来源:https://socradar.io/whats-attack-surface-management-absolute-beginner-guide/
https://socradar.io/best-practices-for-attack-surface-management-asm-with-use-cases/
外部攻击面管理(ASM)External attack surface management (ASM)是一个发现、列出、分类、分析、确定优先级和监控所有可能在互联网上收集的信息的过程,并通过搜索外部数字资产将敏感数据通知您的组织。
一个有用的ASM在互联网上跟踪您的整个数字足迹,发现并收集与您的公司有关的信息。但这可能是太多的信息,也可能是没用的信息。这就是为什么这些信息不是与你的公司共享,而是首先被分析和分类。在这一步之后,将根据信息的敏感性对其进行优先级排序。最后,监控是最后一步。
简而言之,攻击面就是攻击者在研究脆弱组织的威胁时所能发现的一切。
一、为什么外部攻击面管理很重要?
要管理这种动态攻击接口,组织必须确保他们拥有正确的安全控制,以减少攻击表面中攻击者可以利用的漏洞数量。这可以通过使用网络安全工具来最小化组织容易受到网络攻击的地方。
然而,这并不是不可能将一个组织的目标区域的巨大规模纳入观点;它只是需要以一种新的方式来看待它。通过主动映射数字足迹,监控在线通道的攻击指标,快速化解识别的威胁,并保护客户、员工和网络,可以进一步减少攻击面。为了保证组织的安全,重要的是要了解基础设施暴露和易受攻击的方式,然后对有助于减少攻击的活动进行优先级排序。一旦您了解了什么是网络攻击,它涉及什么,以及您自己的攻击范围有多大,安全专家就可以开始缩小您的基础设施可能受到的攻击类型。
ASM结合了先进的互联网数据情报和分析,以加快调查,了解攻击面,并采取行动应对数字威胁。持续安全监控是针对第三方可信任数字资产的攻击区域管理。ASM工具提供了对这些资产的洞察和可见性,以发现和监视Internet上与您的组织相关的一切,从而聚焦于您的攻击表面的巨大规模。
这种实时可见性对于违反攻击表面的风险至关重要,攻击表面是动态的和高度复杂的,因为它是任何组织的安全策略的关键组成部分。
因此,重要的是监控攻击面,以检测和管理攻击者在互联网、移动和云环境中的目标资产。您可以通过主动映射您的数字足迹、监控在线渠道的攻击指标、快速缓解已识别的威胁并保护您的客户、员工和网络,从而进一步减少攻击面。智能威胁接口管理还可以帮助您的IT安全团队从危机管理人员转变为真正的安全分析师,他们的见解可以保护您的底线。通过增加数字攻击区域的可见性和减少您的业务暴露,您可以找到并监视Internet发布的所有资产。
组织可以通过不断管理和减少攻击面来主动干预防御,使攻击者越来越难以成功。他们可以通过使用ASM来提高自己的安全地位;通过在云计算中使用可信和真实的欺骗来改进攻击面,从而降低风险。
您可能已经在网络周围设置了一个保护整个系统的边界,但是一个受控的攻击面可以帮助您避免当今组织面临的一些最常见的网络安全风险。对网络进行分割是有意义的,因为分割可以增加攻击者在试图通过网络时遇到的障碍数量,从而帮助减少攻击区域。通过定义软件的范围,您可以在网络边缘识别和阻止潜在问题,以免它们到达攻击面。减少新出现的端点攻击影响的另一个关键是使事件在端点处更可见。
良好的外部攻击面管理产品全天候监控所有系统,以发现新发现的新的安全漏洞。实时可见性对于检测攻击对企业中在线运行的一系列网络、软件、协议和服务的攻击表面的影响至关重要。考虑到在线业务中的网络、软件协议和服务的数量和复杂性,可能很难确定哪些部分的攻击是入侵和入侵的来源。伤害风险的识别是动态的、高度复杂的,其特点是需要探索几个复杂的领域,如网络基础设施、网络安全、数据安全和网络管理。
对于今天的组织来说,管理攻击面本身可以最大限度地减少对手利用漏洞的机会,并有助于防止数据泄露。
二、攻击面是什么?
攻击接口是攻击者进入环境的点或向量,它仅仅是攻击者进入设备或网络并提取数据的所有可能方式的列表。换句话说,攻击接口可以描述为不同点的集合,未经授权的用户可以在这些点上渗透IT环境。攻击者可以从几个方面试图渗透环境,例如访问网络、从远程位置访问或通过网络连接访问。
攻击面描述了攻击者可以进入系统并访问数据的各个点。简单地说,攻击面包括攻击者可以利用来进行成功攻击的组织的网络环境,包括协议、接口、软件和部署的服务。它是暴露给企业的资源。
在现代公司中,攻击面是大规模的和超维的,鉴于当今数字环境的复杂性,我们开始更好地理解与外部攻击面管理相关的挑战。
攻击面可分为4组。所有攻击面可以是这4组中的至少一个。
攻击面是指任何对互联网开放并可被攻击者利用的资产,如域基础设施、网站服务、云技术等。它可以被描述为一个组织的网络接口、它的网络基础设施和资源。综上所述,攻击面包括:
已知资产:已知资产是指网站、服务器等公司注册管理的资产。
未知资产:未知资产就像为了营销目的而被安全团队遗忘的域名,或者开发团队遗忘在存储库中构成未知实体的一些敏感数据。
假冒资产:恶意基础设施,如虚假域名,恶意社交媒体帐户看似属于公司,但由攻击者创建。
第三方资产:攻击面最终不只是针对拥有资产和公司的公司。公司网站上的第三方javascript脚本或用于定位其资产的托管服务器是公司数据交换生态系统中攻击面的一部分。
三、如何在5个步骤中管理外部攻击面?
1. 数字足迹发现
要管理外部攻击面,首先需要识别所有对互联网开放的资产。发现阶段很重要,因为公司有许多他们不知道或忘记的资产,以及他们知道和管理的资产。例如,为了营销目的而打开的一些促销页面可能忘记关闭,或者没有通知安全团队。任何被遗忘或未进行安全配置的资产都可能对公司造成危害。因为攻击者总是更喜欢攻击公司而不是非托管资产。
另外,一些暴露的被攻击者用来模仿公司的PII(个人身份信息)数据和资产,如网站、sm账户等,也可以在外部攻击面管理的第一步被检测出来。
连接到公司资产的第三方应用程序或供应商也会出现在发现阶段,在这种情况下,它会扩大您的攻击面,因为它包含在公司的生态系统中。
发现过程从简单的扫描提供的IP地址和子网到更全面的OSINT(开源情报)和暗网浏览。
一些安全解决方案要求组织提供数据清单,以监控和管理外部攻击面,或在公司内部进行一些定位。
SOCRadar仅以域名地址作为输入,用于发现组织的攻击面。由于采用了先进的搜索方法,它使用OSINT方法在表面网、深层网和暗网上探索整个资产清单,而不触及和破坏公司的任何资产。
2. 资产库存与分类
在发现资产之后,应该根据资产的类型、技术特征、业务关键性和遵从性需求,创建具有正确标签的库存。
组织需要不断更新的资产维护和保护。但是,每个部门管理的资产类型是不同的。例如,当网络团队想要监控DNS记录的变化时,社交媒体帐户的管理可能会在营销团队之下。希望能够快速访问其管理的资产的负责人。正因为如此,创建一个正确分类的库存是很重要的。
SOCRadar通过将资产分类到不同的类别,提供了对资产的轻松访问。它还具有一种授权机制,可以通知不同的人,这些人负责监视每个资产期间发生的发现。
3.连续安全监视
在数字世界中,组织的资产不断更新,随着资产清单的增加,安全团队很难跟踪更新的资产。还有很多第三方应用程序在资产上运行,每天都有数百个容易被利用的安全漏洞在这些应用程序上发布。因此,必须确保对数字资产进行全天候监控,以发现新发现的漏洞和错误配置。
SOCRadar旨在持续监控检测到的资产,通知安全团队公司内部的任何误解或配置,并识别可能的攻击活动。通过漏洞跟踪模块,可以在攻击面内检测到具有弱点的应用程序。
4. 模仿资产和事件监控
持续安全监控涵盖由您的组织或授权的第三方操作的已知和未知数字资产。然而,攻击的范围远不止于此,还包括网络罪犯创建的恶意或欺诈资产。
这包括滥用你的商标或信誉的钓鱼网站,假装属于你的移动应用程序,或社交网络上的虚假账户等数字威胁。
因此,持续监视恶意实体和事件对于确保针对组织的攻击载体的整体可见性至关重要。
SOCRadar通过将海量数据点聚合并关联到可采取行动的情报警报中,构建了即时网络钓鱼领域识别、全互联网扫描和受损证书检测技术。
5. 检测和识别风险
组织需要外部攻击面管理,以识别其数字资产可能出现的风险,并采取相关行动。
四、SOCRadar如何帮助您进行外部攻击面管理?
ASM帮助客户以自动化的方式获得关于未知外部数字资产严重性的额外可见性和上下文。通过SOCRadar先进的全互联网监控算法,AttackMapper为安全团队提供了对所有正在使用的面向互联网的技术资产以及IP、DNS、Domain和密码基础设施的资产的直接可见性。
SOCRadar只使用主域名地址信息来检测公司的数字足迹,并通过分类自动提取资产清单。
它定期监视组织的资产并检测与之相关的更改。通过监视构成攻击面的资产,它使我们能够跟踪攻击者并防止可能的攻击。此外,它还可以向安全团队提供关于公司内部丢失的安全配置、关键开放端口、过期的SSL证书/域等的信息。
当有关公司资产的漏洞在外部网络及其应用程序上可见时,SOCRadar会通知公司。
SOCRadar以服务的形式提供以下模块:
数字足迹发现
域/ IP监控
SSL证书监控
DNS监控
漏洞检测
重要端口检测
JavaScript监控
关键数据泄漏检测