　“以銅為鑒”，即結(jié)合數(shù)字資產(chǎn)，從資產(chǎn)屬性符合度甄別端點(diǎn)身份信息。資產(chǎn)測(cè)繪基于主動(dòng)掃描探測(cè)技術(shù)、被動(dòng)流量分析技術(shù)、深度資產(chǎn)發(fā)現(xiàn)技術(shù)及數(shù)據(jù)存儲(chǔ)與檢索技術(shù)，支持實(shí)時(shí)動(dòng)態(tài)采集資產(chǎn)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和展現(xiàn)。

　　“以人為鑒”：從業(yè)務(wù)符合度判斷風(fēng)險(xiǎn)行為。結(jié)合資產(chǎn)測(cè)繪捕捉到的資產(chǎn)行為，聯(lián)動(dòng)并對(duì)比業(yè)務(wù)系統(tǒng)、協(xié)同威脅情報(bào)平臺(tái)，在資產(chǎn)層面實(shí)現(xiàn)對(duì)事件的安全性評(píng)估以及聯(lián)動(dòng)快速響應(yīng)。

　　“以史為鑒”，即基于歷史數(shù)據(jù)，深入分析攻擊面信息與攻擊行為特征信息。安全的本質(zhì)是攻防對(duì)抗，對(duì)抗的關(guān)鍵是信息對(duì)稱。2021年，Gartner正式提出攻擊面管理的概念，即是從攻擊者視角，審視所有網(wǎng)絡(luò)資產(chǎn)被攻擊利用的可能性。筆者認(rèn)為，攻擊面管理更關(guān)注資產(chǎn)脆弱性，當(dāng)攻擊者面對(duì)海量資產(chǎn)信息時(shí)，一定會(huì)尋找其中的脆弱點(diǎn)進(jìn)行載荷投放，再以此為跳板，尋找新的脆弱點(diǎn)發(fā)起下一輪攻擊。對(duì)此，攻擊面管理通過(guò)與不同的第三方系統(tǒng)對(duì)接，實(shí)現(xiàn)多源數(shù)據(jù)融合與安全能力聚合，并根據(jù)資產(chǎn)脆弱性進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定優(yōu)先級(jí)。在此基礎(chǔ)上，安全人員根據(jù)攻擊面分析，還可通過(guò)基于攻擊面管理的統(tǒng)一操作和協(xié)作平臺(tái)進(jìn)行快速響應(yīng)處置，收斂所有可能被攻擊的入口。

　　02 典型場(chǎng)景

　　相比于攻擊者只需找到一處弱點(diǎn)即可完成突破，防守方通常需要全面兼顧，而引入資產(chǎn)測(cè)繪與攻擊面管理技術(shù)，有助于構(gòu)建更為完整的安全運(yùn)營(yíng)體系，實(shí)現(xiàn)全面的一體化防御。舉例來(lái)說(shuō)，將基于上述技術(shù)的系統(tǒng)與主機(jī)防護(hù)系統(tǒng)聯(lián)動(dòng)，將可梳理出所有未安裝防護(hù)客戶端的主機(jī)，解決防護(hù)工具覆蓋不全的問(wèn)題；通過(guò)掃描啞終端的操作系統(tǒng)，可快速發(fā)現(xiàn)未知的運(yùn)行于Windows/Linux/Android系統(tǒng)上的啞終端，此類啞終端雖然未按照PC/服務(wù)器/手機(jī)的安全管控方式管理，卻有著相同的安全風(fēng)險(xiǎn)；通過(guò)采集PC、服務(wù)器、物聯(lián)網(wǎng)設(shè)備的多維度屬性，建立統(tǒng)一的安全合規(guī)基線，可實(shí)現(xiàn)對(duì)各種資產(chǎn)的合規(guī)性檢查；通過(guò)采集實(shí)時(shí)的資產(chǎn)數(shù)據(jù)，并將其與威脅情報(bào)漏洞特征關(guān)聯(lián)，可快速發(fā)現(xiàn)資產(chǎn)漏洞，解決傳統(tǒng)漏掃系統(tǒng)在面對(duì)掃描網(wǎng)段范圍大、網(wǎng)段經(jīng)常變動(dòng)時(shí)存在的漏洞掃描不全問(wèn)題。

　　03 預(yù)期成效

　　結(jié)合工作實(shí)際來(lái)看，基于資產(chǎn)測(cè)繪構(gòu)建全量資產(chǎn)數(shù)據(jù)中臺(tái)，將可實(shí)現(xiàn)便捷的自定義搜索與可視化的自定義統(tǒng)計(jì)功能，而基于攻擊面管理可支持在不同場(chǎng)景下快速獲取不同來(lái)源的資產(chǎn)關(guān)鍵信息，幫助安全人員高效進(jìn)行信息過(guò)濾、關(guān)聯(lián)分析、聯(lián)動(dòng)操作、跨部門協(xié)作，進(jìn)而快速感知安全風(fēng)險(xiǎn)、提高應(yīng)急響應(yīng)效率：

　　1 打造匯集全量資產(chǎn)數(shù)據(jù)與安全數(shù)據(jù)的分析平臺(tái)。通過(guò)與多個(gè)漏洞掃描系統(tǒng)對(duì)接并獲取掃描結(jié)果，結(jié)合全量資產(chǎn)數(shù)據(jù)，可輔助安全人員快速開展對(duì)比分析、排除誤報(bào)，明確處理優(yōu)先級(jí)；同時(shí)，通過(guò)與EDR終端檢測(cè)響應(yīng)系統(tǒng)對(duì)接，將可在蠕蟲病毒暴發(fā)時(shí)第一時(shí)間獲取病毒特征，快速發(fā)現(xiàn)所有可能受此病毒影響的設(shè)備，并明確具體數(shù)量和位置，幫助安全人員快速掌握入侵攻擊的威脅半徑，及時(shí)采取措施進(jìn)行響應(yīng)處置；此外，通過(guò)查找對(duì)比不同維度的資產(chǎn)信息，如設(shè)備信息、網(wǎng)絡(luò)信息、操作系統(tǒng)/固件信息、硬/軟件信息、用戶信息、資產(chǎn)位置、資產(chǎn)關(guān)系圖譜、資產(chǎn)調(diào)撥記錄、資產(chǎn)變更記錄、資產(chǎn)安全評(píng)分等，可輔助科技運(yùn)維和安全運(yùn)營(yíng)。

　　2 打造聚合安全能力的操作平臺(tái)。通過(guò)基于攻擊面管理的系統(tǒng)與第三方系統(tǒng)聯(lián)動(dòng)，有助于獲取不同的安全能力和聯(lián)動(dòng)處置能力，進(jìn)而為安全人員和運(yùn)維人員提供統(tǒng)一的操作平臺(tái)，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的快速響應(yīng)與處置，進(jìn)一步提高工作效率。

　　3 打造自動(dòng)化的跨部門協(xié)作平臺(tái)。通過(guò)基于攻擊面管理的系統(tǒng)和不同的工單系統(tǒng)對(duì)接，可實(shí)現(xiàn)自定義的任務(wù)編排，并與對(duì)應(yīng)的工單系統(tǒng)聯(lián)動(dòng)完成自動(dòng)化處理，進(jìn)而實(shí)現(xiàn)跨部門的協(xié)同操作，大幅提高安全團(tuán)隊(duì)的業(yè)務(wù)效率。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<