華云安?概念篇:初探企業(yè)網(wǎng)絡攻擊面管理

  • 人閱讀
  • 2021-11-29 15:28:23

  • 來源:鳳凰網(wǎng)科技

  • 相關關鍵詞

2021年7月,全球權威IT研究顧問機構Gartner發(fā)布了《2021安全運營技術成熟度曲線》(《Hype Cycle for Security Operations, 2021》),將攻擊面管理(Attack Surface Management, ASM)相關技術定義為新興技術。早在2018年Gartner就已經(jīng)提出攻擊面的概念,并將攻擊面納為整體網(wǎng)絡安全風險管理計劃的一部分。

從最初提出概念到當下的重要新興技術,攻擊面管理已經(jīng)經(jīng)歷三年多的概念演進。但是到目前為止,攻擊面并無統(tǒng)一定義,業(yè)內(nèi)一般認為,攻擊面(Attack Surface)也稱為攻擊表面、外部攻擊面(External Attack Surface)或數(shù)字攻擊面(Digital Attack Surface),是所有網(wǎng)絡資產(chǎn)中外部可利用性的總和。

從過去的實踐來看,企業(yè)網(wǎng)絡資產(chǎn)安全的攻擊面可以簡單理解為可被利用的漏洞總和,更準確的說法是「未經(jīng)授權即能訪問和利用企業(yè)資產(chǎn)的所有可能入口的總和」,包括未經(jīng)授權的可訪問的硬件、軟件和云等IT系統(tǒng),同樣也包括人、業(yè)務流程等。隨著信息化、云化的發(fā)展,以及不斷深入的數(shù)字化進程,企業(yè)網(wǎng)絡攻擊面管理已是新一代網(wǎng)絡安全防御體系的必然選擇。

攻擊面管理的核心是攻擊者視角

隨著國家級攻防演練活動的深入,在攻防博弈中,攻擊面往往成為攻守易勢的關鍵。在Gartner報告中,網(wǎng)絡資產(chǎn)攻擊面管理(Cyber Assets Attack Surface Management, CAASM)用于解決持續(xù)資產(chǎn)可見性和漏洞問題。外部攻擊面管理(External Attack Surface Management, EASM)是從外部攻擊者視角對組織的攻擊面進行持續(xù)發(fā)現(xiàn)、清點、分類、優(yōu)先級排序和監(jiān)控的整個過程。無論是CAASM還是EASM,當下的攻擊面管理已經(jīng)不僅僅關注已知的資產(chǎn)漏洞,也包括未知資產(chǎn)(隱匿資產(chǎn)、老化資產(chǎn)、影子資產(chǎn))、泄漏數(shù)據(jù)、流氓資產(chǎn)(釣魚、仿冒網(wǎng)站)和供應商(包括開源組件等)資產(chǎn)等。

華云安?概念篇:初探企業(yè)網(wǎng)絡攻擊面管理

攻擊面管理(ASM)是一種從攻擊者的角度對企業(yè)網(wǎng)絡攻擊面進行檢測發(fā)現(xiàn)、分析研判、情報預警、響應處置和持續(xù)監(jiān)控的資產(chǎn)安全性管理方法,其最大特性就是以外部視角來審視企業(yè)網(wǎng)絡資產(chǎn)可能存在的攻擊面及脆弱性,重點關注邊界處存在可被利用的攻擊可能性,強調(diào)整個企業(yè)資產(chǎn)可能存在的脆弱性,而不僅僅是已知資產(chǎn)和已知漏洞。通過外部攻擊者視角來審視資產(chǎn)安全性的方式,安全團隊更易于發(fā)現(xiàn)資產(chǎn)存在可能被攻擊的弱點,從而根據(jù)資產(chǎn)的重要性和風險的優(yōu)先級對資產(chǎn)進行修復。通過攻擊面管理的持續(xù)監(jiān)控能力,可以持續(xù)發(fā)現(xiàn)資產(chǎn)漏洞和潛在風險。

由于ASM的獨特視角而體現(xiàn)出的系統(tǒng)風險的管控能力,已經(jīng)越來越受到安全團隊的重視。尤其是近年來,隨著越來越多的勒索軟件(Ransomware)和供應鏈攻擊(Supply Chain Attack, SCA)的出現(xiàn),傳統(tǒng)的資產(chǎn)漏洞管理方式難以起到真正的作用,而更加全面的攻擊面管理已經(jīng)成為新一代的資產(chǎn)漏洞完整應對方案,所以Gartner等分析機構都建議將ASM作為安全團隊的網(wǎng)絡安全防御體系的優(yōu)先事項。

攻擊面管理不僅僅關注已知資產(chǎn)

網(wǎng)絡資產(chǎn)漏洞管理是已經(jīng)成為企業(yè)安全管理的核心內(nèi)容。傳統(tǒng)的資產(chǎn)漏洞安全管理通過對網(wǎng)絡資產(chǎn)進行清點、分析、監(jiān)視等相應的安全行動,保證企業(yè)網(wǎng)絡資產(chǎn)的安全。然而,目前主流的資產(chǎn)漏洞管理方法普遍針對已知資產(chǎn)進行管理,管理的范圍和內(nèi)容是相對明確的。

事實上,一般企業(yè)的網(wǎng)絡資產(chǎn)不僅有已知資產(chǎn),還包括未知資產(chǎn)、流氓資產(chǎn)和供應商資產(chǎn),它們組成了完整的企業(yè)網(wǎng)絡資產(chǎn),相互聯(lián)系作用、共同影響和決定企業(yè)的資產(chǎn)安全性。

華云安?概念篇:初探企業(yè)網(wǎng)絡攻擊面管理

因此,傳統(tǒng)的資產(chǎn)漏洞管理方式局限性在于對于未知資產(chǎn)、流氓資產(chǎn)和供應商資產(chǎn)缺少系統(tǒng)有效的監(jiān)控和管理,難以避免上述資產(chǎn)對企業(yè)整體網(wǎng)絡安全性造成的影響,也就無法形成對企業(yè)資產(chǎn)的全面保護。根據(jù)歷年的攻防演習的成果來看,真正造成影響的網(wǎng)絡攻擊,恰恰是由上述資產(chǎn)造成的。ASM的提出與發(fā)展正是對當前情況的思考和探索,解決的核心痛點就是對未知風險管制,尤其是未知攻擊面的全面發(fā)現(xiàn)、實時監(jiān)視與及時預警。

舉例來說,在未知資產(chǎn)中,影子資產(chǎn)是備受關注的一項內(nèi)容。根據(jù)Gartner分析師Simon Mingay定義,影子資產(chǎn)包括“在正式IT組織的正式控制之外對IT解決方案進行收購、開發(fā)或運營的資產(chǎn)”。影子資產(chǎn)危險在于未知和不可預見的威脅。近年來,影子資產(chǎn)已經(jīng)被視為主要的安全風險,越來越多的安全團隊對影子資產(chǎn)的重視程度不斷提高,消除這些未知資產(chǎn)對于降低威脅甚至更加重要。傳統(tǒng)的滲透測試和紅隊測試雖然可以洞察攻擊者的角度,但偵察和攻擊通常是在受控環(huán)境中或針對IT環(huán)境的特定方面發(fā)起,所以大多數(shù)環(huán)境的變化和擴展性使漏洞不易被注意,而當漏洞和漏洞利用被披露時,安全團隊必須比攻擊者行動得更快,而這只有持續(xù)繪制攻擊面才有可能被實現(xiàn)。所以,企業(yè)借助ASM可以快速關閉影子IT資產(chǎn)、未知和孤立的應用程序、暴露的數(shù)據(jù)庫和API,以及其他潛在的入口,以緩解出現(xiàn)的任何威脅。

攻擊面管理更關注持續(xù)監(jiān)控的能力

一般來說,常規(guī)的漏洞評估方法主要通過檢測、分析、預警、處置這樣的方法對資產(chǎn)漏洞進行安全管理。ASM更強調(diào)在此之后的持續(xù)監(jiān)控,從而形成了完整資產(chǎn)漏洞安全管理閉環(huán)。華云安認為,ASM持續(xù)監(jiān)控的本質(zhì),是對具有風險的攻擊面進行特別關注,持續(xù)跟蹤,并對數(shù)據(jù)進行分析對比,從而保證企業(yè)資產(chǎn)的長期安全可靠。

由于現(xiàn)實中的網(wǎng)絡攻擊往往是連續(xù)的、持久的、體系化的,所以少量的漏洞封堵無法從根本上規(guī)避企業(yè)資產(chǎn)的網(wǎng)絡風險,況且漏洞并不是全部的攻擊面:

1)漏洞直接作用的攻擊面,漏洞直接作用的攻擊面往往是傳統(tǒng)管理方法的重點,通過補丁更新、版本升級等方式修改系統(tǒng)漏洞;

2)與漏洞相關的攻擊面,由于漏洞作用的攻擊面通常不止漏洞本身,往往與漏洞相關攻擊面也會受到牽連,因此對漏洞相關面的持續(xù)監(jiān)控是ASM的主要監(jiān)控內(nèi)容;

3)與攻擊面相關的資產(chǎn),受漏洞影響的攻擊面相關資產(chǎn),往往是黑客攻擊的主要目標,需要通過持續(xù)跟蹤實現(xiàn)對資產(chǎn)的安全保護。

ASM通過強調(diào)持續(xù)跟蹤,實現(xiàn)資產(chǎn)安全的閉環(huán)管理,為企業(yè)提供了更加有力的安全保障。

結(jié)語

綜上撰述,攻擊面管理將安全思維從被動防御重新調(diào)整為主動攻擊,這使安全團隊能夠更好地確定攻擊面的優(yōu)先級,從而進一步有效地提高企業(yè)安全防御能力。

攻擊面管理作為網(wǎng)絡安全未來發(fā)展的重要方向之一,越來越受到安全團隊的重視。攻擊面管理的核心內(nèi)容是以外部視角對企業(yè)的資產(chǎn)進行風險管控,從而實現(xiàn)對攻擊面的全面管理,降低企業(yè)在各類活動中的受到攻擊的幾率。

因為“難攻”,所以部署后必然“易守”。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )