来源:https://www.rezilion.com/blog/attack-surface-management-everything-you-need-to-know/
一、什么是攻击面管理?
攻击面管理(ASM)Attack Surface Management (ASM) 是对组织的IT基础设施的持续发现、库存、分类、优先级和安全监控。攻击面是未经授权的用户或攻击者可以从中提取数据的所有入口点。ASM包括外部数字资产,如硬件、软件、SaaS应用程序和云资产hardware, software, SaaS apps, and cloud assets——攻击者能够并且将会发现的所有防火墙之外的东西——当他们搜索脆弱组织的威胁时。
ASM看起来类似于资产发现和资产管理的概念,但这种方法也考虑了攻击者的策略。早在2018年,Gartner就敦促安全主管开始减少、监控和管理他们的攻击面,作为整体网络安全风险管理计划的一部分。
二、攻击面管理的关键组件是什么?
更具体地说,攻击面管理包括:
1、安全资产或不安全资产
2、已知或未知资产
3、影子IT
4、活跃或不活跃资产
5、受管设备和非受管设备
6、硬件
7、软件
8、SaaS
9、云资产和资源
10、物联网设备
11、供应商管理的资产
三、为什么我需要一个攻击面管理策略?
自COVID-19大流行开始以来,一项战略对各种规模的组织都变得尤为重要,在家工作增加了安全团队需要保护的外部资产的数量。
ASM的前景继续增长。黑客们继续升级他们的游戏,使用更复杂和自动化的工具来检查外部攻击表面。例如,它们使用自动侦察功能,从外部分析组织的攻击面。这为攻击者提供了有利条件。
有效防御攻击的唯一方法是采用ASM方法,该方法提供相同的连续可见性,以便安全团队可以不断监视他们的基础设施,在攻击者发动攻击之前找到并消除安全漏洞。
当你有一个有效的ASM方法时,在防火墙、操作系统或网站设置中检测错误配置就变得更容易了。它还有助于发现勒索软件、病毒、弱密码、过时的软件和易受攻击的硬件。
四、攻击面管理并不容易
要预先警告,发现、分类和管理组织的整个资产组合不是一项简单的任务。因为这个原因,大多数组织都不会这么做。事实上,只有9%的人认为他们会积极监控整个攻击面。报告的最高比例(29%)为75%至89%的攻击面受到积极监控,而许多人的监控比例甚至更低。令人不安的是,大多数组织都有许多他们自己都不知道的面向互联网的资产。
43%的组织发现攻击面需要超过80个小时,大多数组织每周、每月或每月执行一次ASM发现。由于支持云本地应用程序、远程工作者和第三方连接而发生的移动、添加和更改,这就留下了空白。
即使发现工作已经到位以收集数据,安全专业人员仍然必须花时间分析数据,确定漏洞的优先级,并与it运营合作以降低风险。这就是ASM工作开始的时候。
五、攻击面管理的战术方法
因为自动化可能会帮助攻击者,所以通过资产管理、防御边界和智能补丁来限制您的公共界面是一个好主意。了解最新最关键的攻击向量的一个好方法包括五个步骤:
1、资产的发现。如果你不知道它的存在,你就无法管理它。与传统工具和过程不同,攻击表面管理的更现代的方法需要使用攻击者使用的相同侦察技术。
2、连续测试。一次测试攻击面是不够的,因为组织会不断增加设备、用户、工作负载和服务。这也增加了潜在的风险,并使持续测试所有可能的攻击向量变得重要。
3、获得上下文。拥有诸如IP地址、设备类型、当前是否正在使用、其目的是什么、所有者是谁、其与其他资产的连接以及其中可能包含的漏洞等信息,是有效的攻击面管理方法的组成部分。
4、优先考虑。一旦所有潜在的攻击载体被确定,安全团队就可以确定他们的工作重点。要做到这一点,他们应该考虑发现和利用某物的容易程度,以及纠正该物的困难程度,以及业务上下文。这将有助于排序和应对最紧迫的风险。
5、纠正。一旦攻击面被完全映射并确定了优先级,补救团队就可以开始使用工具来帮助消除威胁。
六、什么类型的工具辅助攻击面管理
通常,安全团队使用许多不同的工具发现信息片段,这有助于触发ASM进程。ESG研究表明,41%的组织使用威胁情报来源,40%依赖IT资产管理系统,33%利用云安全监控解决方案,29%依赖漏洞管理。这包括让人收集这些数据,将它们联系起来,并试图理解它们。
有很多工具和平台可以帮助安全团队获得关于组织整体风险概况的实时信息,比如持续扫描和监控。
一些ASM系统在暗网上搜索第三方数据泄露时暴露的证书,并通过api集成其他安全工具。其他ASM工具通过结合威胁评级与业务价值和影响来评估现有安全控制的有效性。这将有助于确定优先级。这些工具中可能还有其他有价值的特性,可以帮助安全团队监控攻击面变化,并通过修复单个或多个风险来增强安全性。
许多因素令人信服地说明了为什么攻击面管理需要成为2022年的首要投资优先事项:在家工作的增加和云应用的增加,加上不断扩大的攻击面和许多组织面临妥协。
一个可靠的ASM策略还需要安全团队维护完全更新的资产清单。组织需要反击,这就要求系统在自动化、集中和准确监控外部资产的同时提供可见性。