來源:https://socradar.io/whats-attack-surface-management-absolute-beginner-guide/
https://socradar.io/best-practices-for-attack-surface-management-asm-with-use-cases/
外部攻擊面管理(ASM)External attack surface management (ASM)是一個(gè)發(fā)現(xiàn)、列出、分類、分析、確定優(yōu)先級(jí)和監(jiān)控所有可能在互聯(lián)網(wǎng)上收集的信息的過程,并通過搜索外部數(shù)字資產(chǎn)將敏感數(shù)據(jù)通知您的組織。
一個(gè)有用的ASM在互聯(lián)網(wǎng)上跟蹤您的整個(gè)數(shù)字足跡,發(fā)現(xiàn)并收集與您的公司有關(guān)的信息。但這可能是太多的信息,也可能是沒用的信息。這就是為什么這些信息不是與你的公司共享,而是首先被分析和分類。在這一步之后,將根據(jù)信息的敏感性對(duì)其進(jìn)行優(yōu)先級(jí)排序。最后,監(jiān)控是最后一步。
簡(jiǎn)而言之,攻擊面就是攻擊者在研究脆弱組織的威脅時(shí)所能發(fā)現(xiàn)的一切。
一、為什么外部攻擊面管理很重要?
要管理這種動(dòng)態(tài)攻擊接口,組織必須確保他們擁有正確的安全控制,以減少攻擊表面中攻擊者可以利用的漏洞數(shù)量。這可以通過使用網(wǎng)絡(luò)安全工具來最小化組織容易受到網(wǎng)絡(luò)攻擊的地方。
然而,這并不是不可能將一個(gè)組織的目標(biāo)區(qū)域的巨大規(guī)模納入觀點(diǎn);它只是需要以一種新的方式來看待它。通過主動(dòng)映射數(shù)字足跡,監(jiān)控在線通道的攻擊指標(biāo),快速化解識(shí)別的威脅,并保護(hù)客戶、員工和網(wǎng)絡(luò),可以進(jìn)一步減少攻擊面。為了保證組織的安全,重要的是要了解基礎(chǔ)設(shè)施暴露和易受攻擊的方式,然后對(duì)有助于減少攻擊的活動(dòng)進(jìn)行優(yōu)先級(jí)排序。一旦您了解了什么是網(wǎng)絡(luò)攻擊,它涉及什么,以及您自己的攻擊范圍有多大,安全專家就可以開始縮小您的基礎(chǔ)設(shè)施可能受到的攻擊類型。
ASM結(jié)合了先進(jìn)的互聯(lián)網(wǎng)數(shù)據(jù)情報(bào)和分析,以加快調(diào)查,了解攻擊面,并采取行動(dòng)應(yīng)對(duì)數(shù)字威脅。持續(xù)安全監(jiān)控是針對(duì)第三方可信任數(shù)字資產(chǎn)的攻擊區(qū)域管理。ASM工具提供了對(duì)這些資產(chǎn)的洞察和可見性,以發(fā)現(xiàn)和監(jiān)視Internet上與您的組織相關(guān)的一切,從而聚焦于您的攻擊表面的巨大規(guī)模。
這種實(shí)時(shí)可見性對(duì)于違反攻擊表面的風(fēng)險(xiǎn)至關(guān)重要,攻擊表面是動(dòng)態(tài)的和高度復(fù)雜的,因?yàn)樗侨魏谓M織的安全策略的關(guān)鍵組成部分。
因此,重要的是監(jiān)控攻擊面,以檢測(cè)和管理攻擊者在互聯(lián)網(wǎng)、移動(dòng)和云環(huán)境中的目標(biāo)資產(chǎn)。您可以通過主動(dòng)映射您的數(shù)字足跡、監(jiān)控在線渠道的攻擊指標(biāo)、快速緩解已識(shí)別的威脅并保護(hù)您的客戶、員工和網(wǎng)絡(luò),從而進(jìn)一步減少攻擊面。智能威脅接口管理還可以幫助您的IT安全團(tuán)隊(duì)從危機(jī)管理人員轉(zhuǎn)變?yōu)檎嬲陌踩治鰩煟麄兊囊娊饪梢员Wo(hù)您的底線。通過增加數(shù)字攻擊區(qū)域的可見性和減少您的業(yè)務(wù)暴露,您可以找到并監(jiān)視Internet發(fā)布的所有資產(chǎn)。
組織可以通過不斷管理和減少攻擊面來主動(dòng)干預(yù)防御,使攻擊者越來越難以成功。他們可以通過使用ASM來提高自己的安全地位;通過在云計(jì)算中使用可信和真實(shí)的欺騙來改進(jìn)攻擊面,從而降低風(fēng)險(xiǎn)。
您可能已經(jīng)在網(wǎng)絡(luò)周圍設(shè)置了一個(gè)保護(hù)整個(gè)系統(tǒng)的邊界,但是一個(gè)受控的攻擊面可以幫助您避免當(dāng)今組織面臨的一些最常見的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。對(duì)網(wǎng)絡(luò)進(jìn)行分割是有意義的,因?yàn)榉指羁梢栽黾庸粽咴谠噲D通過網(wǎng)絡(luò)時(shí)遇到的障礙數(shù)量,從而幫助減少攻擊區(qū)域。通過定義軟件的范圍,您可以在網(wǎng)絡(luò)邊緣識(shí)別和阻止?jié)撛趩栴},以免它們到達(dá)攻擊面。減少新出現(xiàn)的端點(diǎn)攻擊影響的另一個(gè)關(guān)鍵是使事件在端點(diǎn)處更可見。
良好的外部攻擊面管理產(chǎn)品全天候監(jiān)控所有系統(tǒng),以發(fā)現(xiàn)新發(fā)現(xiàn)的新的安全漏洞。實(shí)時(shí)可見性對(duì)于檢測(cè)攻擊對(duì)企業(yè)中在線運(yùn)行的一系列網(wǎng)絡(luò)、軟件、協(xié)議和服務(wù)的攻擊表面的影響至關(guān)重要。考慮到在線業(yè)務(wù)中的網(wǎng)絡(luò)、軟件協(xié)議和服務(wù)的數(shù)量和復(fù)雜性,可能很難確定哪些部分的攻擊是入侵和入侵的來源。傷害風(fēng)險(xiǎn)的識(shí)別是動(dòng)態(tài)的、高度復(fù)雜的,其特點(diǎn)是需要探索幾個(gè)復(fù)雜的領(lǐng)域,如網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和網(wǎng)絡(luò)管理。
對(duì)于今天的組織來說,管理攻擊面本身可以最大限度地減少對(duì)手利用漏洞的機(jī)會(huì),并有助于防止數(shù)據(jù)泄露。
二、攻擊面是什么?
攻擊接口是攻擊者進(jìn)入環(huán)境的點(diǎn)或向量,它僅僅是攻擊者進(jìn)入設(shè)備或網(wǎng)絡(luò)并提取數(shù)據(jù)的所有可能方式的列表。換句話說,攻擊接口可以描述為不同點(diǎn)的集合,未經(jīng)授權(quán)的用戶可以在這些點(diǎn)上滲透IT環(huán)境。攻擊者可以從幾個(gè)方面試圖滲透環(huán)境,例如訪問網(wǎng)絡(luò)、從遠(yuǎn)程位置訪問或通過網(wǎng)絡(luò)連接訪問。
攻擊面描述了攻擊者可以進(jìn)入系統(tǒng)并訪問數(shù)據(jù)的各個(gè)點(diǎn)。簡(jiǎn)單地說,攻擊面包括攻擊者可以利用來進(jìn)行成功攻擊的組織的網(wǎng)絡(luò)環(huán)境,包括協(xié)議、接口、軟件和部署的服務(wù)。它是暴露給企業(yè)的資源。
在現(xiàn)代公司中,攻擊面是大規(guī)模的和超維的,鑒于當(dāng)今數(shù)字環(huán)境的復(fù)雜性,我們開始更好地理解與外部攻擊面管理相關(guān)的挑戰(zhàn)。
攻擊面可分為4組。所有攻擊面可以是這4組中的至少一個(gè)。
攻擊面是指任何對(duì)互聯(lián)網(wǎng)開放并可被攻擊者利用的資產(chǎn),如域基礎(chǔ)設(shè)施、網(wǎng)站服務(wù)、云技術(shù)等。它可以被描述為一個(gè)組織的網(wǎng)絡(luò)接口、它的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和資源。綜上所述,攻擊面包括:
已知資產(chǎn):已知資產(chǎn)是指網(wǎng)站、服務(wù)器等公司注冊(cè)管理的資產(chǎn)。
未知資產(chǎn):未知資產(chǎn)就像為了營(yíng)銷目的而被安全團(tuán)隊(duì)遺忘的域名,或者開發(fā)團(tuán)隊(duì)遺忘在存儲(chǔ)庫中構(gòu)成未知實(shí)體的一些敏感數(shù)據(jù)。
假冒資產(chǎn):惡意基礎(chǔ)設(shè)施,如虛假域名,惡意社交媒體帳戶看似屬于公司,但由攻擊者創(chuàng)建。
第三方資產(chǎn):攻擊面最終不只是針對(duì)擁有資產(chǎn)和公司的公司。公司網(wǎng)站上的第三方j(luò)avascript腳本或用于定位其資產(chǎn)的托管服務(wù)器是公司數(shù)據(jù)交換生態(tài)系統(tǒng)中攻擊面的一部分。
三、如何在5個(gè)步驟中管理外部攻擊面?
1. 數(shù)字足跡發(fā)現(xiàn)
要管理外部攻擊面,首先需要識(shí)別所有對(duì)互聯(lián)網(wǎng)開放的資產(chǎn)。發(fā)現(xiàn)階段很重要,因?yàn)楣居性S多他們不知道或忘記的資產(chǎn),以及他們知道和管理的資產(chǎn)。例如,為了營(yíng)銷目的而打開的一些促銷頁面可能忘記關(guān)閉,或者沒有通知安全團(tuán)隊(duì)。任何被遺忘或未進(jìn)行安全配置的資產(chǎn)都可能對(duì)公司造成危害。因?yàn)楣粽呖偸歉矚g攻擊公司而不是非托管資產(chǎn)。
另外,一些暴露的被攻擊者用來模仿公司的PII(個(gè)人身份信息)數(shù)據(jù)和資產(chǎn),如網(wǎng)站、sm賬戶等,也可以在外部攻擊面管理的第一步被檢測(cè)出來。
連接到公司資產(chǎn)的第三方應(yīng)用程序或供應(yīng)商也會(huì)出現(xiàn)在發(fā)現(xiàn)階段,在這種情況下,它會(huì)擴(kuò)大您的攻擊面,因?yàn)樗诠镜纳鷳B(tài)系統(tǒng)中。
發(fā)現(xiàn)過程從簡(jiǎn)單的掃描提供的IP地址和子網(wǎng)到更全面的OSINT(開源情報(bào))和暗網(wǎng)瀏覽。
一些安全解決方案要求組織提供數(shù)據(jù)清單,以監(jiān)控和管理外部攻擊面,或在公司內(nèi)部進(jìn)行一些定位。
SOCRadar僅以域名地址作為輸入,用于發(fā)現(xiàn)組織的攻擊面。由于采用了先進(jìn)的搜索方法,它使用OSINT方法在表面網(wǎng)、深層網(wǎng)和暗網(wǎng)上探索整個(gè)資產(chǎn)清單,而不觸及和破壞公司的任何資產(chǎn)。
2. 資產(chǎn)庫存與分類
在發(fā)現(xiàn)資產(chǎn)之后,應(yīng)該根據(jù)資產(chǎn)的類型、技術(shù)特征、業(yè)務(wù)關(guān)鍵性和遵從性需求,創(chuàng)建具有正確標(biāo)簽的庫存。
組織需要不斷更新的資產(chǎn)維護(hù)和保護(hù)。但是,每個(gè)部門管理的資產(chǎn)類型是不同的。例如,當(dāng)網(wǎng)絡(luò)團(tuán)隊(duì)想要監(jiān)控DNS記錄的變化時(shí),社交媒體帳戶的管理可能會(huì)在營(yíng)銷團(tuán)隊(duì)之下。希望能夠快速訪問其管理的資產(chǎn)的負(fù)責(zé)人。正因?yàn)槿绱耍瑒?chuàng)建一個(gè)正確分類的庫存是很重要的。
SOCRadar通過將資產(chǎn)分類到不同的類別,提供了對(duì)資產(chǎn)的輕松訪問。它還具有一種授權(quán)機(jī)制,可以通知不同的人,這些人負(fù)責(zé)監(jiān)視每個(gè)資產(chǎn)期間發(fā)生的發(fā)現(xiàn)。
3.連續(xù)安全監(jiān)視
在數(shù)字世界中,組織的資產(chǎn)不斷更新,隨著資產(chǎn)清單的增加,安全團(tuán)隊(duì)很難跟蹤更新的資產(chǎn)。還有很多第三方應(yīng)用程序在資產(chǎn)上運(yùn)行,每天都有數(shù)百個(gè)容易被利用的安全漏洞在這些應(yīng)用程序上發(fā)布。因此,必須確保對(duì)數(shù)字資產(chǎn)進(jìn)行全天候監(jiān)控,以發(fā)現(xiàn)新發(fā)現(xiàn)的漏洞和錯(cuò)誤配置。
SOCRadar旨在持續(xù)監(jiān)控檢測(cè)到的資產(chǎn),通知安全團(tuán)隊(duì)公司內(nèi)部的任何誤解或配置,并識(shí)別可能的攻擊活動(dòng)。通過漏洞跟蹤模塊,可以在攻擊面內(nèi)檢測(cè)到具有弱點(diǎn)的應(yīng)用程序。
4. 模仿資產(chǎn)和事件監(jiān)控
持續(xù)安全監(jiān)控涵蓋由您的組織或授權(quán)的第三方操作的已知和未知數(shù)字資產(chǎn)。然而,攻擊的范圍遠(yuǎn)不止于此,還包括網(wǎng)絡(luò)罪犯創(chuàng)建的惡意或欺詐資產(chǎn)。
這包括濫用你的商標(biāo)或信譽(yù)的釣魚網(wǎng)站,假裝屬于你的移動(dòng)應(yīng)用程序,或社交網(wǎng)絡(luò)上的虛假賬戶等數(shù)字威脅。
因此,持續(xù)監(jiān)視惡意實(shí)體和事件對(duì)于確保針對(duì)組織的攻擊載體的整體可見性至關(guān)重要。
SOCRadar通過將海量數(shù)據(jù)點(diǎn)聚合并關(guān)聯(lián)到可采取行動(dòng)的情報(bào)警報(bào)中,構(gòu)建了即時(shí)網(wǎng)絡(luò)釣魚領(lǐng)域識(shí)別、全互聯(lián)網(wǎng)掃描和受損證書檢測(cè)技術(shù)。
5. 檢測(cè)和識(shí)別風(fēng)險(xiǎn)
組織需要外部攻擊面管理,以識(shí)別其數(shù)字資產(chǎn)可能出現(xiàn)的風(fēng)險(xiǎn),并采取相關(guān)行動(dòng)。
四、SOCRadar如何幫助您進(jìn)行外部攻擊面管理?
ASM幫助客戶以自動(dòng)化的方式獲得關(guān)于未知外部數(shù)字資產(chǎn)嚴(yán)重性的額外可見性和上下文。通過SOCRadar先進(jìn)的全互聯(lián)網(wǎng)監(jiān)控算法,AttackMapper為安全團(tuán)隊(duì)提供了對(duì)所有正在使用的面向互聯(lián)網(wǎng)的技術(shù)資產(chǎn)以及IP、DNS、Domain和密碼基礎(chǔ)設(shè)施的資產(chǎn)的直接可見性。
SOCRadar只使用主域名地址信息來檢測(cè)公司的數(shù)字足跡,并通過分類自動(dòng)提取資產(chǎn)清單。
它定期監(jiān)視組織的資產(chǎn)并檢測(cè)與之相關(guān)的更改。通過監(jiān)視構(gòu)成攻擊面的資產(chǎn),它使我們能夠跟蹤攻擊者并防止可能的攻擊。此外,它還可以向安全團(tuán)隊(duì)提供關(guān)于公司內(nèi)部丟失的安全配置、關(guān)鍵開放端口、過期的SSL證書/域等的信息。
當(dāng)有關(guān)公司資產(chǎn)的漏洞在外部網(wǎng)絡(luò)及其應(yīng)用程序上可見時(shí),SOCRadar會(huì)通知公司。
SOCRadar以服務(wù)的形式提供以下模塊:
數(shù)字足跡發(fā)現(xiàn)
域/ IP監(jiān)控
SSL證書監(jiān)控
DNS監(jiān)控
漏洞檢測(cè)
重要端口檢測(cè)
JavaScript監(jiān)控
關(guān)鍵數(shù)據(jù)泄漏檢測(cè)
