攻擊面管理成為大勢所趨
在Gartner發(fā)布的《2022年安全和風(fēng)險(xiǎn)管理趨勢報(bào)告》中,預(yù)測了七大網(wǎng)絡(luò)安全趨勢,其中最先被提及的是企業(yè)受攻擊的暴露面正在不斷擴(kuò)大。尤其在后疫情時(shí)代,工作模式的轉(zhuǎn)變,信息物理系統(tǒng)和物聯(lián)網(wǎng)的使用、開源代碼、SaaS應(yīng)用程序、云應(yīng)用、數(shù)字供應(yīng)鏈、社交媒體等引發(fā)的風(fēng)險(xiǎn)使企業(yè)暴露出的攻擊面超出了其可控資產(chǎn)的范圍。
此外,在Gartner發(fā)布的《攻擊面管理創(chuàng)新洞察》報(bào)告中,也指出了企業(yè)進(jìn)行攻擊面管理的必要性。通過攻擊面管理的產(chǎn)品和技術(shù)可以提高安全防御能力,并提高風(fēng)險(xiǎn)態(tài)勢感知能力。
報(bào)告中顯示,隨著技術(shù)環(huán)境的復(fù)雜及分散化,無論是在本地還是在云中,并且涉及容器、物聯(lián)網(wǎng)和網(wǎng)絡(luò)物理系統(tǒng),企業(yè)攻擊面管理的工作壓力越來越大;另外,SaaS應(yīng)用程序和供應(yīng)鏈逐漸形成了新型的攻擊面;因此,對(duì)于每個(gè)企業(yè)來講,需要提高針對(duì)內(nèi)部任何安全體系漏洞可見性,這樣才能建立和維持強(qiáng)大的安全態(tài)勢感知能力,而大多數(shù)企業(yè)缺乏發(fā)現(xiàn)、控制風(fēng)險(xiǎn)的有效能力。
報(bào)告還強(qiáng)調(diào),隨著面向公眾的數(shù)字資產(chǎn)的擴(kuò)展以及云基礎(chǔ)設(shè)施和應(yīng)用程序的使用增加,企業(yè)IT變得更加分散,因此需要新的方法來可視化和優(yōu)先管理組織的攻擊面。安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者可以將資產(chǎn)和風(fēng)險(xiǎn)上下文聚合到一個(gè)平臺(tái)中,通過數(shù)據(jù)融合分析,提高對(duì)攻擊面的管理能力。
什么是攻擊面管理
賽迪顧問發(fā)布的《中國攻擊面管理市場白皮書》中指出,攻擊面管理(ASM)是一種從攻擊者視角對(duì)企業(yè)數(shù)字資產(chǎn)攻擊面進(jìn)行檢測發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的資產(chǎn)安全性管理方法,其最大特性就是以外部攻擊者視角來審視企業(yè)所有資產(chǎn)可被利用的攻擊可能性,而這里的所有資產(chǎn)包含已知資產(chǎn)、未知資產(chǎn)、數(shù)字品牌、泄露數(shù)據(jù)等等一系列可存在被利用的風(fēng)險(xiǎn)的資產(chǎn)內(nèi)容。
攻擊面管理最早由國際知名咨詢機(jī)構(gòu)Gartner于2018年提出。2021年7月,Gartner將攻擊面管理相關(guān)技術(shù)定義為網(wǎng)絡(luò)安全運(yùn)營技術(shù)中的新興技術(shù),包括外部攻擊面管理(EASM)、網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)、數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS)。
外部攻擊面管理(EASM)使用部署的流程、技術(shù)和托管服務(wù)來發(fā)現(xiàn)面向互聯(lián)網(wǎng)的企業(yè)資產(chǎn)、系統(tǒng)和相關(guān)漏洞,例如可能被利用的服務(wù)器、憑據(jù)、公共云服務(wù)錯(cuò)誤配置和第三方合作伙伴軟件代碼漏洞。
網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)專注于使安全團(tuán)隊(duì)能夠解決持續(xù)存在的資產(chǎn)可見性和漏洞挑戰(zhàn)。它使企業(yè)能夠通過與現(xiàn)有工具的API集成查看所有資產(chǎn)(內(nèi)部和外部),查詢合并的數(shù)據(jù),識(shí)別安全控制中的漏洞范圍和差距,并修復(fù)問題。
數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS)通過技術(shù)和服務(wù)的組合提供,以保護(hù)關(guān)鍵數(shù)字資產(chǎn)和數(shù)據(jù)免受外部威脅。這些解決方案提供對(duì)開放網(wǎng)絡(luò)、社交媒體、暗網(wǎng)和深層網(wǎng)絡(luò)資源的可見性,以識(shí)別對(duì)關(guān)鍵資產(chǎn)的潛在威脅,并提供有關(guān)攻擊者及其惡意活動(dòng)的策略和流程的上下文信息。
攻擊面管理要考慮的最佳實(shí)踐
企業(yè)實(shí)施攻擊面管理時(shí)需要考慮一些最佳實(shí)踐,以最大限度地減少漏洞,并降低安全風(fēng)險(xiǎn)。
·繪制攻擊面。部署適當(dāng)?shù)姆烙仨毩私獗┞读四男?shù)字資產(chǎn)、攻擊者最有可能入侵網(wǎng)絡(luò)的位置以及需要部署哪些保護(hù)措施。因此,提高攻擊面的可見性并構(gòu)建對(duì)攻擊漏洞的有力呈現(xiàn)至關(guān)重要。
·最小化漏洞。一旦企業(yè)繪制完成他們的攻擊面,就可以立即采取行動(dòng)減輕最重要的漏洞和潛在攻擊媒介帶來的風(fēng)險(xiǎn),然后再繼續(xù)執(zhí)行較低優(yōu)先級(jí)的任務(wù)。在可能的情況下使資產(chǎn)離線并加強(qiáng)內(nèi)部和外部網(wǎng)絡(luò)是值得關(guān)注的兩個(gè)關(guān)鍵領(lǐng)域。
·建立強(qiáng)大的安全實(shí)踐和政策。嚴(yán)格遵循一些久經(jīng)考驗(yàn)的最佳安全實(shí)踐將大大減少企業(yè)的攻擊面。這包括實(shí)施入侵檢測解決方案、定期進(jìn)行風(fēng)險(xiǎn)評(píng)估以及制定明確有效的政策。
·建立安全監(jiān)控和測試協(xié)議。隨著IT基礎(chǔ)設(shè)施的變化以及攻擊者的不斷發(fā)展,強(qiáng)大的網(wǎng)絡(luò)安全計(jì)劃同樣需要進(jìn)行不斷地調(diào)整。這就需要持續(xù)監(jiān)控和定期測試,后者通常可以通過第三方滲透測試服務(wù)實(shí)現(xiàn)。
·強(qiáng)化電子郵件系統(tǒng)。網(wǎng)絡(luò)釣魚是攻擊者入侵網(wǎng)絡(luò)的常見方式。然而,一些企業(yè)尚未完全部署旨在限制員工收到的惡意電子郵件數(shù)量的電子郵件協(xié)議。
·了解合規(guī)性。所有企業(yè)都應(yīng)該制定政策和程序來研究、確定以及理解內(nèi)部和政府標(biāo)準(zhǔn)。目標(biāo)是確保所有安全策略都能符合合規(guī)要求,同時(shí)對(duì)各種攻擊和違規(guī)類型都有適當(dāng)?shù)捻憫?yīng)計(jì)劃。這可能需要建立一個(gè)工作組和戰(zhàn)略,以便在新政策和法規(guī)生效時(shí)對(duì)其進(jìn)行審查。
·聘請(qǐng)審計(jì)員。在評(píng)估企業(yè)攻擊面時(shí),即使是最好的安全團(tuán)隊(duì)有時(shí)也需要新的視角。聘請(qǐng)安全審計(jì)員和分析師可以幫助企業(yè)發(fā)現(xiàn)可能會(huì)被忽視的攻擊媒介和漏洞。
