云設(shè)施的廣泛采用、組織網(wǎng)絡(luò)的迅速發(fā)展，以及工作方式轉(zhuǎn)向遠(yuǎn)程，直接導(dǎo)致了組織攻擊面大幅擴(kuò)展，連接架構(gòu)中盲點(diǎn)增多。

攻擊面擴(kuò)展，加之監(jiān)控分散，帶來(lái)了人們不愿見(jiàn)到的結(jié)果：成功的網(wǎng)絡(luò)攻擊顯著增加。除了臭名昭著的勒索軟件，攻擊也涵蓋一系列其他類型。主要問(wèn)題是，網(wǎng)絡(luò)攻擊者利用無(wú)人監(jiān)控的盲點(diǎn)來(lái)破壞組織的基礎(chǔ)設(shè)施，將攻擊縱向升級(jí)或橫向遷移，以謀取有價(jià)值的信息。

發(fā)現(xiàn)攻擊是問(wèn)題所在。大多數(shù)組織快速發(fā)展，但追蹤所有變化內(nèi)容的能力尚未跟上。要迎頭趕上而對(duì)所有過(guò)去和現(xiàn)有資產(chǎn)進(jìn)行編目，這一任務(wù)常被認(rèn)為徒勞無(wú)益，十分復(fù)雜且耗費(fèi)資源。

然而，鑒于被成功入侵的潛在代價(jià)，以及網(wǎng)絡(luò)攻擊者識(shí)別和使用暴露資產(chǎn)的能力增強(qiáng)，任何資產(chǎn)不受監(jiān)控都可能導(dǎo)致災(zāi)難性后果。

這也就是攻擊面管理 (ASM) 等新興技術(shù)的用武之地。

什么是攻擊面？

攻擊面是指所有通過(guò)互聯(lián)網(wǎng)訪問(wèn)處理或存儲(chǔ)數(shù)據(jù)的硬件、軟件、SaaS 和云資產(chǎn)，也可以將其視為可被網(wǎng)絡(luò)犯罪分子利用來(lái)操縱網(wǎng)絡(luò)或系統(tǒng)以提取數(shù)據(jù)的攻擊向總和。攻擊面包括：

• 已知資產(chǎn)：庫(kù)存和管理的資產(chǎn)，例如公司網(wǎng)站、服務(wù)器以及依賴它們運(yùn)行的內(nèi)容；
• 未知資產(chǎn)：例如影子IT或孤立的IT基礎(chǔ)設(shè)施，這些基礎(chǔ)設(shè)施超出了安全團(tuán)隊(duì)的權(quán)限范圍，例如被遺忘的開(kāi)發(fā)網(wǎng)站或營(yíng)銷網(wǎng)站；
• 流氓資產(chǎn)：由威脅行為者啟動(dòng)的惡意基礎(chǔ)設(shè)施，例如惡意軟件、域名搶注或冒充域名的網(wǎng)站或移動(dòng)應(yīng)用程序等；
• 供應(yīng)商：攻擊面不僅限于組織自身，第三方和第四方供應(yīng)商同樣會(huì)引入重大的第三方風(fēng)險(xiǎn)和第四方風(fēng)險(xiǎn)。即便是小型供應(yīng)商也可能導(dǎo)致大規(guī)模數(shù)據(jù)泄露。

什么是攻擊面管理 (ASM) ？

ASM 是一種挖掘互聯(lián)網(wǎng)數(shù)據(jù)集和證書(shū)數(shù)據(jù)庫(kù)，或模擬攻擊者偵察手段的技術(shù)。這兩種方式都旨在對(duì)排查過(guò)程中發(fā)現(xiàn)的組織資產(chǎn)進(jìn)行全面分析，亦包括掃描域、子域、IP、端口、影子 IT 等來(lái)排查面向互聯(lián)網(wǎng)的資產(chǎn)，然后對(duì)其進(jìn)行分析以找出漏洞和安全隱患。

高級(jí)ASM包括針對(duì)每個(gè)暴露的安全隱患提供可行解決建議，例如清理未使用和不必要的資產(chǎn)以減少攻擊面，或?qū)€(gè)人提出警告，告知其電子郵件地址隨時(shí)可被用于網(wǎng)絡(luò)釣魚(yú)攻擊。

ASM 亦包括就開(kāi)放源情報(bào) (OSINT) 進(jìn)行報(bào)告，這些情報(bào)包括公開(kāi)在社交媒體，甚至視頻、網(wǎng)絡(luò)研討會(huì)、公開(kāi)演講和會(huì)議等材料上的個(gè)人信息，可能會(huì)被用于社會(huì)工程攻擊或網(wǎng)絡(luò)釣魚(yú)活動(dòng)。

攻擊面管理非常重要，它有助于預(yù)防和減輕來(lái)自以下的風(fēng)險(xiǎn)：

• 遺留、物聯(lián)網(wǎng)和影子IT資產(chǎn)；
• 網(wǎng)絡(luò)釣魚(yú)和數(shù)據(jù)泄露等人為錯(cuò)誤和疏忽；
• 易受攻擊和過(guò)時(shí)的軟件；
• 未知的開(kāi)源軟件（OSS）；
• 針對(duì)組織的有針對(duì)性網(wǎng)絡(luò)攻擊；
• 針對(duì)所屬行業(yè)的大規(guī)模攻擊；
• 侵犯知識(shí)產(chǎn)權(quán)；
• 從并購(gòu)活動(dòng)中繼承的IT資產(chǎn)；
• 供應(yīng)商管理資產(chǎn)。

總而言之，ASM 的目標(biāo)是確保所有暴露的資產(chǎn)都處于監(jiān)控狀態(tài)，并消除任何可能被攻擊者利用來(lái)打入企業(yè)系統(tǒng)的盲點(diǎn)。

誰(shuí)將需要 ASM ？

在關(guān)于“2021年網(wǎng)絡(luò)安全有效性狀態(tài)”的網(wǎng)絡(luò)研討會(huì)上，“網(wǎng)絡(luò)布道師”大衛(wèi)·克萊因(David Klein)恰好談到了Cymulate用戶采用ASM前未予以關(guān)注的發(fā)現(xiàn)。在采用ASM之前，他們未意識(shí)到，這一群體當(dāng)中:

• 80% 沒(méi)有反欺詐SPF 郵件記錄
• 77% 網(wǎng)站缺乏保護(hù)
• 60% 有暴露的賬戶、基礎(chǔ)設(shè)施和管理服務(wù)
• 58% 郵件帳戶曾被黑客入侵
• 37% 使用外部托管的 Java
• 26% 沒(méi)有為域名配置DMARC記錄
• 23% SSL證書(shū)與主機(jī)名不匹配

人們一旦認(rèn)識(shí)到這些安全漏洞其實(shí)就可以將之彌補(bǔ)，但在此之前，對(duì)這類暴露漏洞如此一無(wú)所知才真正令人擔(dān)憂。

本分析中的 ASM 用戶來(lái)自大量垂直行業(yè)、所屬多種地區(qū)和組織規(guī)模。這也表明，任何擁有連網(wǎng)基礎(chǔ)設(shè)施的組織都應(yīng)將ASM納入其網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，然后從這一舉措中受益。

從哪可以獲取ASM？

ASM技術(shù)雖然還很新，但其供應(yīng)商數(shù)量正與日俱增。同樣，考慮將ASM納入一個(gè)先進(jìn)平臺(tái)而非獨(dú)立產(chǎn)品效果更顯著。

ASM解決方案的重點(diǎn)部分取決于與之關(guān)聯(lián)的產(chǎn)品體系。因此，基于擴(kuò)展掃描能力，與端點(diǎn)檢測(cè)和響應(yīng)(EDR)等響應(yīng)式套件相關(guān)聯(lián)的ASM解決方案更有可能，而納入主動(dòng)式平臺(tái)(如擴(kuò)展安全態(tài)勢(shì)管理(XSPM))內(nèi)部的ASM解決方案則更可能專注于利用掃描能力，對(duì)模擬網(wǎng)絡(luò)攻擊者的偵察手段和工具詳細(xì)展開(kāi)。

選擇集成ASM有助于將涉及組織安全狀況的數(shù)據(jù)集中在一個(gè)單一虛擬管理平臺(tái)，從而降低安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)數(shù)據(jù)過(guò)載的風(fēng)險(xiǎn)。

研究機(jī)構(gòu)Forrester在攻擊面管理報(bào)告中列出ASM應(yīng)用的幾點(diǎn)建議：ASM不應(yīng)僅被視為一種工具或能力，而應(yīng)是工具賦能的一種規(guī)劃，并且應(yīng)當(dāng)利用它將優(yōu)先級(jí)相互沖突的團(tuán)隊(duì)凝聚起來(lái)。如果組織力求應(yīng)用程序和基礎(chǔ)設(shè)施的依賴關(guān)系映射達(dá)到預(yù)期狀態(tài)，那么讓ASM規(guī)劃的目標(biāo)更具可見(jiàn)性、進(jìn)而提高可觀察性，并將之視為達(dá)到這個(gè)預(yù)期狀態(tài)的關(guān)鍵手段，就可以統(tǒng)一安全、技術(shù)、業(yè)務(wù)領(lǐng)導(dǎo)及團(tuán)隊(duì)成員，這是漏洞風(fēng)險(xiǎn)管理和內(nèi)部補(bǔ)丁服務(wù)等級(jí)協(xié)議(SLA)肯定無(wú)法做到的。

攻擊面管理對(duì)組織來(lái)說(shuō)是性價(jià)比非常高的安全工作。有效收斂攻擊面可以讓組織在投入最低成本的情況下，最大程度降低對(duì)外暴露的安全風(fēng)險(xiǎn)。對(duì)于中大型網(wǎng)絡(luò)來(lái)說(shuō)，可以通過(guò)自建或采購(gòu)安全策略管理平臺(tái)方式實(shí)現(xiàn)系統(tǒng)化、自動(dòng)化的攻擊面管理。

參考鏈接：https://thehackernews.com/2022/02/how-attack-surface-management-preempts.html