攻击面管理对抗
近两年在网安界,攻击面管理,这个理论很火,属实很有用,有效收敛了不少的可能风险点,标准化了很多常出现问题的业务场景,对我们攻击方来说确确实实增高了很大的攻击成本。
那么提到攻击面管理,就让我想起我最早首发的一个子域名监控工具它的理论:
“在职业刷src或者apt攻击者的角度,单单过一遍爆破的域名是不能满足持续性漏洞挖掘;从职业刷src的角度,过一遍收集的子域名,已经发现了所有漏洞并已经提交后修复,或者用当前漏洞测试方法并没发现有漏洞,这样业务是安全的,但这个安全是在当下时间的,企业要发展、要解决当前问题,就会出新业务、或者不断的修复更新旧问题,这就是业务的变化,通过持续性监控子域名就会发现业务的变化,最快速度的发现变化,对变化进行安全测试、漏洞挖掘。有经验的刷src的同学都知道,新业务发现漏洞概率都很高。”
https://github.com/guimaizi/get_domain
“攻击面管理”的这个防守方理论就是彻底的针对”资产监控”这个攻击方的理论,攻防对抗,很有意思,未知攻焉知防,
在持久的网安对抗中,攻击方和防守方其实都是在拼对资产的掌控能力:
- 监控覆盖广度与深度
- 安全风险快速发现与定位
- 资产类型的识别与分类
- 及时对新业务和有变动的业务进行自动化安全检测
防守方对业务部门的影响力:
- 下线删除不必要的业务功能
- 业务功能,注册制、实名制、人工审核
- 业务接口尽可能的标准化
我目前只做到了第一步,对资产监控的广度以及深度,如这篇 业务安全弱点发现自动化理论探索 ,当然资产监控的理论还在,只要目标业务在发展,就一直会有安全风险,现在攻击方和防守方就是在拼广度、拼深度、拼速度。
感觉像是在web安全时代的末期了,理论和实践都很成熟,就差把这些理论进行合理合适的自动化,不过好像也是自动化专业的时代末期,毕竟未来属于AGI大模型….