攻击面是指一个组织暴露在互联网上的所有数字资产。云资源、网站、IP地址、社交媒体账号、第三方供应商的应用系统等。随着企业数字化转型的深入,大量资产经常暴露在攻击者面前,其中部分资产来源于影子IT和整个组织仍在使用的陈旧技术,以及商业并购也会产生大量未被盘点的数字资产。此外,许多企业现在依靠远程工作模式度过危机并保持竞争力,导致难以监控的IT设备迅速增加。这些因素导致企业难以手动准确管理攻击面并保持同步。管理目标的实现需要先进的技术手段,供应方管理(ASM)解决方案应运而生。1.攻击面管理方案选择指标攻击面管理(ASM)是一套旨在发现、分类和评估组织资产安全状态的方法。ASM评估可以为安全团队指明实施保护强化机制的正确方向。一个有价值的ASM解决方案需要能够从外部攻击者的角度,在持续的、系统的过程中发现安全风险和漏洞。它通常包括以下四个部分:识别所有可能触发网络攻击的本地和云资产,并寻找其中的安全漏洞;优先修复风险资产,落实相应处置措施,验证修复效果;持续监控攻击面,不断发现新的安全漏洞。目前还没有功能全面的ASM解决方案,企业需要根据自己的实际应用需求选择最合适的产品。企业在进行选型决策时,可以关注以下选型指标:资产发现能力。ASM解决方案需要能够自动发现企业的所有数字资产,尤其是那些仍然未知的数字资产,并对其进行风险评级,以创建全面的风险恢复策略;威胁可用性分析。ASM解决方案应该有全面的报告和对威胁可用性的洞察力,而不是简单的数据提取。组织管理者需要能够支持决策的意见和海量数据分析得出的结论;确定资产保护优先级。安全运营团队不可能涵盖所有需要解决的问题,需要关注更危险的问题;资产标记选项。ASM解决方案需要能够标记资产。资产管理和治理是企业做好攻击面管理的前提;从攻击者的角度来看。ASM解决方案需要能够模拟真实黑客攻击的思路和手段,指导组织的攻击面管理,自定义资产管理范围。用户可根据业务变化灵活调整资产数量;便于使用。友好的产品界面,尽可能自动运行,可灵活调整产品监控范围;误报率低。尽可能避免误报对客户业务工作的影响。2.流行的攻击面管理工具盘点Randori如果企业对攻击面的识别、盘点、分析等有高精度要求,那么RandoriRecon解决方案是理想的选择之一。它是一种更成熟的产品,可以从攻击者的角度自动发现资产。该解决方案使用创新的TargetTemptation系统来确定数字资产的优先级,以帮助企业了解首先要保护的内容。应用特征分析可以更准确地发现暴露在IPv4和IPv6网络上的资产,以及云端的资源。能够自动标记发现的企业资产。能够给出全面的管理分析报告和保护建议。易于操作且易于使用。管理界面需要改进,提高界面的直观性。缺少为其他团队成员留下笔记的选项。没有适当注意主机名和IP。SpectralOps对于许多开发团队来说,能够完全专注于编写代码只是一个奇思妙想。盲点、错误配置、暴露的凭据和易受攻击的基础设施部分会造成太多注意力分散,无法专注于任务。SpectralOps,它使用人工智能技术在整个CI/CD过程中自动监控、分类和保护资产。它实时识别可利用的API密钥、凭据、令牌、秘密和错误配置,检测多个公共来源的供应链漏洞和专有代码,并让用户自由构建自定义检测器,执行他们自己的缓解策略。该平台与编程语言无关,支持500多个堆栈,并与流行的开发系统广泛集成,包括AzureDevOps、AWSCodeBuild、Jenkins和CircleCI。当遇到数据泄露时,SpectralOps会立即通过Slack、Jira或用户选择的其他通知服务提醒工作人员,以防止最坏的情况发生。应用程序分析易于设置并支持快速扫描。具有直观可视化的开发人员友好型应用程序界面。易于集成,具有比较完善的客户应用支持。自定义模式有点混乱。Coalfire是2021年4月问世的ASM工具,在发现和监控公司的外部攻击面方面做得很好。依托Coalfire二十年的风险管理和渗透测试背景,拥有完整的服务体系,可以发现本地和云基础设施环境中的各种薄弱环节,并根据可见性和归因检测发现的漏洞,进行分类、优先级排序和修复努力受到监督。Coalfire攻击面管理的独特之处在于它结合人工服务来验证客户的安全状况,同时资产跟踪和监控是完全自动化的。对于需要遵守法规的企业来说,该解决方案是一个不错的选择。应用特征分析提供商在安全服务领域拥有丰富的经验,综合报告分析能力突出。提供了有关如何解决特定漏洞的指南。具有优秀的客户支持和服务能力。产品比较新,误报率有待进一步降低。UpGuardUpGuard的攻击面管理攻击在很多方面都很出色。除了提供典型的ASM功能外,它还配备了创新的数据泄漏发现引擎,可以深度搜索开放的互联网空间,获取客户供应链系统的秘密泄漏数据,包括凭据和身份文件。另一个功能是复杂的风险评分和安全评级系统,该系统使用经过实战检验的专有算法来准确评估组织的数字态势。对应用程序特性的分析在程序应用方面享有盛誉。比较完善的IT基础设施扫描和发现能力。可用于无缝集成的API。算法更新后,风险评分可能会大幅波动。比较专业,新用户上手有点困难。SearchLightSearchLight从实际攻击者的角度进行由外而内的攻击面管理,高效检测数据泄露、冒充域、暴露的敏感代码、漏洞、错误配置的设备、开放端口、证书问题以及其他漏洞被利用的应用系统。该工具还擅长暗网监控和威胁情报利用,支持供应商基础设施筛选、漏洞监控和恶意行为者跟踪。在识别关键资产和风险后,该解决方案可以与专业的安全服务团队合作,提供丰富的攻击面上下文分析和科学的行动策略。应用程序分析监视数百万个数据源以快速找到暴露的资产。识别品牌仿冒品的能力。拥有先进的威胁情报能力。暗网监控使其成为重要宣传点,但实际效果有待验证。ImmuniWebDiscoveryImmuniWebDiscovery是攻击面管理领域的明星工具,结合AI和开源情报情报(OSINT),从黑客的角度观察企业资产暴露情况。它不断暴露、分析和分类组织的数字环境,包括错误配置的IT资产、受损数据和感染恶意软件的系统。该方案还可以提供第三方供应商风险评分机制,防范供应链攻击风险。应用特征分析可以快速发现各种数字资产。能够为风险管理提供优先分析和建议。移动应用程序的性能并不完美。部分用户觉得管理配置界面不够友好,有点混乱。CyCognito,因为CyCognito通常被称为初创公司(成立于2017年),其特点是能够在易于使用的平台中支持整个ASM周期,从攻击者角度的自动侦察到协助修复漏洞.该工具根据业务背景执行综合分析,例如谁拥有资产、存储数据的重要性以及暴露的攻击向量。这种类型的分析可以更准确地确定风险的优先级。另外值得注意的是,CyCognito已经开始使用机器学习技术和自然语言处理来发现第三方资产以及通过并购或合资积累的资产。应用特性分析由一家快速成长的初创公司开发,产品决策链高效简洁。有很多创新的应用功能。产品成熟度不高,尚未达到非常稳定的运行状态。ReflectizReflectiz专注于第三方应用引入的Web攻击面的监控和管理,可以快速检测和展示基于Web的攻击面。Reflectiz还具有内置的隐私合规性功能以及将应用程序违规检测纳入其攻击面管理解决方案的能力。使用内置合规性解决方案进行应用程序分析。无需安装软件,性能良好。仅实施基于客户端的攻击面管理。
