近日工商銀行、波音公司、迪拜環球港務集團等巨頭因未能及時修復暴露資產的高危漏洞或錯誤配置而接連遭遇勒索軟件攻擊,再次凸顯了攻擊面管理(ASM)的重要性。
根據Sevco最新發布的《2023年企業攻擊面調查報告》11%的企業IT資產缺少端點保護,15%的IT資產未被企業補丁管理解決方案覆蓋,31%的IT資產未被企業漏洞管理系統覆蓋。中小企業的情況更糟,未使用托管安全服務的中小企業中,21%的IT資產缺少端點保護。
攻擊面管理是加強主動防御能力的關鍵所在,但對于大多數企業(尤其是中小企業)來說,隨著數字化和云計算應用的不斷深入,資產增長、遷移、變動加劇,提高攻擊面可見性變得越來越有挑戰性。雪上加霜的是,很多企業安全團隊往往缺乏足夠的人才和預算實施成熟的商業攻擊面管理解決方案。
為了幫助缺乏足夠資源的企業提高攻擊面管理能力,本文我們將介紹“DIY”攻擊面管理方案的工具和方法。
如何修補和強化未知資產?
今天,企業的資產規模不斷擴大,除經營實體外,還蔓延到云和第三方托管設施。不同規模的企業資產,例如域名、子域名和企業IP地址范圍內的資產數量動輒數千、數十萬甚至數百萬不等。
臨時的錯誤配置或暴露可能隨時出現,雖然可以很快修復,但檢測難度很大。因此,攻擊面管理工具必須有極高的可擴展性和速度,才能平衡可接受的準確性損失水平,縮短查找資產和檢測短暫風險的時間。對于數百萬資產規模的攻擊面,傳統的慢速掃描已經過時了。
攻擊面管理可以看作是一種遞歸發現練習,不斷地以新知識(信息)為基礎來識別更多的資產和組織環境。通常只需一個初始域名或“種子數據點”即可開始。
用于發現資產的許多數據源可以完全被動地運行,且無需與目標組織的基礎設施交互。
在執行基本的資產發現任務時,企業安全團隊需要回答一些初始問題:
外部攻擊者如何觀察我的企業?例如歷史收購、垂直行業、歷史事件等,以及:
- 我的企業控制多少個域名?
- 我的企業有多少個子域名?
- 我的企業有多少個網段?
- 資產分布在哪些云提供商上?
- 在已發現的資產中,有多少擁有活躍的DNS記錄?
- 在發現的資產中,有多少擁有開放端口/可定位服務?
- 其中有多少資產已登記在資產清單中?
安全團隊可以通過無數途徑來獲取企業的攻擊面信息,可謂“條條大道通羅馬”,這也意味著企業完全可以DIY自己的攻擊面管理用例。
如何用開源工具DIY攻擊面管理方案
攻擊面管理如今已經從“小眾”網絡安全市場迅速成長為大多數企業安全策略的“剛需”和重要組成部分。用戶市場關注度的飆升推動了攻擊面識別方法和技術的創新和研究。大量的開源工具套件已被開發出來,可通過SaaS平臺甚至第三方專業人士提供攻擊面管理服務。
企業可以使用開源命令行工具快速深入了解其攻擊面的全貌,這些工具可用于搭建簡單、可重復和可擴展的攻擊面管理工作流程,幫助識別資產邊界變化。
如果企業無法獲得商業攻擊面管理供應商的支持,那么利用開源工具自行搭建這些工作流程和方案也可以支持許多安全用例,其效果和競爭力甚至不比某些付費工具差。
以下是企業可以使用流行開源工具輕松創建的安全用例:
- 發現與企業主域名關聯的子域名:使用開源工具(例如Project Discovery的subfinder)可以從各種被動數據源(例如證書透明度)獲取信息,以識別與域關聯的歷史和當前子域。
- 通過活動DNS記錄識別企業的全部資產:使用開源工具(例如Project Discovery中的dnsx或ZMap Project中的zdns)可以深入了解各種查詢類型中具有當前DNS記錄的資產。此外,通過當前A/AAAA/CNAME記錄識別資產可以使組織確定資產的優先級,以進行額外審查和進一步豐富。
- 識別企業所有活躍的Web應用程序:使用Project Discovery中的httpx或ZMap Project中的zgrab2等開源工具可以識別Web應用程序及其關聯的Web框架并對其進行指紋識別。此外,創建包含常見標頭信息(例如HTTP服務器、HTTP標題、圖標哈希值)的易于閱讀的CSV/JSON文件并存儲Web應用程序響應,可以輕松識別某些攻擊技術以響應新披露的漏洞。
- 識別常見的文件泄露和錯誤配置:使用Project Discovery中的nuclei等開源工具,企業可以快速評估其面向公眾的Web應用程序是否存在常見的錯誤配置和高風險文件泄露(例如配置文件)。確保根據可接受的風險級別適當地審查漏洞模板。有些漏洞利用是侵入性的,可能會留下痕跡。
上述用例未必是識別某些特定資產類型的最全面或最有效的方法,但足以幫助企業輕松建立一個初始的可重復機制,用來發現企業資產邊界的盲區,確定需要改進的地方。
最后,大多數企業經常在第三方網站和代碼托管平臺(例如GitHub)上存放重要資產,這些網站和代碼托管平臺可能會無意中公開暴露敏感信息。如果機密信息掃描儀沒有及時發現和標記這些敏感信息,將導致憑證和敏感信息的長期暴露。
企業可以使用GitHub事件API開源工具實時監控可歸因于其主域名的公共GitHub提交,從而保持領先一步。雖然這不是檢測企業機密信息泄露的完整方法,但與GitHub預提交掛鉤和更廣泛的安全策略結合使用時,可以顯著縮短修復信息漏點的時間并改善整體安全狀況。
總之,大量收集企業資產相關信息只是一個起點,企業應該建立持續的監控和評估機制,實時監控網絡活動,及時發現和響應安全事件,定期評估安全策略的有效性,并根據評估結果進行調整優化。
