对攻击面管理必要性的深入思考

访客3年前 (2021-04-10)黑客资讯533

作者简介：黄乐，北京掌数信息技术有限公司联合创始人，清流派企业安全沙龙创始人，公众号“企业安全工作实录”主理人，《企业信息安全建设之道》作者，曾任央视网 *** 安全部副总监。对企业安全运营及管理有多年实践经验，研究领域涉及安全运营、安全检测及防御、漏洞治理、内容安全、应急响应等领域。

笔者在两年前曾写过一篇《攻击面管理策略梳理》文章，在刚刚出版的新书《企业信息安全建设之道》中，也用攻击面管理作为技术篇的之一章。但经过大量交流和思考，感觉讨论的还不够充分，所以就有了本文。本文不再从具体 *** 上讨论安全策略管理需要如何做，而是在思路上，再次探讨安全策略管理工作的必要性。

笔者曾经在一家互联网架构的国企工作了十几年，作为信息安全工作负责人，每天要面对来自各个方面的挑战。不仅要思考攻击对抗、脆弱性修复、情报分析、安全教育等各方面工作的策略，更要不停地对技术原理和应用进行多方面研究。从基础的云和大数据技术，到AI在安全领域的落地，甚至区块链在业务安全中的应用都进行了大量研究工作。

相信任何做技术的人在研究前沿技术时都会进入舒适区，而舒适区往往意味着危险。在很多实践中可以看到，AI等先进技术是用来解决安全领域金字塔尖的问题的，对于大量基础问题，则需要基础的 *** 和策略去解决。

从信息安全领域来看，最基础的问题就是攻击面管理。相比AI、区块链的研究，攻击面管理工作实在是不够高大上，甚至写周报的时候都不好意思多提。但负责过信息安全工作的朋友都清楚，一个完善的四层安全策略体系至少可以解决一半安全问题。为了说明这个问题，我们可以从每个人对自己房屋的安全性入手，去探讨攻击面管理的重要性。

对一般房屋来说，最主要的攻击面就是门和窗。作为负责一间屋子安全的人，不能每天研究做锁的技巧，而忘了关窗。或者过多思考诸如 “墙被突破了该怎么办？”这类问题。而是应该关注“买什么样的锁和防盗窗效果更好”，以及“出门前要管好门窗，不要轻易给陌生人开门”之类的安全策略。

相应的，企业信息安全负责人也更应该管好锁（安全策略），而非做好锁（安全产品）。

由此引申而出，对企业来说，安全防御策略的梳理就变得非常重要。带着这个问题，笔者在2020年10月的清流派企业安全沙龙中，邀请安博通和十余家企业安全负责人一起进行了深入探讨。在场各企业的安全负责人都普遍关注这个问题，由此可见，企业安全负责人普遍还都是比较务实的。

当天的讨论主要从下面几个环节展开：