资讯中心

媒体报道

何为攻击面管理(ASM)?(附企业攻击面管理最佳实践指南)

2021-07-11

持续蔓延的疫情以及数字化云端转型为网络安全带来了许多新挑战:攻击面增长,IT复杂化、影子化等等。2018 年,Gartner敦促安全领导者开始着手减少、监控和管理他们的攻击面,作为整体网络安全风险管理计划的一部分。如今,攻击面管理正在成为CIO、CTO、CISO和安全团队的首要任务。

何为攻击面?

您的攻击面是指可以通过Internet访问的用于处理或存储您的数据的所有硬件、软件、SaaS 和云资产。也可以将其视为网络犯罪分子可以用来操纵网络或系统以提取数据的攻击向量总数。您的攻击面包括:

已知资产:库存和管理的资产,例如您的公司网站、服务器以及在它们上面运行的依赖项;

未知资产:例如影子IT或孤立的IT基础设施,这些基础设施超出了您安全团队的权限范围,例如被遗忘的开发网站或营销网站;

流氓资产:由威胁行为者启动的恶意基础设施,例如恶意软件、域名抢注或冒充您域名的网站或移动应用程序等;

供应商:您的攻击面不仅限于您的组织,第三方和第四方供应商同样会引入重大的第三方风险和第四方风险。即便是小型供应商也可能导致大规模数据泄露,例如最终导致Target泄露超过1.1亿消费者信用卡和个人数据的HVAC供应商。

不幸的是,每天都有数以百万计的此类资产出现在Internet上,并且完全超出了防火墙和端点保护服务的范围。攻击面有时候也称为外部攻击面或数字攻击面。

何为攻击面管理?

攻击面管理(ASM)是对存储、传输或处理敏感数据的外部数字资产的持续发现、盘点、分类、优先级排序和安全监控。

攻击面管理非常重要,因为它有助于预防和减少源自以下方面的风险:

遗留、物联网和影子IT资产;

网络钓鱼和数据泄露等人为错误和疏忽;

易受攻击和过时的软件;

未知的开源软件(OSS);

针对贵组织的有针对性网络攻击;

针对您所属行业的大规模攻击;

侵犯知识产权;

从并购活动中继承的IT资产;

供应商管理资产;

及时识别数字资产是强大威胁情报的基本组成部分,可以大大降低数据泄露的风险。要知道,攻击者发起网络攻击所需要的只是您组织中的一个薄弱环节。

攻击面管理最佳实践

云计算解决方案、远程和在家工作系统以及联网设备的急剧增加,无疑会带来更大的攻击面,从而进一步增加安全风险。而减少漏洞数量的最佳方法就是建立适当的企业攻击面管理程序。

正确有效的攻击面管理需要分析操作以发现潜在漏洞并了解具体情况。这些信息有助于企业组织制定计划,但成功与否还要取决于在组织的网络、系统、渠道和接触点中如何执行该计划。

以下是构建企业攻击面管理程序时需要考虑的一些最佳实践,遵循下述建议可以最大限度地减少漏洞,并降低威胁行为者危害组织网络和设备的机会。

1. 绘制攻击面

要部署适当的防御,您必须了解暴露了哪些数字资产、攻击者最有可能入侵网络的位置以及需要部署哪些保护措施。因此,提高攻击面的可见性并构建对攻击漏洞的有力呈现至关重要。要查找的漏洞类型包括较旧且安全性较低的计算机或服务器、未打补丁的系统、过时的应用程序和暴露的物联网设备等。

预测建模有助于创建对可能发生的事件及其风险的真实描述,进一步加强防御和主动措施。一旦您了解了风险,您就可以对事件或违规之前、期间和之后会发生的情况进行建模。您可以预计会造成怎样的经济损失?事件会对企业声誉造成多大损害?您会丢失商业情报、商业机密或更多信息吗?

SANS新兴安全趋势主管John Pescatore称:

成功的攻击面绘制策略非常简单:了解您要保护的内容(准确的资产清单);监控这些资产中的漏洞;并使用威胁情报来了解攻击者如何利用这些漏洞攻击这些资产。这三个阶段中的每个阶段都需要配置具备熟练安全技术的员工,才能跟上这三个领域的变化速度。

2. 最小化漏洞

一旦组织绘制完成他们的攻击面,就可以立即采取行动减轻最重要的漏洞和潜在攻击媒介带来的风险,然后再继续执行较低优先级的任务。在可能的情况下使资产离线并加强内部和外部网络是值得关注的两个关键领域。

如今,市场上大多数网络平台供应商都提供工具来帮助最小化攻击面。例如,微软的攻击面减少(ASR)规则可以帮助用户阻止攻击者常用的进程和可执行文件。

不过值得注意的是,大多数违规都是由人为错误造成的。因此,针对员工建立安全意识和培训是减少漏洞的另一个关键方面。您有哪些政策可以帮助他们掌握个人和工作安全?他们了解自己需要做什么吗?他们应该使用哪些安全实践?以及一旦遭到攻击将如何影响他们和整个业务?

并非所有漏洞都需要解决,有些漏洞无论如何都会持续存在。可靠的网络安全策略需要包括识别最相关来源的方法,挑选出更有可能被利用的来源。这些都是应该减轻和监控的漏洞。

如今,大多数企业允许的访问权限已经超出了员工和承包商所需的访问权限。执行最小访问权限原则可以确保即使帐户遭到破坏也不会造成中断或重大损害。企业组织可以先对关键系统的访问权限进行分析,然后将每个人和设备的访问权限限制在他们绝对需要的资产上。

3. 建立强大的安全实践和政策

严格遵循一些久经考验的最佳安全实践将大大减少您的攻击面。这包括实施入侵检测解决方案、定期进行风险评估以及制定明确有效的政策。以下是一些需要考虑的做法:

使用强大的身份验证协议和访问控制进行健康的帐户管理;

建立一致的修补和更新策略;

维护和测试关键数据的备份;

对您的网络进行分段,以在发生破坏时将损害降至最低;

监控和淘汰旧设备、机器和服务;

在任何可行的地方使用加密;

建立或限制您的BYOD政策和计划;

4. 建立安全监控和测试协议

随着IT基础设施的变化以及威胁行为者的不断发展,强大的网络安全计划同样需要进行不断地调整。这就需要持续监控和定期测试,后者通常可以通过第三方渗透测试服务实现。

监控通常通过自动化系统完成,如安全信息和事件管理软件(SIEM)。它将主机系统和应用程序生成的日志数据收集到网络和安全设备(例如防火墙和防病毒过滤器),然后,SIEM 软件会识别、分类和分析事件,并对其进行分析。

渗透测试能够提供公正的第三方反馈,帮助您更好地了解漏洞。在此过程中,渗透测试人员会进行旨在揭示关键漏洞的模拟攻击。测试应涉及企业网络和BYOD的核心元素以及供应商正在使用的第三方设备。要知道,移动设备约占企业数据交互的60%。

5. 强化您的电子邮件系统

网络钓鱼是攻击者入侵您网络的常见方式。然而,一些组织尚未完全部署旨在限制员工收到的恶意电子邮件数量的电子邮件协议。这些协议包括:

发件人策略框架(SPF)可防止对合法电子邮件返回地址进行欺骗;

域密钥识别邮件(DKIM)可以确保目标电子邮件系统信任从自定义域发送的出站邮件;

基于域的消息身份验证、报告和一致性(DMARC)允许您设置有关如何处理由SPF或DKIM识别的失败或欺骗电子邮件的规则;

虽然大多数企业并未能将所有协议落地,但是国际健康保险公司Aetna做到了。这也帮助该公司减少了软件漏洞,同时缩短了公司上市时间。

6. 了解合规性

所有组织都应该制定政策和程序来研究、确定以及理解内部和政府标准。目标是确保所有安全策略都能符合合规要求,同时对各种攻击和违规类型都有适当的响应计划。

这可能需要建立一个工作组和战略,以便在新政策和法规生效时对其进行审查。毫无疑问,合规性对于现代网络安全策略非常重要,但这并不一定意味着它应该是优先事项。根据Pescatore的说法:

合规性往往是第一位的,但几乎100%发生信用卡信息泄露的公司都符合PCI合规性。然而,它们却并不安全。

他认为网络安全战略应该首先评估风险并部署流程或控制措施来保护公司及其客户。然后,企业应该制作各种合规制度(例如HIPAA 或PCI)所需的文件,以显示您的策略是如何合规的。

7. 聘请审计员

在评估企业攻击面时,即使是最好的安全团队有时也需要新的视角。聘请安全审计员和分析师可以帮助您发现可能会被忽视的攻击媒介和漏洞。

他们还可以协助制定事件管理计划,以应对潜在的违规和攻击。太多的组织没有为网络安全攻击做好准备,因为他们缺乏其他方制衡力量来衡量他们的政策是否存在缺陷。

Smart Billions首席技术官Jason Mitchell表示:

在尝试客观地确定安全风险时,拥有一个外部的、公正的观点可能非常有益。使用独立的监控流程来帮助识别风险行为和威胁,以免它们沦为端点上的问题,尤其是新的数字资产、新加入的供应商以及远程员工。

领先的攻击面管理企业

1. UpGuard

UpGuard BreachSight可以监控组织的70多种安全控制,提供简单、易于理解的网络安全评级,并自动检测S3存储桶、Rsync服务器、GitHub存储库等中泄露的凭据和数据。

而对于供应商信息安全控制的评估,UpGuard Vendor Risk可以通过自动化供应商问卷调查和提供供应商问卷模板,最大限度地减少组织评估相关和第三方信息安全控制的时间。

UpGuard 与其他供应商之间的主要区别在于,它们在防止数据泄露方面具有非常权威的专业知识。这一点可以从《纽约时报》、《华尔街日报》、彭博社、《华盛顿邮报》、《福布斯》、路透社和 TechCrunch 等刊物上得到印证。

2. Expanse

总部位于旧金山的Expanse公司成立于2012年,是一家攻击面管理的安全初创公司,开发旨在监控攻击面的解决方案,以便进行风险评估和缓解威胁。以日前发生的SolarWinds漏洞事件为例,Expanse能够为企业提供扫描整个互联网上公开暴露服务器的功能,并分析出站行为以检测入侵。

Expanse解决方案平台包括一个用于发现和监控互联网资产的仪表盘、监控可疑网络活动和分析流量模式的软件,还提供了一系列API和工具,用于与现有IT基础设施进行整合。可以说,Expanse的数据提供了一个从外部观察企业的视角,代表了攻击者在探寻薄弱点时看到的景象。

2020年11月,Palo Alto公司以8亿美元收购Expanse公司,Expanse联合创始人Tim Junio和Matt Kraning也在交易完成后加入Palo Alto Networks团队。

迄今为止,Expanse公司已经获得了1.36亿美元的资金。之前的投资者包括TPG、IVP和New Enterprise Associates。

3. RiskIQ

RiskIQ是数字威胁管理的领导者,提供最全面的发现、情报和缓解与组织数字呈现相关的威胁。RiskIQ使企业能够获得对网络、社交媒体和移动设备的统一洞察和控制力。其平台结合了先进的互联网数据侦察和分析能力,以加快调查、了解攻击面、评估风险并针对数字威胁采取行动。使用RiskIQ社区版,所有安全分析师都可以在协作在线环境中免费访问其解决方案,以实现有组织的网络防御。

4. Elevate Security

Elevate Security 是人类攻击面管理的领导者,由两位前Salesforce安全主管于2017年创立。2021年5月,Elevate Security推出了一个突破性的新平台,该平台解决了网络安全最大的棘手问题之一 ——人为错误——对整个组织的员工风险进行智能、定制和自动响应。

Elevate Security 平台提供了一个智能、定制和自动化的平台,该平台可以获取组织的全部安全数据,以获得对人类风险的基准可见性,使客户能够主动定制安全控制并围绕风险最高的员工创建“安全网”。

凭借来自 Elevate Security 平台的洞察力和控制,CISO 能够更好地支持企业内的高增长计划,同时保护和防御人类攻击面。

5. Censys

Censys是持续攻击面管理的领先供应商,于2013年在密歇根州安娜堡成立,旨在为组织提供世界上最全面的全球网络和设备实时视图。

2020年,Censys开发出了一种新的扫描引擎,能够洞察比任何其他网络安全公司多出44%的互联网。新架构为Censys攻击面管理客户提供快速可操作的发现、列举风险和补救建议,以防止攻击者和违规行为。

FireEye,谷歌,北约、瑞士武装部队,美国国土安全部等客户以及超过25%的《财富》500强企业都依赖该公司的互联网范围的持续可见性平台来发现和预防网络安全威胁。Censys还因其具有改变网络安全行业潜力的开创性技术,被CB Insights评为“2019 年网络防御者”。

参考及来源:https://www.upguard.com/blog/attack-surface-management

返回