数字风险防护DRP初探

2012年6月6日，国际互联网协会举行了世界IPv6启动纪念日， 2019年4月16日，工业和信息化部发布《关于开展2019年IPv6网络就绪专项行动的通知》。5月，中国工信部称计划于2019年末，完成13个互联网骨干直联点IPv6的改造。这项号称可以为全世界的每一粒沙子编上一个地址的技术终于要来了。

2018年6月14日，3GPP全会（TSG#80）批准了第五代移动通信技术标准（5G NR）独立组网功能冻结。2019年6月6日，工信部正式向中国电信、中国移动、中国联通、中国广电发放5G商用牌照。无线网络的速度终于赶上并超过了有线网络。

可以想见，随着基础通信技术的发展，移动互联网、物联网、工业互联网、能源互联网、车联网等等终将改变所有企业的业务形态，加速让我们进入一个全面网络时代。由此企业的安全风险构成也将发生巨大的变化，企业安全将要面对更多来自外部的威胁，还有很多的威胁甚至不需要进入企业内部就会对企业产生影响进而造成业务损失。仅仅做好企业内部的安全建设将不能让企业应对全面网络时代复杂多多变的安全形势，需要重新审视数字风险防护（Digital Risk Protection）的定义与范畴。

一、数字风险防护（DRP）是什么？

数字风险防护（DRP）包括对风险的在线监测、对外部威胁的分析和预警、对外部风险的处置。Forrester公司将数字风险防护（DRP）解决方案描述为“提供快速事件检测和补救功能的解决方案，以便公司可以在恶意行为者利用它们之前修复问题，并且当安全事件发生时限制成功攻击的影响。”

数字风险防护可以有效降低企业数字化转型带来的风险，防止公司数据，品牌和攻击面的不必要暴露，提供有关来自外部的可执行的威胁情报，并构建针对外部风险及时处置的能力。

二、我们面临的数字风险挑战

1. 数字化转型带来的风险

很多企业已经开始或即将进入数字化转型的快车道：企业将会拥有更多的数字平台、提供客户更多的自助服务和新媒体服务；企业将快速发布更多的系统和功能以保持竞争力；企业将会尝试向客户提供多租户模式的SaaS服务；企业会将更多的IT基础设施云化，甚至直接采用公有云服务。

然而数字化转型进程中每一种新技术的引入都会增加网络、应用以及数据存储的复杂性，绝大多数企业的TI管理者都能够意识到快速的数字化转型会增加数据泄露和网络安全风险，然而很少有企业能够处理这些由数字化转型所带来的风险。

2. 攻击技术以及攻击者的能力在持续增强

各种新的技术总是被攻击者优先使用，各种软件的漏洞总是会被第一时间编写成攻击工具。甚至很多漏洞利用的方法被攻击者悄悄使用了很多年且没有公开。

并且攻击者还会通过搜索和购买各类数据来发现防御方的薄弱环节。比如通过github来发现目标企业泄露的用户名密码，通过社工库数据来破解管理员账号等。

幸好近几年威胁情报技术的出现和快速发展使得防御方得以迅速缩小了与攻击者能力的差距，使得攻防失衡的天平不再持续向攻击者倾斜。使用威胁情报来了解攻击者的战略、战术和技术能力，可以使我们更有针对性的部署我们的防御措施，并能够更好的从攻击者角度来审视我们需要重点关注的数字资产。

3. 安全团队面临能力升级和转型的挑战

由于在攻防对抗过程中，由于“自由攻击窗口”将会一直存在，因此要求企业安全团队具备越来越高的响应能力。

随着企业数字化转型的深入，企业安全团队将不仅要满足IT安全的要求，还需要更多的对业务提供更直接的安全保障。这就要求安全团队将从网络安全、信息安全持续向业务反欺诈、业务合规以及风险管理的方向持续进化。

随着承担的业务安全要求的提高，还将要求安全团队能够具备直接向公司管理层沟通的技巧。这就要求安全团队应该用更贴近业务的视角来审视和汇报安全工作的成果。所以将会要求安全团队在泄露数据检测、数字品牌保护等方面具备较强的能力，能够利用威胁情报数据更好的对阶段性工作进行成效评价，能够具备有效的手段来减少企业暴露的攻击面。

4. 数据泄露的全面检测

对于任何安全团队来说，保护企业的信息资产不泄露都是最重要的职责。所以通常的做法是在终端或者网络上部署各类数据防泄漏产品和策略。然而因为第三方供应链、恶意员工、策略配置不当等等原因，客户资料、财务信息以及其他重要数据总是会被泄露到互联网平台、暗网交易论坛等地方，几乎无法幸免。

这些泄露在网络上的的数据不仅让企业面临监管部门的压力，还可能被攻击者用于对公司进一步的攻击做准备，甚至会造成直接经济损失。

企业应该重点针对以下几类数据建立泄露检测能力：

• 企业机密文档：内部规划、董事会会议记录、财务资料等
• 知识产权数据：产品设计文档、专属代码、专利、数字版权资产（电影拷贝、在线资源）等
• 客户信息：明文存储的客户资料、违反合规及隐私保护法规的数据等
• 可被利用再次攻击的信息：员工凭据、RSA密钥、网络拓扑图、渗透测试报告等
• 源代码：第三方或开发团队暴露在github等平台上的代码

5. 数字品牌的安全保护

品牌和身份的完整性是企业安全的重要组成部分。攻击者和竞争对手经常使用假网站、假移动应用程序、假社交媒体账号、假电子邮件账号来进行网络钓鱼、网络诈骗、品牌侵权等活动，将会对线上客户服务、在线商业交易、员工网上办公等业务安全造成严重影响。

以下这些活动不仅会给业务带来损失，还会对企业品牌声誉造成严重影响。

• 利用钓鱼网站、移动应用进行网络诈骗
• 仿冒网站、移动应用进行品牌侵权（滥用）活动
• 仿冒公司（重要人员）社交媒体账号，进行诈骗
• 仿冒公司（重要人员）电子邮件账号，进行诈骗

而且以上这些活动通过模板化工具、容器化安装等方法实现了快速生成、傻瓜化部署，使得违法成本大大降低。同时还大量使用境外服务、转义域名、像素化处理、定向投放、页面跳转、屏蔽特定区域IP等技术手段逃避常规检测增加检测难度，并且因为全球化分部的特性使得绝大部分企业无法自行处置。

据银保监会统计，针对银行的网站钓鱼活动已经连续多年成为金融行业的头号外部威胁，年损失超过百亿人民币规模。

6. 如何有效缩减企业的攻击面

随着企业网络基础设施数量的持续增多、复杂性的持续增加，其暴露的攻击面将持续扩大。受限于企业数字资产管理水平，只有少于30%的企业能够基本掌握其网络基础设施暴露的攻击面情况。

对以下所列这些攻击面暴露情况的梳理，将会是大部分企业面临的长期挑战：

• 未打补丁的应用程序、操作系统、数据库等
• 对外开放的IP地址、网络服务端口
• 网络基础设施的漏洞、弱口令、过期证书
• 提供对外服务的域名、子域名
• 已下线业务曾经使用的域名、IP地址、网络服务端口
• 新公司并购（机构调整）产生的攻击面变化

根据企业业务状况，合理规划和整合对外服务平面，全面掌握并缩减有效的攻击面，是被无数事实证明的重要安全机制。

三、如何开展数字风险防护

为了降低数字风险，公司必须首先确定他们关心的是检测暴露面、发现泄露数据还是保持业务连续性？只有针对性的进行威胁识别，才能够更好的实施风险防护。当然这是一个迭代的过程，一旦开始风险监测并进行威胁评估，企业也将清楚的了解他们更需要保护的是什么。

幸运的是，我们可以使用包括社交媒体监控，搜索引擎工具，威胁情报和安全性测试等手段帮助企业侦测并有效管理这些数字风险。

1. 识别数字资产

第一步当然是得让企业弄清楚他们最想要保护的数字资产是什么，这是我们所熟知的所有风险评估工作的起点。有很多成熟的评估框架和风险管理实践可以指导我们开始进行这项工作。

从传统的安全技术角度出发，我们一般需要梳理出所以的IT基础设施（比如：网络设备、服务器、终端设备等）以及上面所运行的所有系统和应用，并且把这些资产与具体人（员工、客户、合作伙伴、服务提供商等）和组织机构关联起来。然后在这些的基础上，使用各类技术手段去检查和测试这些IT资产上放开了那些端口和服务，并需要持续性的监控这些资产的变化情况。建立一个可以动态更新维护的数字资产台账，对大多数企业来说都是充满挑战的。但是这些工作也是无法替代和必不可少的。

为了更好的围绕企业的关键业务来构建数字资产管理体系。我们还应该更进一步去识别能够对企业的关键业务产生影响，并且有可能影响财务收入、商誉、信用等的数字资产。比如技术和科技类公司可以更多的关注知识产权、源代码和客户数据，销售类企业更多的关注品牌影响、即将发布的新产品资料和企业网站，金融和投资类公司更多的关注尚未完成的并购和交易信息、影响客户资金安全的风险等。这些和业务结合更紧密的数字资产一旦出现安全事件，不仅仅会造成直接的经济损失，还将给企业带来品牌声誉、客户信任度等方面的巨大负面影响。而且这些资产不仅仅存在于企业内部，随着企业数字化程度的深入将会更多的分布于整个互联网上。

因此企业对域名和子域名、IP地址和服务端口、各类社交媒体平台和企业账号、源代码托管平台和企业源代码、各类论坛和社区上下载和买卖的企业客户数据以及数字版权内容等数字资产进行统一的监测和管理，可以让我们更好的掌握企业在网络中的暴露面，是开展数字风险防护的关键步骤。

2. 应用威胁情报

了解威胁，是进行风险计算的重要工作。在开展威胁评估的时候，使用网络威胁情报是被最广泛采用的方法。威胁情报通常根据企业不同业务特征和需求提供有关信息安全威胁，漏洞，事故和其他安全相关问题的信息。 同时还能够提供关于攻击者的身份、动机、特征和方法的信息。通过威胁情报，我们可以了解某个威胁的行为（技术、战术和过程），动机以及这一威胁可能被利用的机会。目前最为流行的威胁评估框架是ATT&CK，他将世界上真实发生的各种威胁手段转化成可以被统一描述的语言字典，让我们能够更好的了解我们的对手，为开展数字风险防护工作提供决策支持。更重要的是能够全面的了解威胁组织在攻击阶段能够利用的手段，如研究泄露的源代码、暴露的用户名密码等凭证信息、冒充品牌进行钓鱼、并最终利用暴露的IT基础设施的脆弱性开展攻击等。企业需要减少提供给威胁组织的这些攻击机会，从而降低数字风险。

威胁情报将企业自身和对手情报信息转化为一个全面的知识网，为企业及上下游的利益相关者提供多个层次的价值，这也意味着它的三个关键特征，分别是清晰自己的保护点、了解对手的攻击面、不同层面的用户根据情报信息各司其职 。

• 自身相关性

无论是风险控制、安全防护还是威胁情报体系建设的工作，原则上都要基于企业的信息资产评估为基础，因为首先我们要梳理清楚我们要保护什么，即兵法所云先要“知己”。而这些资产可能是各种形态的，它可能是数字资产，比如门户网站、应用程序、源代码、网络资源、数据等；也可能是实体资产，比如建筑、设备、人员、文档等；还有可能是无形的资产，比如信誉、荣誉、专利、产权等等。

• 威胁源描述

安全从某种角度来看其实就是攻击者与防护者的对抗与博弈。事实上，如若不能提前预知敌人的动机和攻击方式，很难从技术上制止他们的恶意行为。同样的，通常情报也是侧重于特定敌人的。举个例子来说，运动员会侦察比赛的对手。竞争分析师会分析竞争对手企业的产品，定价和计划信息。军事和政治情报活动则可能以敌国为目标。

而我们的敌人，就是网络犯罪分子，网络间谍和黑客。故而建立威胁情报体系，组织威胁情报中心，目的就是为了让企业更加了解敌人以及敌人所使用的攻击，即“知彼”的过程，了解敌人的动机、目的、方式手段、时间位置等，才可以更好的为企业防护提供帮助和参考。

• 多层面

威胁情报另一个关键特性是它会持续地分发原始威胁数据，并经过分析生成更高层面的威胁情报（所谓的战术情报、战略情报是不同层面的威胁情报）。但对于不同行业、不同业务的用户要根据其相对应的不同层面的情报或数据对号入座。举个例子来说，对于同样的威胁警报：

R SOC分析员希望得到情报的是该条报警我到底值不值得提交给应急响应团队。

R 应急响应团队则希望通过情报知晓该条报警是否与网络中出现的其他事故还有所关联。

R CISO则可能希望对企业整体的风险进行评估，并会时刻担心这条报警背后会不会就与这次的数据泄露事件相关。

3. 部署监测工具

如上所述，随着数字化进程的深入企业对自己所拥有的数字资产的控制力度将持续降低，为了发现这些数字资产的暴露情况，企业应该考虑建立一整套覆盖全球Web网站、App商店、社交媒体、网盘存储、知识社区、深网&暗网等渠道的全球数字风险监测系统。为了完成这一项艰巨的任务，我们需要综合使用包括威胁情报系统、网络空间探测系统、搜索引擎技术等在内的多种工具和技术。

根据企业数字资产的分布，结合威胁组织的技战术方法，我们将可以在上面的监控体系中尝试建立一系列场景，以帮助企业更好的进行数字风险管理。

• IT基础设施暴露面监测

主要对企业所使用的域名（子域名）、IP地址、开放端口、API接口服务等在网络上的暴露情况进行持续监测，应提供历史变化情况比较。

• 通用应用（设备）的脆弱性监测

对常见的网络设备、操作系统、中间件、数据库以及应用程序的漏洞、默认口令、弱配置等进行监控和告警。

• 专有应用（设备）的脆弱性监测

对企业专属的设备、应用程序等漏洞、默认口令、弱配置等进行监控和告警。

• 客户数据泄露监测

主要针对企业内部保存的客户隐私数据是在网络上的泄露情况进行监测，在条件允许的情况下还可以监测和客户其他隐私数据的泄露情况。

• 版权数据泄露监测

主要包含企业敏感文件（拓扑图、投资决策、内部规划、财务数据等）、数字版权文件（非公开的咨询报告、数字电影拷贝、小说拷贝、音乐拷贝、直播信号等）、知识产权（专利、技术资料等）的监控。

• 源代码泄露监测

包括内部源代码的公开泄露、第三方供应商源代码泄露以及开源代码中私有凭据的泄露等。

• 员工信息及内部凭据泄露监测

包括企业内部员工通讯录、账号权限配置、内部凭据等的泄露监控。

• 企业内部失陷设备监测

通过与威胁情报的关联比对，监测内部已经失陷的主机和设备。

• 钓鱼攻击监测

包括利用仿冒公司品牌资源对客户进行钓鱼攻击，以及仿冒供应链品牌对企业内部员工进行钓鱼攻击的监测。

• 侵权事件监测

与钓鱼攻击不同，攻击者通过未授权的网站、APP和社交媒体平台，滥用品牌Logo、商标，误导性地暗示与品牌之间的关联；或利用品牌知名度，注册与品牌相似的域名进行不正当竞争，以达到其恶意的目的。

• 社交媒体欺诈监测

攻击者通过在社交媒体上建立针对公众人物、企业高管、VIP客户等仿冒账号，进行欺诈活动。

• 威胁误报监测

主要针对企业对外发布的服务和应用被各类浏览器、安全软件误认为存在安全隐患而进行了错误拦截或安全警告的情况进行监测。

• 其他数字风险监测

结合企业特定业务场景的其他数字风险监测。

4. 处置和缓解风险

理解了风险和威胁，进行了数字资产的暴露监测，我们还应该具备对数字风险的处置或缓解能力。我们可以从战术执行、持续运营和战略决策三个层面进行能力规划。战术执行层面的一些措施：

• 减少攻击面

我们应该尽量少的对外提供网络接口和服务，及时将已经下线的业务所使用的IT基础设施关闭，限制特权账号的可操作路径，维护业务系统间访问关系白名单等。

• 关停违规内容

应该有能力对钓鱼、仿冒、盗版等网站等威胁进行全球关停处置，对侵权内容、泄露数据有能力进行快速删除操作。

• 网络行为阻断

能够具备自动化的对于非法外联、违规访问、敏感数据外发等行为进行阻断操作的能力。

持续运营层面的一些措施：

• 进行持续监控

要摆脱对人工的依赖，使用各种自动化技术（自然语言处理、图像识别、机器学习等）构建持续监控的能力，并且能够不断丰富和优化数据来源以提高监测质量和效果。

• 与事件响应流程集成

我们应该将数字风险告警与其他安全事件放到同样重要的位置，对数字风险事件的响应也应该涵盖风险评估、检测策略覆盖、调查取证、问题处置、事件管理等环节，并与企业现有的安全事件响应流程相匹配。

• 成为安全处置策略

外部的数字风险也能够传导到企业内部，所以无论是威胁情报或者是其他数字风险防护策略都应该能够被企业已有的安全设备和防护措施自动化应用。

战略决策层面的措施：

• 更新企业的安全风险评估模型，将外部数字风险和威胁作为业务风险评估的重要组成部分。
• 要能够定期的向管理层展示数字风险的完整视图，提高数字风险管理在决策者心中的地位。

下图是我心目中比较理想的数字风险管理架构：

写在最后，在实际的数字风险防护工作中，我们往往还会收到客户业务部门或者法务部门的一些特殊请求，最常见的就是请求我们协助寻找数字风险事件背后的人。所以如果你的团队具备威胁狩猎的能力，并能够恰当的使用，那将会成为画龙点睛的一笔。