主页
topics
什么是攻击面管理?
攻击面管理 (ASM) 可持续发现、分析、划分优先级、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击媒介。
与其他网络安全学科不同,攻击面管理完全从黑客的角度而不是防御者的角度进行。其根据目标暴露给恶意攻击者的漏洞来识别目标并评估风险。
ASM 依赖于许多与黑客相同的方法和资源。许多 ASM 任务和技术都是由“道德黑客”设计和执行的,他们熟悉网络犯罪分子的行为并擅长模仿他们的行为。
外部攻击面管理 (EASM) 是一种相对较新的 ASM 技术,有时可与 ASM 互换使用。不过,EASM 侧重组织外部或面向互联网的 IT 资产所带来的漏洞和风险,有时被称为组织的数字攻击面。
ASM 还可以解决组织物理和社会工程攻击面中的漏洞,例如恶意内部人员,或针对网络钓鱼诈骗的最终用户培训不足。
了解最新的《数据泄露成本报告》,获取洞察分析,以便更好地管理数据泄露风险。
近年来,随着云技术应用、数字化转型和远程工作扩展,普通公司的数字足迹和攻击面变得更大、更分散、更动态,每天都有新的资产连接到公司网络。
传统的资产发现、风险评估和漏洞管理流程是在企业网络更加稳定和集中的情况下开发的,无法跟上当今网络中新漏洞和攻击媒介出现的速度。例如,渗透测试可以测试已知资产中的可疑漏洞,但它无法帮助安全团队识别每天出现的新网络风险和漏洞。
但 ASM 的持续工作流程和黑客视角可支持安全团队和安全运营中心 (SOC) 能够在不断增长和变化的攻击面面前建立主动的安全态势。ASM 解决方案可在漏洞和攻击向量出现时提供实时可见性。
它们可以利用传统风险评估和脆弱性管理工具和流程中的信息,在分析漏洞和确定优先次序时获得更多的背景信息。此外,它们还可以与威胁检测和响应技术(包括安全信息和事件管理 (SIEM)、端点检测和响应 (EDR) 或扩展检测和响应 (XDR))集成,以改善威胁缓解形势并加速企业范围内的威胁响应。
ASM 由四个核心流程组成:资产发现、分类和优先级划分、修复以及监控。同样,由于数字攻击面的大小和形状不断变化,因此这些过程会持续进行,而 ASM 解决方案会尽可能地自动化这些过程。其目标是为安全团队提供完整、最新的暴露资产清单,并加快对给组织带来最大风险的漏洞和威胁的响应速度。
资产探索
资产探索功能可自动持续扫描并识别面向互联网的硬件、软件和云资产,这些资产可能成为黑客或网络犯罪分子试图攻击组织的切入点。这些资产可包括:
分类、分析和优先级划分
识别资产后就会对其进行分类、分析漏洞,并按“可攻击性”划分优先级,这本质上是衡量黑客攻击资产可能性的客观指标。
根据身份、IP 地址、所有权以及与 IT 基础架构中其他资产的连接对资产进行盘点。对它们进行分析,了解它们可能面临的风险、这些风险暴露的原因(例如,配置错误、编码错误、缺少补丁)以及黑客可能通过这些风险暴露执行的攻击类型(例如,窃取敏感数据、传播勒索软件或其他恶意软件)。
接下来将优先修复漏洞。优先级排序是一项风险评估活动:通常,每个漏洞都会根据以下因素获得安全评级或风险评分
修复
通常,漏洞是按照优先级顺序修复的。这可能涉及:
补救措施还可以涉及更广泛的跨资产措施来解决漏洞,例如实施最小特权访问或多因素身份验证 (MFA)。
监控
由于组织攻击面中的安全风险会在部署新资产或以新方式部署现有资产时发生变化,因此会持续监控和扫描网络的库存资产和网络本身,以查找漏洞。持续监控能够支持 ASM 实时检测和评估新的漏洞和攻击媒介,并提醒安全团队注意任何需要立即关注的新漏洞。