攻击面管理 (ASM) 持续发现、分析、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击媒介。
与其他网络安全领域不同,ASM 完全从黑客的角度而不是从防御者的角度运行。 它可以识别目标,并根据其暴露于恶意攻击者的可能性来评估风险。 ASM 的方法和资源大多与黑客使用的相同,并且许多 ASM 任务和技术由熟悉网络犯罪分子行为并擅长模仿其行为的道德黑客设计和执行。
外部攻击面管理 (EASM) 是一种相对较新的 ASM 技术,有时可以与 ASM 互换使用。 但 EASM 特别关注组织的外部或面向互联网的 IT 资产(有时称为组织的攻击数字攻击面)中出现的漏洞和风险。 ASM 还解决组织的物理和社会工程攻击面中的漏洞,例如恶意内部人员或最终用户针对网络钓鱼诈骗的训练不足。
新冠病疫情加速了云采用、数字化转型和远程工作的扩展,加之普通公司每天都有新资产涌入网络,其数字足迹和攻击面变得更广、更分散、更具动态性。
根据 Randori 的2022 年攻击面管理状态 (链接位于 ibm.com 外部)报告,67% 的组织在过去 12 个月内的攻击面扩展,69% 的组织在同一时期受到未知或管理不善的互联网资产的危害。 (Randori 是 IBM Corp. 的子公司) Gartner 行业分析师 (链接位于 ibm.com 外部)将攻击面扩展列为 2022 年 CISO 的安全和风险管理首要优先事项。
传统的资产发现、风险评估和漏洞管理流程在企业网络较为稳定和集中时开发,无法跟上当今网络中新漏洞和攻击媒介的速度。 例如,渗透测试可测试已知资产中的可疑漏洞,但无法帮助安全团队识别每天新出现的网络风险和漏洞。
但 ASM 的持续工作流程和黑客视角支持安全团队和安全运营中心 (SOC)在面对不断增长和不断变化的攻击面时创建主动响应的安全态势。 ASM 解决方案可在漏洞和攻击媒介出现时提供对其的实时可视性。 他们可以利用传统风险评估和漏洞管理工具与流程中的信息,在分析和确定漏洞优先级时提供更多的背景信息。 它们可以与威胁检测和响应技术集成,包括安全信息和事件管理 (SIEM)、端点检测与响应 (EDR) 或扩展检测和响应 (XDR),在整个企业范围内改进威胁缓解并加快威胁响应。
ASM 由四个核心流程组成:资产发现、分类和优先级排序、修复以及监控。 同样,由于数字攻击面的大小和形态不断变化,这些过程是持续进行的,ASM 解决方案在任何时候都可实现这些流程的自动化。 其目标是确保安全团队始终拥有漏洞资产的完整且最新的清单,并加快对给组织带来最大风险的漏洞和威胁的响应。
资产发现
资产发现可自动持续扫描并识别面向互联网的硬件、软件和云资产,这些可能会被黑客或网络犯罪分子用作攻击组织的切入点。 这些资产包括
- 已知资产 — 组织了解并积极管理的所有 IT 基础架构和资源,包括路由器、服务器、公司发行或私有的设备(PC、笔记本电脑、移动设备)、IoT 设备、用户目录、部署在本地和云的应用程序、网站和专有数据库。
- 未知资产 — 在 IT 或安全团队不知情的情况下使用网络资源且“不在库”的资产。 影子 IT — 在没有官方管理批准和/或监督的情况下部署在网络上的硬件或软件,这是最常见的一种未知资产。 下载到用户计算机的免费字体、通过组织网络使用的个人网站或云应用程序,以及用于访问企业信息的非托管个人移动设备等都属于影子 IT。 孤立 IT — 尚未正确停用的不再使用的旧软件、网站和设备,这是另一种常见的未知资产。
- 第三方或供应商资产 — 不为组织所有但是组织 IT 基础架构或数字供应链一部分的资产。 这些包括软件即服务 (SaaS)应用、API、公有云或组织网站中使用的第三方服务。
- 附属资产 — 属于组织子公司网络的任何已知、未知或第三方资产。 合并或收购后,这些资产可能不会立即引起上级组织的 IT 和安全团队的注意。
- 恶意或流氓资产 — 威胁行为者为目标公司创建或从中窃取的资产。 这可能包括冒充公司品牌的网络钓鱼网站,或数据泄露后在暗网上共享的被盗敏感数据。
分类、分析和优先级划分
一旦资产被识别,就会进行分类和漏洞分析,并按“可攻击性”进行优先级排序,可攻击性本质上是衡量黑客针对它们发起攻击的可能性的客观指标。
资产按照身份、IP 地址、所有权以及与 IT 基础架构中其他资产的联系入库。 它们按照出现漏洞的可能性、原因(例如,配置错误、编码错误、缺少补丁)以及黑客可能通过这些漏洞(例如,窃取敏感数据,传播勒索软件或其他恶意软件)发起的攻击类型进行分析。
接下来,按照漏洞优先级进行补救。 确定优先级是一项风险评估工作:通常做法是,根据分类和分析期间收集的信息,对每个漏洞进行安全评级或风险评分;
- 来自威胁情报源(专有和开源)、安全评级服务、暗网和其他来源的关于黑客可发现的漏洞、漏洞利用难易程度以及利用方式等的数据;
- 组织自身的漏洞管理和安全风险评估活动的结果。 有一种名为“红色团队”的活动,本质上是从黑客的角度进行渗透测试(通常由内部或第三方道德黑客进行)。 该活动成员不测试已知或可疑的漏洞,而是测试黑客可能利用的所有资产。
补救
通常按优先级顺序来修复漏洞。 这包括:
- 对相关资产应用适当的安全控制措施 - 例如,应用软件或操作系统补丁,调试应用程序代码,实施增强的数据加密
- 控制以前未知的资产 — 为以前不受管理的 IT 设置安全标准,安全地淘汰孤立 IT,消除流氓资产,将子公司资产集成到组织的网络安全战略、策略和工作流程中。
补救还会涉及实施更广泛的跨资产措施来修复漏洞,例如实施最低访问特权或多因子认证 (MFA)。
监控
由于每当部署新资产或以新方式部署现有资产时,组织中攻击面的安全风险都会发生变化,因此会持续监视和扫描在库的网络资产和网络本身以发现漏洞。 持续监控使 ASM 能够实时检测和评估新的漏洞和攻击媒介,并提醒安全团队注意需要立即关注的任何新漏洞。