疫情的持续蔓延和数字云转型给网络安全带来了许多新的挑战:攻击面增长、IT复杂性、阴影等。2018年,Gartner敦促安全领导者开始减少、监控和管理他们的攻击面,作为整体网络安全风险管理计划的一部分。如今,攻击面管理正成为CIO、CTO、CISO和安全团队的首要任务。什么是攻击面?您的攻击面是可通过Internet访问并用于处理或存储数据的所有硬件、软件、SaaS和云资产。它也可以被认为是网络犯罪分子可以用来操纵网络或系统以提取数据的攻击媒介的总数。您的攻击面包括:已知资产:已清点和管理的资产,例如您的公司网站、服务器以及在其上运行的依赖项;未知资产:例如影子IT或超出安全团队权限范围的孤立IT基础设施,例如被遗忘的开发站点或营销站点;流氓资产:威胁行为者发起的恶意基础设施,例如恶意软件、域名抢注或冒充您的域名的网站或移动应用程序;供应商:您的攻击面不仅限于您的组织,因为第三方和第四方供应商也会带来重大的第三方和第四方风险。即使是小型供应商也可能导致大规模数据泄露,例如最终导致Target泄露超过1.1亿消费者的信用卡和个人数据的HVAC供应商。不幸的是,每天都有数百万的此类资产出现在Internet上,并且完全不在防火墙和端点保护服务的范围之内。攻击面有时也称为外部攻击面或数字攻击面。什么是攻击面管理?攻击面管理(ASM)是对存储、传输或处理敏感数据的外部数字资产的持续发现、清点、分类、优先级排序和安全监控。攻击面管理很重要,因为它有助于预防和减轻来自以下方面的风险:遗留、物联网和影子IT资产;人为错误和疏忽,例如网络钓鱼和数据泄露;易受攻击和过时的软件;未知的开源软件(OSS);针对您的组织的有针对性的网络攻击;针对您所在行业的大规模攻击;侵犯知识产权;从并购活动中继承的IT资产;供应商管理的资产;及时识别数字资产是强大的威胁情报的重要组成部分,可以大大降低数据泄露的风险。要知道,攻击者发起网络攻击所需的只是您组织中的薄弱环节。攻击面管理最佳实践云计算解决方案、远程和在家工作系统以及联网设备的急剧增加无疑创造了更大的攻击面,进一步增加了安全风险。减少漏洞数量的最佳方法是制定适当的企业攻击面管理程序。正确有效的攻击面管理需要分析操作以发现潜在漏洞并获取上下文。此信息可帮助组织制定计划,但成功取决于该计划如何跨组织的网络、系统、渠道和接触点执行。以下是构建企业攻击面管理程序时需要考虑的一些最佳实践。遵循下面概述的建议可以最大程度地减少漏洞并减少威胁行为者破坏组织网络和设备的机会。1.绘制攻击面图要部署适当的防御措施,您必须了解暴露了哪些数字资产、攻击者最有可能渗透网络的位置以及需要采取哪些保护措施。因此,提高攻击面的可见性并构建攻击漏洞的稳健表示至关重要。要寻找的漏洞类型包括较旧和安全性较低的计算机或服务器、未打补丁的系统、过时的应用程序和暴露的物联网设备等。预测建模有助于创建可能发生的事件及其风险的真实情况,进一步加强防御和主动措施。了解风险后,您可以对事件或违规之前、期间和之后发生的情况进行建模。您预计会有什么经济损失?该事件会对您的商业声誉造成多大的损害?您会失去商业情报、商业机密或更多吗?SANS新兴安全趋势总监JohnPescatore:成功的攻击面映射策略非常简单:了解您要保护的内容(准确的资产清单);监控这些资产中的漏洞;并使用威胁情报来了解攻击者如何利用这些漏洞来攻击这些资产。这三个阶段中的每一个阶段都需要熟练的安全人员来跟上所有三个领域的变化步伐。2.最小化漏洞一旦组织绘制了他们的攻击面,他们就可以立即采取行动来减轻最重要的漏洞和潜在攻击向量带来的风险,然后再继续执行较低优先级的任务。尽可能让资产脱机以及加强内部和外部网络是两个重点关注领域。当今市场上的大多数网络平台供应商都提供了有助于最小化攻击面的工具。例如,Microsoft的AttackSurfaceReduction(ASR)规则可帮助用户阻止攻击者常用的进程和可执行文件。不过,值得注意的是,大多数违规行为都是由人为错误造成的。因此,为员工建立安全意识和培训是减少漏洞的另一个重要方面。您制定了哪些政策来帮助他们掌握个人和工作安全?他们明白他们需要做什么吗?他们应该使用什么安全措施?无论如何都会坚持。可靠的网络安全策略需要包括识别最相关来源的方法,挑选出那些更有可能被利用的来源。这些是应该缓解和监控的漏洞。如今,大多数企业允许的访问权限超出了员工和承包商的需要。执行最少访问原则可确保即使帐户遭到入侵,也不会造成中断或重大损害。组织可以首先分析对关键系统的访问权限,然后限制每个人和设备对他们绝对需要的资产的访问。3.建立强大的安全实践和策略严格遵循一些久经考验的最佳安全实践将大大减少您的攻击面。这包括实施入侵检测解决方案、进行定期风险评估以及制定清晰有效的政策。以下是一些需要考虑的做法:使用强大的身份验证协议和访问控制来实现健康的帐户管理;建立一致的补丁和更新策略;维护和测试关键数据的备份;在发生违规时将损失降到最低;监控和淘汰遗留设备、机器和服务;在可行的情况下使用加密;制定或限制您的BYOD政策和计划;由于威胁参与者的变化和不断演变,强大的网络安全计划也需要不断调整。这需要持续监控和定期测试,后者通常可以通过第三方渗透测试服务来实现。监控通常通过自动化系统完成,例如安全信息和事件管理软件(SIEM)。它将主机系统和应用程序产生的日志数据收集到防火墙和防病毒过滤器等网络和安全设备中,然后SIEM软件对事件进行识别、分类和分析,并进行分析。渗透测试提供公正的第三方反馈,帮助您更好地了解漏洞。在此过程中,渗透测试人员进行旨在揭示关键漏洞的模拟攻击。测试应解决企业网络和BYOD的核心要素以及供应商使用的第三方设备。请记住,移动设备约占企业数据交互的60%。5.强化您的电子邮件系统网络钓鱼是攻击者侵入您网络的一种常见方式。但是,一些组织尚未完全部署旨在限制员工收到的恶意电子邮件数量的电子邮件协议。这些协议包括:发件人策略框架(SPF),以防止欺骗合法的电子邮件返回地址;域密钥识别邮件(DKIM)以确保目标电子邮件系统信任从自定义域发送的出站邮件;基于域的消息验证、报告和一致性(DMARC)允许您设置有关如何处理由SPF或DKIM识别的失败或欺骗电子邮件的规则;虽然大多数企业未能实施所有协议,但国际健康保险公司Aetna做到了。这也帮助公司减少了软件错误,同时缩短了公司的上市时间。6.了解合规性所有组织都应该制定政策和程序来研究、识别和理解内部和政府标准。目标是确保所有安全策略都符合规定,并针对每种类型的攻击和破坏制定响应计划。这可能需要建立一个工作组和战略来审查生效的新政策和法规。毫无疑问,合规性对现代网络安全战略很重要,但这并不一定意味着它应该是优先事项。根据Pescatore的说法:合规性往往是第一位的,但几乎100%的信用卡违规公司都符合PCI标准。然而,它们并不安全。他认为网络安全战略应该从评估风险和部署流程或控制措施开始,以保??护公司及其客户。然后,企业应出示各种合规制度(例如HIPAA或PCI)要求的文件,以表明您的政策如何合规。7.聘请审计师即使是最好的安全团队在评估企业攻击面时有时也需要全新的视角。聘请安全审计员和分析师可以帮助您发现可能被忽视的攻击媒介和漏洞。他们还可以协助制定针对潜在漏洞和攻击的事件管理计划。太多的组织没有为网络安全攻击做好准备,因为他们缺乏其他人的制衡来衡量他们的政策是否有缺陷。SmartBillions的首席技术官JasonMitchell表示:“在试图客观地确定安全风险时,拥有一个外部的、公正的视角是非常有益的。”使用独立的监控流程来帮助识别风险行为和威胁,以免它们成为端点问题,尤其是新数字资产、入职供应商和远程工作者。领先的攻击面管理企业1.UpGuardUpGuardBreachSight监控组织的70多项安全控制,提供简单易懂的网络安全评级,并自动检测S3存储桶、Rsync服务器、GitHub存储库等中的泄露凭据和数据.对于供应商信息安全控制的评估,UpGuardVendorRisk可以通过自动化供应商调查问卷和提供供应商调查问卷模板,最大限度地减少组织评估相关和第三方信息安全控制的时间。UpGuard与其他提供商的主要区别在于,他们在防止数据泄露方面拥有非常权威的专业知识。这可以在《纽约时报》、《华尔街日报》、彭博社、《华盛顿邮报》、《福布斯》、路透社和TechCrunch等出版物中看到。2.Expanse总部位于旧金山的Expanse成立于2012年,是一家攻击面管理安全初创公司,开发旨在监控攻击面以进行风险评估和威胁缓解的解决方案。以最近的SolarWinds漏洞事件为例,Expanse可以为企业提供扫描整个互联网上公开暴露的服务器并分析出站行为以检测入侵的能力。Expanse解决方案平台包括用于发现和监控互联网资产的仪表板、用于监控可疑网络活动和分析流量模式的软件,并提供一组用于与现有IT基础设施集成的API和工具。可以说,Expanse的数据提供了企业的外部视图,代表了攻击者在寻找弱点时看到的内容。2020年11月,PaloAlto以8亿美元收购了Expanse。交易完成后,Expanse联合创始人TimJunio和MattKraning也加入了PaloAltoNetworks团队。迄今为止,Expanse已经筹集了1.36亿美元的资金。之前的投资者包括TPG、IVP和NewEnterpriseAssociates。3.RiskIQRiskIQ是数字威胁管理领域的领导者,提供最全面的与组织数字存在相关的威胁发现、情报和缓解套件。RiskIQ使企业能够跨网络、社交媒体和移动设备获得统一的洞察力和控制力。其平台结合了先进的互联网数据侦察和分析功能,以加速调查、了解攻击面、评估风险和对数字威胁采取行动。借助RiskIQCommunityEdition,所有安全分析师都可以在协作在线环境中免费访问其解决方案,以实现有组织的网络防御。4.ElevateSecurityElevateSecurity是人类攻击面管理领域的领导者,由两位前Salesforce安全主管于2017年创立。2021年5月,ElevateSecurity推出了一个突破性的新平台,通过对整个组织的员工风险做出智能、定制和自动化的响应,解决了网络安全中最棘手的问题之一——人为错误。ElevateSecurity平台提供了一个智能化、定制化和自动化的平台,该平台可以获取组织的全部安全数据,以实现对人类风险的基线可见性,使客户能够主动定制安全控制并创建“安全网”。借助ElevateSecurity平台的洞察力和控制力,CISO可以更好地支持整个企业的高增长计划,同时保护和防御人类攻击面。5.CensysCensys是持续攻击面管理的领先提供商,于2013年在密歇根州安娜堡成立,旨在为组织提供全球最全面的全球网络和设备实时视图。2020年,Censys开发了一种新的扫描引擎,其对互联网的洞察力比任何其他网络安全公司都多44%。新架构为Censys攻击面管理客户提供快速且可操作的发现、枚举风险和补救建议,以防止攻击者和漏洞。FireEye、谷歌、北约、瑞士武装部队、美国国土安全部以及超过25%的财富500强企业等客户都依赖该公司的互联网范围持续可见性平台来检测和预防网络安全威胁。Censys还被CBInsights评为“2019年度网络防御者”,以表彰其具有颠覆网络安全行业潜力的突破性技术。本文翻译自:https://www.upguard.com/blog/attack-surface-management如有转载请注明原文地址。
