零信任的兴起是现代企业对传统IT架构安全升级的迫切需求,但零信任的前提施工就是首先要知道要保护什么。随着企业数字化进程的不断深入,大量新设备和新应用的涌现,安全团队难以及时发现并全面管理网络资产。在部署和构建零信任策略之前,企业应深入了解企业的??关键资产,并对基础设施、应用、服务和供应商(包括任何附属资产)进行详细分类。如果企业网络中存在大量未知资产,将给零信任的建设和应用带来更大的风险和隐患。而外部攻击面管理技术(ExternalAttackSurfaceManagement,简称“EASM”)可以帮助企业有效应对这一挑战。EASM的主要能力和应用场景根据Gartner在2021年发布的《新兴技术:外部攻击面管理关键洞察》报告,EASM应该是用于发现可能存在漏洞的面向外部(Internet-exposed)的企业资产和系统的流程和技术的组合。EASM的一个关键优势是它可以帮助企业更好地发现面向外部的资产,例如域、子域、IP、公共云服务配置、泄露的代码、暴露的数据库以及从攻击者的角度来看的可利用资产。图1从外到内的攻击面管理视角EASM的主要能力包括:监控:持续扫描各种环境(如云服务和面向外部的企业内部基础设施)和分布式生态系统(如物联网基础设施).资产发现:发现并清点企业未知的面向外部的资产和系统。分析:评估和分析资产属性以确定资产是否存在风险、易受攻击或行为异常。优先级排序:对风险和漏洞进行优先级排序,并根据优先级分析提供预警和优先级分析。补救:提供优先缓解措施的实施计划,以及补救缓解工作流程,并集成工作订单系统、事件响应工具和SOAR等解决方案。如果企业能够有效管理外部攻击面,将为后续的零信任建设提供很多有益的帮助。根据Gartner的说法,外部攻击面管理的典型应用场景包括:资产识别和清点:识别未知(影子)数字资产(如网站、IP、域名、SSL证书和云服务),并实时维护资产列表时间。漏洞修复和暴露控制:根据紧急程度和严重程度,对错误配置、开放端口和未修复的漏洞进行风险等级分析,确定优先级。云安全和治理:为了识别组织的各种云提供商的公共资产以改进云安全和治理,EASM可以提供全面的云资产清单,以补充现有的云安全工具。数据泄漏检测:监控数据泄漏,例如凭证泄露或敏感数据。辅助风险评估:构建公司数字资产可视化能力,更全面地了解和评估风险。供应链/第三方风险评估:评估组织的供应链和第三方相关的漏洞和可见性,以支持评估组织的暴露风险。并购(M&A)风险评估:了解拟并购公司的数字资产及相关风险。实现更全面的零信任策略通过外部攻击面管理技术,企业可以更好地发现他们拥有的IT资产。在此基础上,还需要全天候、不间断地跟踪不断增加的数字应用和信息流,以确保实时可见性。企业中的未知资产是动态的、不断变化的。EASM需要能够及时识别企业当前拥有的所有资产,帮助安全团队减少人为错误和非托管部署或数据配置。要实施零信任策略,企业必须考虑保护三大类资产:用户、应用程序和基础设施,所有这些都可以通过EASM技术进行有效发现和控制。对于用户而言,了解谁有权访问哪些系统以及通过何种方式(例如通过公司笔记本电脑或个人计算机)对企业来说很重要。当用户切换到远程或家庭办公室时,网络安全团队可以使用EASM将远程办公员工的数量与一天中的唯一访问请求数量进行比较,以识别潜在的风险区域并保护系统免受恶意攻击。对于应用程序,零信任支持办公室内的安全通信,EASM有助于实时反映暴露的资产,并清楚地列出面向外部的应用程序、用户远程连接和网络基础设施。安全团队可以将此信息与内部系统生成的信息进行交叉检查,以确认合法性并识别系统异常的地理位置信息。最后,针对每个已知来源部署零信任,而EASM不断梳理暴露的外部端口和IT系统,供网络安全团队管理。企业可以使用EASM对基础设施(如路由器、交换机、云、物联网和供应链系统)进行安全监控。正如零信任更新改变了“隐式信任”方法一样,外部攻击面管理也将改变管理所有外部暴露资产的一般方法。零信任颠覆了去中心化系统中通信节点之间的绝对信任。但是,如果要迁移或撤销节点,通常不会实施安全程序来确保外部攻击面保持安全。随着组织规模的扩大,这些被遗弃的资产很容易成为攻击者可以利用的高风险、易受攻击的切入点。EASM让企业能够深入、及时地了解外部攻击面的现状,这是实施完整的零信任策略的前提和基础。全面了解外部攻击面有助于简化CISO的网络安全纪律并减少未知资产的数量。流通中的大量未知资产表明,企业需要制定撤销或拆除通信节点的最佳实践,以防止它们受到攻击。
