随着云能力的广泛使用,随之而来的组织网络的快速增长,以及近期远程办公的兴起,组织攻击面的大规模扩散直接导致了安全性的日益增长盲区。这种不可预见的扩张,加上易受攻击的攻击面监控,已经见证了网络攻击的数量猛增。其中最著名的是勒索软件,但它还包括许多其他攻击。最大的问题仍然是攻击者利用的不受监控的盲点,他们可以渗透组织的基础设施并通过权限提升或横向移动来寻找有价值的信息。问题是如何发现这些情况。大多数组织跟踪所有组件并对所有过去和现在的资产进行分类的能力远远超过了组织自身发展的速度;而整理自己的资产,也算是吃力不讨好。然而,考虑到成功攻击的成本,以及攻击者越来越善于识别和使用暴露的资产,任何一个不受监控的点都可能导致灾难性的破坏。这就是最近的攻击面管理(ASM)技术派上用场的地方。什么是攻击面管理?攻击面管理在Internet上挖掘数据集和凭证存储库,或模拟攻击者如何使用嗅探技术。这两种方法的目标都是对组织在发现过程中可以找到的资产进行全面分析。这两种方法都包括扫描域名、子域名、IP地址、端口、影子IT等面向互联网的资产,然后对其进行分析,检测是否存在漏洞或安全漏洞。高级攻击面管理的范围从可操作的缓解建议到修复已发现的安全漏洞;从推荐未使用或不必要的资产以减少攻击面,到通知个人他们的邮箱已被破坏并且可能成为网络钓鱼攻击的目标。攻击面管理包括报告可用于社会工程或网络钓鱼攻击的开源情报,例如社交媒体上公开可用的个人情报,甚至是视频、公开演讲、网络研讨会和会议中的材料。最终,攻击面管理的目标是确保没有暴露的资产不受监控,并消除任何可能形成攻击入口点的盲点。谁需要攻击面管理?在他关于2021年网络安全生产力状况的网络研讨会中,DavidKlein解释了Cymulate用户如何使用攻击面管理。在使用攻击面管理之前,他们不知道:80%的用户没有反欺骗、SPF电子邮件记录。77%的用户缺乏有效的网站保护。60%的用户暴露了账户、基础设施和托管服务。58%的用户已入侵电子邮件帐户。37%的用户使用外部调用的Java函数。26%的用户没有为域名配置DMARC记录。23%的用户存在SSL证书不匹配问题。一旦确定,就可以填补这些安全漏洞,但真正令人担忧的是问题被发现之前的影响。此分析中的攻击面管理用户来自不同的垂直领域、地域和组织规模。这意味着任何具有外部连接基础设施的组织都将受益于将攻击面管理作为其网络安全基础设施集成的一部分。在哪里可以找到攻击面管理?尽管该技术最近兴起,但已经有一些攻击面管理供应商。与其他安全功能一样,攻击面管理最好作为整个平台的一部分而不是单独的产品来完成。攻击面管理解决方案的侧重点与其相关系列产品的侧重点有些相关。如果与EDR等反应性产品相关联,攻击面管理解决方案往往更基于扫描;如果包含在扩展安全态势管理(XSPM)等主动平台中,则攻击面管理解决方案更倾向于基于扫描。它从扫描功能扩展到攻击者的侦察技术和工具。选择集成的攻击面管理解决方案有助于将与组织安全状况相关的数据集中在单个仪表板中,从而降低SOC团队数据过载的风险。攻击面管理并不是一个新概念,但随着攻击面本身的增长,未来将成为一个越来越重要的领域。由于攻击面管理的目标之一就是梳理和抑制攻击入口,因此站在攻击者角度的思考能力是不可或缺的。攻防经验积累的安全厂商,在该领域也将具有独特的优势。
