[[410324]]

持續(xù)蔓延的疫情以及數(shù)字化云端轉(zhuǎn)型為網(wǎng)絡(luò)安全帶來(lái)了許多新挑戰(zhàn)：攻擊面增長(zhǎng)，IT復(fù)雜化、影子化等等。2018 年，Gartner敦促安全領(lǐng)導(dǎo)者開(kāi)始著手減少、監(jiān)控和管理他們的攻擊面，作為整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃的一部分。如今，攻擊面管理正在成為CIO、CTO、CISO和安全團(tuán)隊(duì)的首要任務(wù)。

何為攻擊面?

您的攻擊面是指可以通過(guò)Internet訪問(wèn)的用于處理或存儲(chǔ)您的數(shù)據(jù)的所有硬件、軟件、SaaS 和云資產(chǎn)。也可以將其視為網(wǎng)絡(luò)犯罪分子可以用來(lái)操縱網(wǎng)絡(luò)或系統(tǒng)以提取數(shù)據(jù)的攻擊向量總數(shù)。您的攻擊面包括：

• 已知資產(chǎn)：庫(kù)存和管理的資產(chǎn)，例如您的公司網(wǎng)站、服務(wù)器以及在它們上面運(yùn)行的依賴項(xiàng);
• 未知資產(chǎn)：例如影子IT或孤立的IT基礎(chǔ)設(shè)施，這些基礎(chǔ)設(shè)施超出了您安全團(tuán)隊(duì)的權(quán)限范圍，例如被遺忘的開(kāi)發(fā)網(wǎng)站或營(yíng)銷網(wǎng)站;
• 流氓資產(chǎn)：由威脅行為者啟動(dòng)的惡意基礎(chǔ)設(shè)施，例如惡意軟件、域名搶注或冒充您域名的網(wǎng)站或移動(dòng)應(yīng)用程序等;
• 供應(yīng)商：您的攻擊面不僅限于您的組織，第三方和第四方供應(yīng)商同樣會(huì)引入重大的第三方風(fēng)險(xiǎn)和第四方風(fēng)險(xiǎn)。即便是小型供應(yīng)商也可能導(dǎo)致大規(guī)模數(shù)據(jù)泄露，例如最終導(dǎo)致Target泄露超過(guò)1.1億消費(fèi)者信用卡和個(gè)人數(shù)據(jù)的HVAC供應(yīng)商。

不幸的是，每天都有數(shù)以百萬(wàn)計(jì)的此類資產(chǎn)出現(xiàn)在Internet上，并且完全超出了防火墻和端點(diǎn)保護(hù)服務(wù)的范圍。攻擊面有時(shí)候也稱為外部攻擊面或數(shù)字攻擊面。

何為攻擊面管理?

攻擊面管理(ASM)是對(duì)存儲(chǔ)、傳輸或處理敏感數(shù)據(jù)的外部數(shù)字資產(chǎn)的持續(xù)發(fā)現(xiàn)、盤點(diǎn)、分類、優(yōu)先級(jí)排序和安全監(jiān)控。

攻擊面管理非常重要，因?yàn)樗兄陬A(yù)防和減少源自以下方面的風(fēng)險(xiǎn)：

• 遺留、物聯(lián)網(wǎng)和影子IT資產(chǎn);
• 網(wǎng)絡(luò)釣魚和數(shù)據(jù)泄露等人為錯(cuò)誤和疏忽;
• 易受攻擊和過(guò)時(shí)的軟件;
• 未知的開(kāi)源軟件(OSS);
• 針對(duì)貴組織的有針對(duì)性網(wǎng)絡(luò)攻擊;
• 針對(duì)您所屬行業(yè)的大規(guī)模攻擊;
• 侵犯知識(shí)產(chǎn)權(quán);
• 從并購(gòu)活動(dòng)中繼承的IT資產(chǎn);
• 供應(yīng)商管理資產(chǎn);

及時(shí)識(shí)別數(shù)字資產(chǎn)是強(qiáng)大威脅情報(bào)的基本組成部分，可以大大降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。要知道，攻擊者發(fā)起網(wǎng)絡(luò)攻擊所需要的只是您組織中的一個(gè)薄弱環(huán)節(jié)。

攻擊面管理優(yōu)秀實(shí)踐

云計(jì)算解決方案、遠(yuǎn)程和在家工作系統(tǒng)以及聯(lián)網(wǎng)設(shè)備的急劇增加，無(wú)疑會(huì)帶來(lái)更大的攻擊面，從而進(jìn)一步增加安全風(fēng)險(xiǎn)。而減少漏洞數(shù)量的最佳方法就是建立適當(dāng)?shù)钠髽I(yè)攻擊面管理程序。

正確有效的攻擊面管理需要分析操作以發(fā)現(xiàn)潛在漏洞并了解具體情況。這些信息有助于企業(yè)組織制定計(jì)劃，但成功與否還要取決于在組織的網(wǎng)絡(luò)、系統(tǒng)、渠道和接觸點(diǎn)中如何執(zhí)行該計(jì)劃。

以下是構(gòu)建企業(yè)攻擊面管理程序時(shí)需要考慮的一些最佳實(shí)踐，遵循下述建議可以最大限度地減少漏洞，并降低威脅行為者危害組織網(wǎng)絡(luò)和設(shè)備的機(jī)會(huì)。

1. 繪制攻擊面

要部署適當(dāng)?shù)姆烙仨毩私獗┞读四男?shù)字資產(chǎn)、攻擊者最有可能入侵網(wǎng)絡(luò)的位置以及需要部署哪些保護(hù)措施。因此，提高攻擊面的可見(jiàn)性并構(gòu)建對(duì)攻擊漏洞的有力呈現(xiàn)至關(guān)重要。要查找的漏洞類型包括較舊且安全性較低的計(jì)算機(jī)或服務(wù)器、未打補(bǔ)丁的系統(tǒng)、過(guò)時(shí)的應(yīng)用程序和暴露的物聯(lián)網(wǎng)設(shè)備等。

預(yù)測(cè)建模有助于創(chuàng)建對(duì)可能發(fā)生的事件及其風(fēng)險(xiǎn)的真實(shí)描述，進(jìn)一步加強(qiáng)防御和主動(dòng)措施。一旦您了解了風(fēng)險(xiǎn)，您就可以對(duì)事件或違規(guī)之前、期間和之后會(huì)發(fā)生的情況進(jìn)行建模。您可以預(yù)計(jì)會(huì)造成怎樣的經(jīng)濟(jì)損失?事件會(huì)對(duì)企業(yè)聲譽(yù)造成多大損害?您會(huì)丟失商業(yè)情報(bào)、商業(yè)機(jī)密或更多信息嗎?

SANS新興安全趨勢(shì)主管John Pescatore稱：

成功的攻擊面繪制策略非常簡(jiǎn)單：了解您要保護(hù)的內(nèi)容(準(zhǔn)確的資產(chǎn)清單);監(jiān)控這些資產(chǎn)中的漏洞;并使用威脅情報(bào)來(lái)了解攻擊者如何利用這些漏洞攻擊這些資產(chǎn)。這三個(gè)階段中的每個(gè)階段都需要配置具備熟練安全技術(shù)的員工，才能跟上這三個(gè)領(lǐng)域的變化速度。

2. 最小化漏洞

一旦組織繪制完成他們的攻擊面，就可以立即采取行動(dòng)減輕最重要的漏洞和潛在攻擊媒介帶來(lái)的風(fēng)險(xiǎn)，然后再繼續(xù)執(zhí)行較低優(yōu)先級(jí)的任務(wù)。在可能的情況下使資產(chǎn)離線并加強(qiáng)內(nèi)部和外部網(wǎng)絡(luò)是值得關(guān)注的兩個(gè)關(guān)鍵領(lǐng)域。

如今，市場(chǎng)上大多數(shù)網(wǎng)絡(luò)平臺(tái)供應(yīng)商都提供工具來(lái)幫助最小化攻擊面。例如，微軟的攻擊面減少(ASR)規(guī)則可以幫助用戶阻止攻擊者常用的進(jìn)程和可執(zhí)行文件。

不過(guò)值得注意的是，大多數(shù)違規(guī)都是由人為錯(cuò)誤造成的。因此，針對(duì)員工建立安全意識(shí)和培訓(xùn)是減少漏洞的另一個(gè)關(guān)鍵方面。您有哪些政策可以幫助他們掌握個(gè)人和工作安全?他們了解自己需要做什么嗎?他們應(yīng)該使用哪些安全實(shí)踐?以及一旦遭到攻擊將如何影響他們和整個(gè)業(yè)務(wù)?

并非所有漏洞都需要解決，有些漏洞無(wú)論如何都會(huì)持續(xù)存在。可靠的網(wǎng)絡(luò)安全策略需要包括識(shí)別最相關(guān)來(lái)源的方法，挑選出更有可能被利用的來(lái)源。這些都是應(yīng)該減輕和監(jiān)控的漏洞。

如今，大多數(shù)企業(yè)允許的訪問(wèn)權(quán)限已經(jīng)超出了員工和承包商所需的訪問(wèn)權(quán)限。執(zhí)行最小訪問(wèn)權(quán)限原則可以確保即使帳戶遭到破壞也不會(huì)造成中斷或重大損害。企業(yè)組織可以先對(duì)關(guān)鍵系統(tǒng)的訪問(wèn)權(quán)限進(jìn)行分析，然后將每個(gè)人和設(shè)備的訪問(wèn)權(quán)限限制在他們絕對(duì)需要的資產(chǎn)上。

3. 建立強(qiáng)大的安全實(shí)踐和政策

嚴(yán)格遵循一些久經(jīng)考驗(yàn)的最佳安全實(shí)踐將大大減少您的攻擊面。這包括實(shí)施入侵檢測(cè)解決方案、定期進(jìn)行風(fēng)險(xiǎn)評(píng)估以及制定明確有效的政策。以下是一些需要考慮的做法：

• 使用強(qiáng)大的身份驗(yàn)證協(xié)議和訪問(wèn)控制進(jìn)行健康的帳戶管理;
• 建立一致的修補(bǔ)和更新策略;
• 維護(hù)和測(cè)試關(guān)鍵數(shù)據(jù)的備份;
• 對(duì)您的網(wǎng)絡(luò)進(jìn)行分段，以在發(fā)生破壞時(shí)將損害降至最低;
• 監(jiān)控和淘汰舊設(shè)備、機(jī)器和服務(wù);
• 在任何可行的地方使用加密;
• 建立或限制您的BYOD政策和計(jì)劃;

4. 建立安全監(jiān)控和測(cè)試協(xié)議

隨著IT基礎(chǔ)設(shè)施的變化以及威脅行為者的不斷發(fā)展，強(qiáng)大的網(wǎng)絡(luò)安全計(jì)劃同樣需要進(jìn)行不斷地調(diào)整。這就需要持續(xù)監(jiān)控和定期測(cè)試，后者通?？梢酝ㄟ^(guò)第三方滲透測(cè)試服務(wù)實(shí)現(xiàn)。

監(jiān)控通常通過(guò)自動(dòng)化系統(tǒng)完成，如安全信息和事件管理軟件(SIEM)。它將主機(jī)系統(tǒng)和應(yīng)用程序生成的日志數(shù)據(jù)收集到網(wǎng)絡(luò)和安全設(shè)備(例如防火墻和防病毒過(guò)濾器)，然后，SIEM 軟件會(huì)識(shí)別、分類和分析事件，并對(duì)其進(jìn)行分析。

滲透測(cè)試能夠提供公正的第三方反饋，幫助您更好地了解漏洞。在此過(guò)程中，滲透測(cè)試人員會(huì)進(jìn)行旨在揭示關(guān)鍵漏洞的模擬攻擊。測(cè)試應(yīng)涉及企業(yè)網(wǎng)絡(luò)和BYOD的核心元素以及供應(yīng)商正在使用的第三方設(shè)備。要知道，移動(dòng)設(shè)備約占企業(yè)數(shù)據(jù)交互的60%。

5. 強(qiáng)化您的電子郵件系統(tǒng)

網(wǎng)絡(luò)釣魚是攻擊者入侵您網(wǎng)絡(luò)的常見(jiàn)方式。然而，一些組織尚未完全部署旨在限制員工收到的惡意電子郵件數(shù)量的電子郵件協(xié)議。這些協(xié)議包括：

• 發(fā)件人策略框架(SPF)可防止對(duì)合法電子郵件返回地址進(jìn)行欺騙;
• 域密鑰識(shí)別郵件(DKIM)可以確保目標(biāo)電子郵件系統(tǒng)信任從自定義域發(fā)送的出站郵件;
• 基于域的消息身份驗(yàn)證、報(bào)告和一致性(DMARC)允許您設(shè)置有關(guān)如何處理由SPF或DKIM識(shí)別的失敗或欺騙電子郵件的規(guī)則;

雖然大多數(shù)企業(yè)并未能將所有協(xié)議落地，但是國(guó)際健康保險(xiǎn)公司Aetna做到了。這也幫助該公司減少了軟件漏洞，同時(shí)縮短了公司上市時(shí)間。

6. 了解合規(guī)性

所有組織都應(yīng)該制定政策和程序來(lái)研究、確定以及理解內(nèi)部和政府標(biāo)準(zhǔn)。目標(biāo)是確保所有安全策略都能符合合規(guī)要求，同時(shí)對(duì)各種攻擊和違規(guī)類型都有適當(dāng)?shù)捻憫?yīng)計(jì)劃。

這可能需要建立一個(gè)工作組和戰(zhàn)略，以便在新政策和法規(guī)生效時(shí)對(duì)其進(jìn)行審查。毫無(wú)疑問(wèn)，合規(guī)性對(duì)于現(xiàn)代網(wǎng)絡(luò)安全策略非常重要，但這并不一定意味著它應(yīng)該是優(yōu)先事項(xiàng)。根據(jù)Pescatore的說(shuō)法：

合規(guī)性往往是第一位的，但幾乎100%發(fā)生信用卡信息泄露的公司都符合PCI合規(guī)性。然而，它們卻并不安全。

他認(rèn)為網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)該首先評(píng)估風(fēng)險(xiǎn)并部署流程或控制措施來(lái)保護(hù)公司及其客戶。然后，企業(yè)應(yīng)該制作各種合規(guī)制度(例如HIPAA 或PCI)所需的文件，以顯示您的策略是如何合規(guī)的。

7. 聘請(qǐng)審計(jì)員

在評(píng)估企業(yè)攻擊面時(shí)，即使是最好的安全團(tuán)隊(duì)有時(shí)也需要新的視角。聘請(qǐng)安全審計(jì)員和分析師可以幫助您發(fā)現(xiàn)可能會(huì)被忽視的攻擊媒介和漏洞。

他們還可以協(xié)助制定事件管理計(jì)劃，以應(yīng)對(duì)潛在的違規(guī)和攻擊。太多的組織沒(méi)有為網(wǎng)絡(luò)安全攻擊做好準(zhǔn)備，因?yàn)樗麄內(nèi)狈ζ渌街坪饬α縼?lái)衡量他們的政策是否存在缺陷。

Smart Billions首席技術(shù)官Jason Mitchell表示：

在嘗試客觀地確定安全風(fēng)險(xiǎn)時(shí)，擁有一個(gè)外部的、公正的觀點(diǎn)可能非常有益。使用獨(dú)立的監(jiān)控流程來(lái)幫助識(shí)別風(fēng)險(xiǎn)行為和威脅，以免它們淪為端點(diǎn)上的問(wèn)題，尤其是新的數(shù)字資產(chǎn)、新加入的供應(yīng)商以及遠(yuǎn)程員工。

領(lǐng)先的攻擊面管理企業(yè)

1. UpGuard

UpGuard BreachSight可以監(jiān)控組織的70多種安全控制，提供簡(jiǎn)單、易于理解的網(wǎng)絡(luò)安全評(píng)級(jí)，并自動(dòng)檢測(cè)S3存儲(chǔ)桶、Rsync服務(wù)器、GitHub存儲(chǔ)庫(kù)等中泄露的憑據(jù)和數(shù)據(jù)。

而對(duì)于供應(yīng)商信息安全控制的評(píng)估，UpGuard Vendor Risk可以通過(guò)自動(dòng)化供應(yīng)商問(wèn)卷調(diào)查和提供供應(yīng)商問(wèn)卷模板，最大限度地減少組織評(píng)估相關(guān)和第三方信息安全控制的時(shí)間。

UpGuard 與其他供應(yīng)商之間的主要區(qū)別在于，它們?cè)诜乐箶?shù)據(jù)泄露方面具有非常權(quán)威的專業(yè)知識(shí)。這一點(diǎn)可以從《紐約時(shí)報(bào)》、《華爾街日?qǐng)?bào)》、彭博社、《華盛頓郵報(bào)》、《福布斯》、路透社和 TechCrunch 等刊物上得到印證。

2. Expanse

總部位于舊金山的Expanse公司成立于2012年，是一家攻擊面管理的安全初創(chuàng)公司，開(kāi)發(fā)旨在監(jiān)控攻擊面的解決方案，以便進(jìn)行風(fēng)險(xiǎn)評(píng)估和緩解威脅。以日前發(fā)生的SolarWinds漏洞事件為例，Expanse能夠?yàn)槠髽I(yè)提供掃描整個(gè)互聯(lián)網(wǎng)上公開(kāi)暴露服務(wù)器的功能，并分析出站行為以檢測(cè)入侵。

Expanse解決方案平臺(tái)包括一個(gè)用于發(fā)現(xiàn)和監(jiān)控互聯(lián)網(wǎng)資產(chǎn)的儀表盤、監(jiān)控可疑網(wǎng)絡(luò)活動(dòng)和分析流量模式的軟件，還提供了一系列API和工具，用于與現(xiàn)有IT基礎(chǔ)設(shè)施進(jìn)行整合?？梢哉f(shuō)，Expanse的數(shù)據(jù)提供了一個(gè)從外部觀察企業(yè)的視角，代表了攻擊者在探尋薄弱點(diǎn)時(shí)看到的景象。

2020年11月，Palo Alto公司以8億美元收購(gòu)Expanse公司，Expanse聯(lián)合創(chuàng)始人Tim Junio和Matt Kraning也在交易完成后加入Palo Alto Networks團(tuán)隊(duì)。

迄今為止，Expanse公司已經(jīng)獲得了1.36億美元的資金。之前的投資者包括TPG、IVP和New Enterprise Associates。

3. RiskIQ

RiskIQ是數(shù)字威脅管理的領(lǐng)導(dǎo)者，提供最全面的發(fā)現(xiàn)、情報(bào)和緩解與組織數(shù)字呈現(xiàn)相關(guān)的威脅。RiskIQ使企業(yè)能夠獲得對(duì)網(wǎng)絡(luò)、社交媒體和移動(dòng)設(shè)備的統(tǒng)一洞察和控制力。其平臺(tái)結(jié)合了先進(jìn)的互聯(lián)網(wǎng)數(shù)據(jù)偵察和分析能力，以加快調(diào)查、了解攻擊面、評(píng)估風(fēng)險(xiǎn)并針對(duì)數(shù)字威脅采取行動(dòng)。使用RiskIQ社區(qū)版，所有安全分析師都可以在協(xié)作在線環(huán)境中免費(fèi)訪問(wèn)其解決方案，以實(shí)現(xiàn)有組織的網(wǎng)絡(luò)防御。

4. Elevate Security

Elevate Security 是人類攻擊面管理的領(lǐng)導(dǎo)者，由兩位前Salesforce安全主管于2017年創(chuàng)立。 2021年5月，Elevate Security推出了一個(gè)突破性的新平臺(tái)，該平臺(tái)解決了網(wǎng)絡(luò)安全最大的棘手問(wèn)題之一 ——人為錯(cuò)誤——對(duì)整個(gè)組織的員工風(fēng)險(xiǎn)進(jìn)行智能、定制和自動(dòng)響應(yīng)。

Elevate Security 平臺(tái)提供了一個(gè)智能、定制和自動(dòng)化的平臺(tái)，該平臺(tái)可以獲取組織的全部安全數(shù)據(jù)，以獲得對(duì)人類風(fēng)險(xiǎn)的基準(zhǔn)可見(jiàn)性，使客戶能夠主動(dòng)定制安全控制并圍繞風(fēng)險(xiǎn)最高的員工創(chuàng)建“安全網(wǎng)”。

憑借來(lái)自 Elevate Security 平臺(tái)的洞察力和控制，CISO 能夠更好地支持企業(yè)內(nèi)的高增長(zhǎng)計(jì)劃，同時(shí)保護(hù)和防御人類攻擊面。

5. Censys

Censys是持續(xù)攻擊面管理的領(lǐng)先供應(yīng)商，于2013年在密歇根州安娜堡成立，旨在為組織提供世界上最全面的全球網(wǎng)絡(luò)和設(shè)備實(shí)時(shí)視圖。

2020年，Censys開(kāi)發(fā)出了一種新的掃描引擎，能夠洞察比任何其他網(wǎng)絡(luò)安全公司多出44%的互聯(lián)網(wǎng)。新架構(gòu)為Censys攻擊面管理客戶提供快速可操作的發(fā)現(xiàn)、列舉風(fēng)險(xiǎn)和補(bǔ)救建議，以防止攻擊者和違規(guī)行為。

FireEye，谷歌，北約、瑞士武裝部隊(duì)，美國(guó)國(guó)土安全部等客戶以及超過(guò)25%的《財(cái)富》500強(qiáng)企業(yè)都依賴該公司的互聯(lián)網(wǎng)范圍的持續(xù)可見(jiàn)性平臺(tái)來(lái)發(fā)現(xiàn)和預(yù)防網(wǎng)絡(luò)安全威脅。Censys還因其具有改變網(wǎng)絡(luò)安全行業(yè)潛力的開(kāi)創(chuàng)性技術(shù)，被CB Insights評(píng)為“2019 年網(wǎng)絡(luò)防御者”。

本文翻譯自：https://www.upguard.com/blog/attack-surface-management如若轉(zhuǎn)載，請(qǐng)注明原文地址。