近日,美国网络安全审查委员会发布第一份报告称,2021年底暴露的Log4j漏洞已成为难以消除的漏洞,其影响将持续十年。Log4j事件表明我们对暴露的IT资产知之甚少。据统计,大型组织通常拥有数千、数万或更多面向互联网的资产,包括网站、敏感数据、员工凭证、云工作负载、云存储、源代码、SSL证书等。如果要问“从攻击者发现和利用Log4j等漏洞的频率和速度上能学到什么教训”,答案一定是在攻击面管理和网络防护工具部署上积极探索。随着现代数字基础设施、容器化、SaaS应用的加速发展以及混合工作环境的快速增长,企业面临的攻击面也在不断扩大。为了降低攻击风险,许多组织都在努力发现、分类和管理面向Internet的资产。2018年,Gartner首次提出攻击面管理(AttackSurfaceManagement,简称ASM)的概念。2021年7月,Gartner发布《2021安全运营技术成熟度曲线》,将攻击面管理相关技术定义为新兴技术。Gartner预测,供应侧管理解决方案将成为2022年大型企业的首要投资项目。ESG高级首席分析师JonOltsik也认为,2022年是攻击面管理技术的重要一年。在《2022年网络安全的主要趋势报告》中,Gartner研究人员强调:随着企业攻击面不断扩大,安全和风险管理领导者将增加对相关流程和工具的投资。攻击面管理被视为转向主动安全的开始。主动安全意味着通过与攻击者一样深入了解整个攻击面,通过持续测试确定补救措施的优先级并验证补救措施的有效性,从而领先于潜在的攻击者。通过这种方式,组织第一次可以及早洞察安全威胁并采取适当的措施来缓解威胁并降低风险。2021年将出现大量供应方管理收购:Mandiant收购Intrigue,Microsoft收购RiskIQ,PaloAltoNetworks收购ExpanseNetworks。这些频繁的收购让业界看到了供给侧管理的发展势头。Gartner估计,到2026年,20%的公司将对其95%的资产具有可见性,高于2022年的不到1%。这意味着该领域仍处于早期阶段。ASM:第一支柱暴露管理攻击面是指所有能够未经授权访问和利用企业数字资产的潜在入口的总和,包括对硬件、软件、云资产和数据资产的未经授权访问等;它还包括人员管理、技术管理、业务流程等方面的安全漏洞和缺陷,即存在可能被攻击者利用并造成损失的潜在风险。简单来说,攻击面主要包括:已知资产:被盘点和管理的资产,比如你公司的网站、服务器,以及运行在上面的依赖;未知资产:例如影子IT或孤立的IT基础设施,这些设施超出了您的安全团队的权限,例如被遗忘的开发或营销站点;流氓资产:威胁行为者构建的恶意基础设施,例如恶意软件、域名抢注或冒充您的域名的网站和移动应用程序等;供应商:您的攻击面不仅限于您的组织;第三方和第四方供应商也可能带来重大的安全风险。即使是小型供应商也可能导致大量数据泄露。例如,最终导致百货公司巨头Target泄露超过1.1亿消费者的信用卡和个人数据的HVAC供应商。需要强调的是,并不是所有的资产暴露面都可以成为攻击面,只有暴露面可以叠加攻击向量形成攻击面。攻击面管理是指从安全角度对企业数字资产攻击面进行检测发现、分析判断、智能预警、响应处置、持续监控企业数字资产攻击面的一种资产安全管理方法。攻击者。考察企业所有资产被攻击的可能性。在Gartner的报告中,攻击面管理(ASM)是更广泛的功能集“暴露管理”中的第一个支柱,其中还包括漏洞和验证管理。暴露管理包括攻击面管理、漏洞管理和验证管理。Gartner认为,ASM涉及三个新兴的技术创新领域,即网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)和数字风险防护服务(DRPS)。).其中,外部攻击面管理(EASM)使用部署的流程、技术和托管服务来发现面向互联网的企业资产、系统和相关漏洞,例如潜在可利用的服务器、凭据、公共云服务配置错误和第三方合作伙伴软件代码中的漏洞。网络资产攻击面管理(CAASM)侧重于使安全团队能够应对持续的资产可见性和漏洞挑战,使企业能够查看所有资产(内部和外部),通过与现有工具的API集成查询整合数据,确定漏洞范围和安全控制方面的漏洞,并补救问题。数字风险保护服务(DRPS)通过技术和服务的组合提供,以保护关键数字资产和数据免受外部威胁。这些解决方案提供对开放网络、社交媒体、暗网和深层网络资源的可见性,以识别对关键资产的潜在威胁,并提供有关攻击者及其恶意活动策略和流程的上下文信息。这三者支持的一些用例重叠并且存在一些混淆。EASM更侧重于技术和操作,而DRPS主要支持更多以业务为中心的活动。EASM主要侧重于外部资产,而CAASM侧重于内部资产。为什么需要攻击面管理?虽然网络防御者仍在ASM门口,但攻击者已经在使用自动化工具来发现资产、识别漏洞并发起攻击。其中许多攻击已被证明是成功的。传统的安全控制(例如防火墙、IPS、网络分段等)能够保护组织的网络;然而,“策略有对策”,老练的攻击者已经转向其他意想不到的攻击媒介。他们开始瞄准安全团队经常忽略的自动扫描仪和组织攻击面——例如,瞄准社交媒体平台上的员工或瞄准聊天/协作工具。此外,供应链攻击还为组织管理打开了另一个攻击面。研究表明,69%的组织所经历的网络攻击都是从利用未知、未管理或管理不善的面向互联网的资产开始的。这些网络攻击可能很严重——想想2017年的Equifax漏洞或2021年的Log4j事件。攻击面管理的价值包括:提高资产可见性,使组织能够避免盲点和非托管技术(例如“影子IT”),从而改善他们的安全状况并实现更全面的风险管理;了解针对资产的潜在攻击帮助组织确定安全控制部署和配置优先级的路径。反过来,这有助于减少可能被利用的不必要的Internet和公共域暴露;更准确、最新和全面的资产和安全控制报告,可以更快地报告审计合规性;数据收集阻力更小,对影子IT、安装的第三方系统和IT缺乏治理和控制的业务线应用程序具有更好的可见性;获得可操作的情报和有意义的指标,并跟踪它们。这些证明了将ASM纳入网络安全计划的价值。因此,攻击面管理解决方案包括以下部分:发现资源发现阶段能够识别组织的业务资源,其中还包括未记录的资产,例如具有开放端口的子域、生产服务器上未开发的应用程序等。这阶段还揭示了黑客模拟和用来模拟组织员工的各种个人身份信息(PII)数据和资源,以及与公司资源相关的第三方服务或供应商。管理资产库存和分类在此阶段,组织必须根据类型、技术属性、法规要求和业务价值建立带有适当标签的库存。每个部门管理的资源类别可能不同,领导职位的个人需要快速访问他们管理的资源。因此,建立一个合适的分类列表是至关重要的。验证持续监控资源在不断变化,随着库存的增长,安全专业人员发现很难跟上最新的资源。许多第三方应用程序每隔一天就会报告数十个可能被利用的安全漏洞。24/7全天候验证和监控资源是否存在漏洞和配置问题至关重要。此外,组织还应监控深网和暗网中的相关关键字,例如业务/项目名称、关键人员详细信息和其他机密信息。确定资源和漏洞的优先级如果没有有效的风险和安全评估,管理攻击面将很困难。如果不进行漏洞扫描,就很难知道资源上存在哪些安全风险,从而使组织面临安全漏洞、信息泄露或其他网络威胁。这就是为什么识别和评估虚拟资源至关重要,这样组织才能了解要缓解和优先处理哪些威胁。跟踪服务变化持续跟踪组织的公共和私有资源对于全面了解攻击向量至关重要。它包括在线风险,例如凭证窃取钓鱼网站、与组织相关的虚假移动应用程序以及虚假社交媒体资料。此外,此阶段还强制记录现有清单中的任何修改,例如发布新的Web应用程序或连接到网络的附加邮件服务器。攻击面管理挑战企业高管和董事会越来越要求提高对安全风险的可见性。但大多数安全团队仍然采用类似ASM的多线程手动流程,通过向外部资产和风险概况提供一系列情报来管理风险。根据ESG研究,发现、分类和管理所有资产不可能一蹴而就。除了明显的“盲点”之外,大多数组织还有许多他们不知道的面向Internet的资产。据供应商称,当机构使用自动扫描仪时,他们通常可以找到大约40%的资产。根据ESG研究,在43%的组织中,攻击面发现需要80多个小时,完全跟不上云原生应用程序、远程工作者和第三方连接的移动、添加和更改的速度.与网络安全的其他领域一样,许多组织通过从大量不同的现有工具收集信息片段来实践ASM。研究表明,41%的组织使用威胁情报源,40%依赖IT资产管理系统,33%使用云安全监控解决方案,29%依赖漏洞管理。当然,必须有人收集这些数据,将其关联起来,并尝试理解它。ASM解决方案从攻击者的角度,以持续、自主的方式评估企业可发现的攻击面,帮助安全团队评估攻击的可能性和漏洞的影响。ASM显着改善了参与企业的整体安全态势,但机构需要上下文洞察力,不幸的是,当前的ASM方法在这方面存在不足。此外,ASM面临的挑战包括:ASA工具主要由小型供应商提供。在中短期内,这些供应商可能会进行并购,这可能会影响对它们的投资;ASA功能主要是开源功能的集合,进入这个市场的门槛很低。扩展检测和响应[XDR]等大型安全平台供应商的提供商可能会构建或获取能力,以便为购买其更大的网络安全工具生态系统的组织提供更强大的ASA功能;每个ASA技术都可能是孤立的,并可能在配置、管理和维护方面产生额外的人工成本开销;ASA技术的功能越来越多地与其他互补市场重叠,例如威胁情报、端点保护平台、BAS和VA市场。已经拥有类似可见性和风险评估产品的组织可能难以证明添加ASA技术的成本是合理的;与其他工具的集成可能会受到技术限制(例如缺少API)或不完整的可见性;ASA技术通过来自其他记录系统(例如CMDB)的聚合和协调流程,提高了资产可见性,但没有解决数据质量和粒度差的根本问题。结论现在,是时候使用ASM工具来了解和保护组织的攻击面了,否则它随时可能成为下一个攻击受害者。Gartner建议组织执行攻击面差距分析,以检测IT和安全实践和技术中的潜在盲点。这是改进任何安全程序的基础,尤其是当安全管理人员必须保护日益复杂的环境时。ASA技术通常易于部署和配置。Gartner建议组织评估关键风险驱动因素,以了解优先考虑哪些技术。一般来说,组织应该在CAASM之前安装和管理EASM和/或DRPS,因为CAASM技术在管理EASM和DRPS输出以完成其资产库存方面具有可扩展性。
