什么是攻击面管理? 

攻击面管理(ASM)是维护对不断变化的网络环境的可见性的过程,以便安全团队可以修补漏洞并防御新出现的威胁. 那么,an是什么 攻击表面? 这是你的整个网络, on- premise和off, 以及攻击者可能进入的潜在弱点.

Forrester定义 攻击面管理是一个不断发现的过程, 识别, 盘点, 评估 曝光 一个实体的IT资产不动产. 基于以上的一切, 我们可以放心地假设,这是安全团队经常难以解决的问题. 在一个环境中,有限的可见性意味着您不知道可能损害组织和业务的所有事情.

如果能见度有限, 请记住,应用程序开发中的任何类型的过程都可能由于 缺乏可观测性 例如代码在生产环境中的行为. 简单地说, 对攻击面的有限可见性使得业务操作和安全性的许多方面都不可靠.

安全组织可以通过管理漏洞来监视和管理攻击面, 定期测试web应用程序, 自动化 军事 响应,并获得最新的可见性 indicators-of-compromise(国际石油公司). 没有一种正确的方法来管理整个攻击面, 特别是在大型企业组织中. 但, 通过增加能见度, 安全团队可以开始定制操作并搜索特定于其环境的解决方案.

为什么攻击面管理很重要? 

攻击面管理很重要,因为它提供了可见性, 上下文, 和 prioritization needed to address vulnerabilities before they can be exploited by attackers; it’s critical for teams who want a deeper underst和ing of their key risk areas. 攻击面管理还有助于制定IT, 安全人员, 领导层也知道哪些地区容易受到攻击, 因此组织可以找到最小化风险的方法.

这个过程的各个方面——比如漏洞评估和渗透测试——是团队可以利用的最佳实践,以获得攻击面可能发生破坏的可见性和背景. 这种全面的攻击面分析策略可以提高对技术和流程相关风险的认识.

  • 漏洞评估: A 漏洞评估 建立系统及其漏洞的基线, 保持环境的持续可见性,并使涉众意识到存在的潜在风险. 重点仅仅是识别,而不是利用. 接下来……
  • 渗透测试NIST将渗透测试定义为对真实系统和数据的真实攻击, 使用与实际攻击者相同的工具和技术. 渗透测试 渗透测试还有其他好处,可以帮助组织保持合规,并提供详细说明攻击者如何进入的硬数据.

围绕外部攻击面映射的挑战是什么? 

围绕外部攻击面映射的挑战有很多, 但这并不意味着没有合适的SOC解决方案. 不管这个团队是在一个地方还是分散在世界各地, 全球分布的劳动力必须确保其现代攻击面. 让我们来看看这些挑战中的几个亮点:

分布式IT生态系统

在云中维护大量操作的短暂性意味着没有像“过去”那样只有本地部署的定义边界. 这个范围是不断变化和扩大的, 因此,托管和容纳组织云的分布式IT生态系统所面临的挑战是,很难监控和保护位于防火墙和其他保护本地网络的协议之外的国家或全球边界.

孤立的团队

之间的合作 传统上孤立的团队 在试图监控和绘制攻击面以应对潜在威胁时,这可能是一个挑战吗, 特别是当这些团队可以在地理上分布时, 这是否意味着远程工作者的网络, 区域办事处, 或者跨国公司总部. 这些天, 人们更加关注能够提供共享视图和通用语言的解决方案,这些解决方案可以将那些传统上孤立的团队聚集在一起,朝着威胁预防的共同目标工作.

你的外部攻击面是不断变化的 

已知和未知资产之间不断加入网络, 你的攻击面每天都在增长和变化. 自动化操作内有效 外部攻击面管理(EASM) 策略可以减少保护外围资产所需的时间, 比如那些暴露在公共互联网上,可能会受到公共云配置错误的影响的企业.

EASM解决方案可以进一步优化 云安全态势 并且越来越关注识别不良外部资产. 他们应该能够做到 利用外部威胁情报 进行有针对性的威胁搜索,并优先考虑补救措施, 从最近的网络端点到周围的深和 黑暗的网络. 这样,从业者就可以了解什么 威胁的演员 在野外做什么,它是如何渗入内部环境的.

攻击面管理的核心功能是什么? 

发现

这包括广泛的扫描,以发现可能特别容易受到威胁的系统和/或资产. 这些类型的资产可以是应用程序构建中的任何内容, 个人资产进入公司网络, 到供应链合作伙伴的硬件/软件. 最后一点特别令人关切, 因为现有的大多数公司都利用多个供应商的服务, 每个人都利用他们自己的多个供应商的服务——等等等等.

这种复杂性和对众多合作伙伴网络的依赖,凸显了超越发现的必要性, 加速扫描和实时领域的可见性. 威胁行为者的入侵手段越来越快, 安全组织必须跟上开发时间持续缩短的步伐.

测试 

定期测试——不同类型的测试——是确保应用程序和系统得到适当保护的可靠方法. 从那里,你可以决定需要采取什么行动来加强周边.

  • 动态应用安全测试(DAST): A DAST 方法包括寻找攻击者可能试图利用的web应用程序中的漏洞.
  • 静态应用安全测试(SAST)SAST采用一种由内而外的方法, 意思是不像过去, 它查找web应用程序源代码中的漏洞.
  • 应用程序渗透测试:应用程序渗透测试涉及人的因素. 安全专业人员将尝试模仿攻击者如何使用他们的个人安全知识和各种安全技术侵入web应用程序 渗透测试工具 找到可利用的漏洞.

上下文

了解潜在风险或威胁的背景非常重要. 数据蔓延和复杂性可能导致难以处理的攻击面,给安全运营(SecOps)团队带来重大挑战,这些团队希望以不断增长的速度充分了解威胁并管理漏洞.

情境化威胁情报可以帮助您深入了解技术堆栈的每一层,以便您可以有效地确定优先级并应对风险和威胁. 这不仅仅意味着情报反馈,还意味着理解公众可访问性, 存在漏洞, 资源是否与业务关键型应用程序相关联, 和更多的. 漏洞具有一定程度的风险,网络上的每个资产也是如此. 因此, 制定合适的策略,在最敏感的风险成为真正的威胁之前,优先考虑对其进行补救,这一点至关重要.

优先级 

在一个安全组织中可能出现的安全问题的绝对数量, 不管是在SOC还是其他地方, 不一定是团队阻止威胁和修补漏洞的能力的指示器. 现代攻击面包括内部部署环境和云环境. 这种蔓延包括这样的场景 身份和访问管理(IAM) 当每个资源和服务被分配角色时,处理数百万个不同身份的团队. 每个角色都有自己的可利用权限和特权.

去年,88%的组织 报道称他们计划增加开支 除其他事项外,改进警报上下文和优先级. 像风险分析和工作流框架这样的自动化过程可以大大降低评估哪些事件最需要及时补救的复杂性和艰巨性.

建立和执行法规遵从性

实现并持续执行内部遵从性和法规是至关重要的, 如果适用的话——尽可能缩小攻击面的标准.

严格遵守 合规政策 能够在较小的攻击面中加速响应时间吗. 通过尽可能多的自动化, 当攻击或破坏发生时,你可以减小爆炸半径. 将安全向左转移是这些标准如何创造更快响应文化的一个例子. 这意味着在构建时和部署后通过持续的模板扫描,将安全性更早地集成到应用程序开发/部署过程中.

修复

随着网络的发展,攻击面也在扩大. 对于攻击者来说,这是一个很大的空间,可以找到进入并最大限度地利用它. 与, 如上所述, 上下文威胁情报和优先级, 随着时间的推移,你可能会表现得像个攻击者, 保持领先一步,在问题被利用之前解决问题. 自动修复 在快速应对一个又一个潜在威胁的能力中起着关键作用.

阅读更多关于攻击面安全的信息 

攻击面安全新闻:最新的Rapid7博客文章

Rapid7 博客:网络资产攻击面管理101