美国网安的“持续诊断与缓解”:“资产视角”贯穿全局

2022/05/19 18:50:03

“持续诊断与缓解”(Continuous Diagnostics and Mitigation,简称CDM),是美国国土安全部的国家网络空间安全保护系统计划三大项目之一,旨在为联邦机构提供识别、处理和缓解网络安全漏洞的能力,是美国网络安全领域的重要顶层设计之一。

CDM这一概念早在2012年便被提出,并于次年启动计划,这场已经进行超过9年的“持续诊断与缓解”项目被分为了先后4个阶段,即“资产”“用户”“事件与边界保护”与“数据”阶段。

2.png

图 计划执行的四个阶段内容

起点:先搞清网络上有什么

即便时至今日,以防御者视角打造的安全产品仍为行业主流,其针对的问题也集中在“事中”与“事后”,即在遭到攻击时进行防护与攻击结束后进行补救。如果能从攻击者视角分析安全部署,提前了解自己的弱点所在并对攻击点进行预判与处置,则会明显提升自身安全能力,并大大降低防守方成本。

基于上述基本逻辑,攻击面管理、网络空间资产测绘才能在如今的网络安全圈大火,并得到越来越多行业用户的认可。

回看2013年启动的CDM计划,美国政府在当时选择了“资产管理”作为整个CDM项目的切入点,具有相当的预见性。

数据安全:“资产管理”是必要手段

CDM计划本质是基于风险的自动化网络安全动态分析方法,其最终目标是在不影响服务的同时,更好地确保敏感数据资产安全。

1.png

图 CDM报告配图

为了“保护数据”这一最终目标,需要先后在“资产”“用户”“事件与边界保护”和“数据”四个维度展开工作,而“资产管理”作为第一步,其效果将直接作用于后续三阶段工作中。

在人员管理阶段:网络资产中所含有的弱密码、弱口令、绕过验证与未授权访问等漏洞问题,会直接挑战CDM要求的账户、访问、管理权限管理。 

在事件管理阶段:清晰掌握全局网络资产,可帮助安全团队制定有效的突发事件预备处置方案,使其在“事中”能够高效地进行应对部署。 

在数据管理阶段:存储设备、数据库本身就属于资产范畴,如果这些资产存在未被发现的安全隐患,其他保护措施必定存在缺陷。

“地图”如何精准

2020年9月的一则外网新闻显示,美国国会下属的美国政府问责局对联邦航空管理局、印第安人卫生服务部、小企业管理局,共三家机构进行了CDM相关审查。

审查结果显示,资产清单中的信息不全、资产重复显示、软件未更新等基础问题众多。即便三家机构的漏洞扫描工作达标,但面对有遗漏与重复的“基本盘”,其效果注定不理想。

复盘中,政府问责局着重提出了“网络资产识别不全,且资产标签不统一”的问题。而当时,这一基础问题实际上已被国土安全部整改超过一年,但仍未能解决。

那么如何才能够在网络空间中绘制出完整无误的高精度“地图”?

关键点正在于上述美国政府问责局提到的“标签”,即我们常说的“资产指纹规则”。

如同军事地图中要清晰测绘山川河流、桥梁公路等,网络空间资产测绘同样需要对纷繁复杂的各类资产进行识别,而支持这一能力的便是“资产指纹规则库”。如积累不足,则会面临实际操作中“应该看到,但不识别”的尴尬情况,进而让后续工作效果打折。

目前,已有众多安全厂商涌入了网络空间测绘领域,而资产指纹规则的积累将会是拉开能力差异的重要指标。“指纹规则库”的扩展不仅需要针对不断更新换代的主流资产,同时面对行业、领域特有的软硬件资产,也需要深入分析与识别。

当下,全球数字化发展不断提速,工业互联网、智能硬件领域蓬勃发展,各行业都在不断诞生出本领域专属的网络资产。对于进入“测绘”领域的安全厂商而言,只有深入行业场景、专注资产研究,从而形成的规则积累,才能让自身的资产识别能力“触类旁通”,进而为用户“画好地图”,真正为做好网络安全筑牢基础。

在网络空间中,“资产增量与识别难度”的矛盾愈发明显。掌握更多主流资产的“广度”与深入了解行业特殊专属资产的“精度”,对于做好网络资产测绘而言,如一体双翼,缺一不可。