互联网协议(IP)地址及其背后的设备、网络服务、云资产是现代企业的生命线。但公司通常会积累数以千计的数字资产,而这种无组织的状态会给IT和安全团队带来无法管理的混乱。如果不仔细检查,被遗忘、遗弃或未知的数字资产可能成为公司的网络安全定时炸弹。为什么查看和管理网络上的每个数字事物都应该是重中之重?这是一种可能性:它们是您组织基础架构中增长最快的部分。有效的数字资产管理(包括IP地址可见性)是阻止攻击者对您的网络资产发起攻击的最基本、最有效的方法。在过去的二十年里,安全团队一直专注于解决内部资产风险。面向公众的数字资产和IP地址是“非军事区”的一部分,这是一个强化但非常有限的边界。但随着全球大流行病和随之而来的在家工作趋势推动的数字化转型,网络边界变得模糊,需要让位于当今所有托管服务的现代架构。数字资产:死亡、遗忘和危险过去两年的业务数字化转型引发了新的网络应用程序、数据库和物联网设备的海啸。他们为威胁组织创造了一个巨大的新攻击面,包括复杂的云原生IT基础设施。可能暴露的是数以千计的API、服务器、IoT设备和SaaS资产。管理不善的数字资产是一颗定时炸弹。例如,Web应用程序存在巨大风险。在最近的CyCognito调查中,我们发现全球2000强组织平均每个组织有5,000个暴露的Web界面,占其外部潜在易受攻击面的7%。在这些Web应用中,我们发现不乏jQuery、JQuery-UI、Bootstrap等开源JavaScript漏洞库问题。也不乏SQL注入、XSS、PII暴??露等漏洞。任何未知或管理不善的面向外部的资产都可以被视为邀请对手破坏您的网络的机会。然后,攻击者可以窃取数据、传播恶意软件、破坏基础设施并启用持久的未授权访问。当我们与公司谈论他们的攻击面时,我们很少听到他们表达对其数字资产的信心。许多公司仍然通过Excel电子表格跟踪IP地址并依次连接资产。这个措施有效吗?事实上,这只适用于最小的组织。一项2021年ESG研究发现,73%的安全和IT专业人员依赖它们。数据安全是重中之重,它是贵公司的皇冠上的明珠。在我看来,保护IP地址和连接资产应该采用更现代的管理方法,以便在问题出现之前解决问题。善意可能会出错,但即使是善意的公司也会犯错误。假设企业服务台创建的内部票务系统只能通过内部URL访问。对手可能会利用URL的基本IP地址并通过添加“:8118”打开网络后门(或端口)。这就是为什么IP地址(包括端口、域和证书等相关技术)会带来重大的安全和声誉风险。结果可能是数字资产软点的坟墓,这些软点通常充当对手的切入点,例如被遗忘或管理不善的DevOps或SecOps工具、云产品和设备Web界面。在当今复杂的企业中,系统管理员通常只能看到他们负责管理的设备的一部分。如果资产不在您的雷达屏幕上,您就无法真正降低风险。为什么管理IP连接资产就像养猫在过去12个月中,通过对CyCognito客户群的观察研究,我们发现组织内的IP地址(和相关数字资产)数量增加了20%。这种增长至少部分归因于云的采用和对驻留在企业网络上的连接设备和Web应用程序的依赖。但经常被忽视的是,当公司成长或收缩时,基础设施会蔓延。例如,在绕过IP地址管理方面,并购(M&A)活动通常会使企业保持平稳。假设一家酒店集团收购了一家规模较小的竞争对手。发生这种情况时,它还会继承一个潜在的雷区,即不受管理和未知的IP地址和域。死域和被遗忘的域——一种不同类型的数字资产——经常成为所谓的悬空DNS记录的牺牲品,允许对手通过重新注册来接管被遗忘的子域。这些子域以前连接到公司资源,但现在完全被不良行为者控制,然后可以用来改变公司的网络流量,导致数据丢失和声誉受损。同样,剥离子公司可能会导致基础设施作为孤立的数字资产和相关网络应用程序被放弃。这些被遗忘的资产经常被IT团队忽视,但绝对不会被投机取巧的黑客忽视。更糟糕的是,不安全的端口使设备容易受到默认凭据攻击。毕竟,要让对手??扫描并找到开放端口,他们需要管理不善的云服务或IP连接硬件。最后,通过收购获得的不受管理的IT基础设施和资产可能会浪费宝贵的时间。考虑一下管理不善的IP地址如何让IT安全团队高度警惕公司资产为何在其不开展业务的国家/地区使用。为了保护关键数据、阻止恶意软件感染和防止违规,部分答案是有效的数字资产管理和提高IP地址可见性。太多的系统管理员仍然依赖于这个过时的基于电子表格的资产管理系统。此外,忽略攻击向量并仅检测已知资产中的CVE的传统扫描器无法评估与公司内大量数字资产相关的风险。例如,在之前的内部票务系统中——意外通过URLhttps://X.X.X.X[:]8118暴露在互联网上——对该IP的端口扫描最多只能找到HTTP服务。扫描仪肯定不会理解暴露的背景和重要性。意外打开公司拥有的云资产上的目录也是如此,尽管这些目录可能包含员工凭证和数TB的敏感数据。无知不是幸福&看到就是相信当然,数字资产默认情况下并不危险。相反,风险与IT堆栈的管理以及系统管理员处理与内部部署、外部部署、托管和非托管服务相关的大量连接应用程序的能力有关。公司面临的难题是:“你如何管理你不知道的东西?”实施网络分段、零信任解决方案和积极的IP和端口扫描,以及资产发现,都是解决威胁缓解问题的必要措施。但这些解决方案并不能100%解决问题。这就像在对20%的居民进行测试的基础上,为社区提供一份干净的COVID-19健康账单。如果没有其他80%的测试,您真的不知道自己是否安全。即使对90%的攻击面进行了完美的漏洞管理,当10%的攻击面可能不可见且不受管理时,这也不是微不足道的。与低效发现工具相关的成本和用于解决发现问题的有限IT资源也是有效管理攻击面的障碍。攻击面管理需要一种围绕“发现”暴露的关键资产的新思维方式。持续发现那些对大规模攻击者抵抗力最小的路径,再加上安全测试,并将有价值资产被盗的风险联系起来,这一点至关重要。CyCognito率先围绕暴露和风险管理与缓慢、范围有限和昂贵的漏洞管理进行了这一理念。想象一下,查看您的整个攻击面——以及您的子公司的攻击面——并能够根据告诉您特定资产被黑客攻击的可能性的风险状况来确定修复的优先级。在数字资产的背景下,了解您的整个IP环境并确定需要首先解决的问题的优先级,可以大大有助于实现更安全的IT环境。大图?对手总是寻找阻力最小的路径。它们避免了更困难的攻击路径,因为它们往往很嘈杂,增加了防御者检测和响应的风险。一种现代的外部攻击面管理方法应该利用相同的最小阻力路径原则和资产修复优先级,同时减少恢复时间(MTTR)并回答“我们安全吗?”这个问题。RobGurzeev,CyCognito的ExternalAttackSurfaceManagement,Inc.首席执行官兼联合创始人。他是一名攻击性安全专家,专注于提供网络安全解决方案,帮助组织找到并消除攻击者利用的路径。本文翻译自:https://threatpost.com/digital-asset-tsunami/179917/如有转载请注明出处。
