暴露面管理服务是一个主动的风险管理服务,旨在根据企业的授权,通过一系列脆弱性发现、威胁监测等工具对企业资产的暴露面及潜在威胁进行挖掘分析,借助攻击模拟等手段进行攻击路径验证,动态评估企业在数字和物理资产的可访问性、暴露面及可利用性,帮助企业降低漏洞利用风险,优化运营流程。
通过对企业资产的可访问性、暴露性和可利用性进行风险信息挖掘、分析和验证,并提供修复建议,帮助主动管理内部和外部威胁的影响,涉及暴露面监测范围包括但不限于:
1.互联网资产风险监测
对互联网侧的暴露面、威胁和脆弱性(漏洞、配置)风险进行持续监测和评估。
2.云服务风险监测
利用 XSPM 系统引擎能力,基于 ATT&CK 云攻防矩阵,针对用户多云环境开展持续策略风险分析和监测,识别云服务配置安全风险(如存储桶、云密钥、安全组等配置风险)。
3.代码仓库监测
监测识别企业在GitHub、Gitlab 等代码仓库中的机密账户、敏感代码等暴露面信息。
4.移动应用监测
监测企业公众号、小程序、App、新媒体等资产的仿冒信息。
5.供应链风险监测
持续监测和分析企业分支机构、供应链合作商等外部攻击面风险。
6.人员暴露面监测
识别企业员工账号泄露、登录凭据泄露等暴露面风险。
通过红队模拟攻击手段,针对监测到的企业暴露面数据进行研判分析,识别优先级,并生成分析报告同步客户,分析内容包括但不限于:
1.优先级分析
基于攻防风险评估,识别暴露面风险风险修复优先级,识别高优风险。
2.攻击路径分析
基于暴露面和威胁数据,结合攻防实战场景进行关联分析,验证识别真实攻击路径。
针对监测发现的重点暴露面风险及常态暴露面风险,提供阶段分析报告:
1.重点暴露面风险
在发现重大暴露面风险后,即时开展风险分析和报告编写,提交重点暴露面风险报告,指导具体风险修复。
2.常态化暴露面风险
针对日常监测到的基础暴露面风险,每周定期开展数据分析,提交常态暴露面监测报告,提供安全运营改进建议。
在组织架构维度,除企业自身资产外,亦可覆盖供应链供应商、第三方合作伙伴合作商等存在的暴露面和威胁。 在风险类别维度,除传统基于 IP、端口的漏洞基线等脆弱性风险外,同时可覆盖员工失陷账号 、云服务相关攻击风险等。 在数据归属维度,除覆盖数据中心资产,亦可覆盖云供应商等风险。
传统资产梳理时间长且容易出错,腾讯暴露面管理服务集成 T-SCAN 风险发现引擎,整合自研精准资产指纹和 PoC 库,同时引入各类互联网数据资产引擎,借助服务编排及自动化平台(SOAP 平台)实现资产发现-分析研判-风险验证的全路径编排,大幅降低误报、漏报风险,帮助企业更详细、快速的识别暴露面风险。
基于多年大型安全攻防对抗实践,将风险严重经验固化到安全验证平台(BAS)的剧本中,并依托专职攻防团队人力,针对发现的安全风险面等进行持续动态评估验证,以深度复原黑客潜在攻击路径,并协助输出风险优先级。
复杂业务组织环境或安全架构模式下,想要了解企业信息化及数字资产对外暴露面情况。
想要了解企业在数据中心、云供应商,组织员工、供应链供应商、第三方合作商等存在的公开暴露面及威胁(IP、域名、开源框架、服务应用、漏洞、配置等)。
针对企业在不同云供应商存在的安全策略风险进行动态巡检,识别云服务存在的配置不当风险,如云密钥泄露、存储桶、安全组、安全产品等配置不当风险。
站在攻防视角,实战分析漏洞攻击真实危害性,提供漏洞修复必要性参考,企业漏洞治理实践参考。
提供互联网等数据泄露监测能力,帮助识别企业云密钥、源码泄露、员工凭据等的数据和信息泄露风险事件。
分析、监测和识别企业在供应链供应商、第三方合作商等存在的公开暴露面及威胁,如供应链员工合作账号泄露及合作系统、采购产品的安全暴露面风险。
服务期间,当监测发现发现重要暴露面威胁后,会进行攻击路径分析并进行优先级分级,生成精准修复建议,当未监测到重大暴露面威胁时,会定期提供监测分析报告,报告监测项内容。
不会,暴露面管理数据部分来自于扫描,部分来自于第三方测绘引擎及互联网/暗网渠道数据,期间会有部分扫描,会在取得服务授权后,采取速率控制、扫描时间沟通等方式进行风险规避,不会影响业务的正常运转。
不需要,暴露面管理服务依托腾讯云的安全服务平台暴露面识别引擎以及攻防团队服务能力,对安全产品无要求。
不同环节会采用不同的技术能力,如在测绘引擎环节,为实现更快和更及时的发现能力,会在T-SCAN自研引擎的基础上,购买国内外第三方资产指纹库和引擎测绘数据,在风险的优先级划分,会采用 VPT 评估方法对漏洞风险进行快速评级,在攻击路径分析环节,会采用人工+BAS(入侵攻击模拟系统)进行暴露面和威胁的快速对抗验证,针对云端风险,会采用云安全风险巡检服务(以下简称: XSPM) 平台进行跨云风险配置扫描。
暴露面管理服务是一种安全服务,覆盖了相关能力和人工服务,攻击面管理则属于产品能力。
暴露面管理服务覆盖了对抗评估验证的能力和动员修复的能力,在识别相关外部攻击风险后,同时会通过人工+自动化对抗验证等手段关联和验证各类攻击数据,形成攻击入口及攻击路径,并在组织动员层面提供精准防护建议。
暴露面管理服务是通过安全工具平台+人工服务方式开展风险闭环管理,ASM 聚焦攻击者视角识别外部安全风险。
暴露面管理服务具备持续性,可7*24小时进行持续监测,而漏洞扫描为单次或多次间隔扫描,不具备连续性。
漏洞扫描主要聚焦已知漏洞,不具备基线配置检查、云服务风险发现以及暗网数据泄露等相关能力,而暴露面管理服务包含了漏洞扫描及以上多个能力。
暴露面管理服务是一个更为闭环的风险管理方案,漏洞扫描是暴露面管理服务子能力或抓手之一。