云設(shè)施的廣泛采用、組織網(wǎng)絡(luò)的迅速發(fā)展，以及工作方式轉(zhuǎn)向遠程，直接導(dǎo)致了組織攻擊面大幅擴展，連接架構(gòu)中盲點增多。

攻擊面擴展，加之監(jiān)控分散，帶來了人們不愿見到的結(jié)果：成功的網(wǎng)絡(luò)攻擊顯著增加。除了臭名昭著的勒索軟件，攻擊也涵蓋一系列其他類型。主要問題是，網(wǎng)絡(luò)攻擊者利用無人監(jiān)控的盲點來破壞組織的基礎(chǔ)設(shè)施，將攻擊縱向升級或橫向遷移，以謀取有價值的信息。

發(fā)現(xiàn)攻擊是問題所在。大多數(shù)組織快速發(fā)展，但追蹤所有變化內(nèi)容的能力尚未跟上。要迎頭趕上而對所有過去和現(xiàn)有資產(chǎn)進行編目，這一任務(wù)常被認為徒勞無益，十分復(fù)雜且耗費資源。

然而，鑒于被成功入侵的潛在代價，以及網(wǎng)絡(luò)攻擊者識別和使用暴露資產(chǎn)的能力增強，任何資產(chǎn)不受監(jiān)控都可能導(dǎo)致災(zāi)難性后果。

這也就是攻擊面管理 (ASM) 等新興技術(shù)的用武之地。

什么是攻擊面？

攻擊面是指所有通過互聯(lián)網(wǎng)訪問處理或存儲數(shù)據(jù)的硬件、軟件、SaaS 和云資產(chǎn)，也可以將其視為可被網(wǎng)絡(luò)犯罪分子利用來操縱網(wǎng)絡(luò)或系統(tǒng)以提取數(shù)據(jù)的攻擊向總和。攻擊面包括：

• 已知資產(chǎn)：庫存和管理的資產(chǎn)，例如公司網(wǎng)站、服務(wù)器以及依賴它們運行的內(nèi)容；
• 未知資產(chǎn)：例如影子IT或孤立的IT基礎(chǔ)設(shè)施，這些基礎(chǔ)設(shè)施超出了安全團隊的權(quán)限范圍，例如被遺忘的開發(fā)網(wǎng)站或營銷網(wǎng)站；
• 流氓資產(chǎn)：由威脅行為者啟動的惡意基礎(chǔ)設(shè)施，例如惡意軟件、域名搶注或冒充域名的網(wǎng)站或移動應(yīng)用程序等；
• 供應(yīng)商：攻擊面不僅限于組織自身，第三方和第四方供應(yīng)商同樣會引入重大的第三方風(fēng)險和第四方風(fēng)險。即便是小型供應(yīng)商也可能導(dǎo)致大規(guī)模數(shù)據(jù)泄露。

什么是攻擊面管理 (ASM) ？

ASM 是一種挖掘互聯(lián)網(wǎng)數(shù)據(jù)集和證書數(shù)據(jù)庫，或模擬攻擊者偵察手段的技術(shù)。這兩種方式都旨在對排查過程中發(fā)現(xiàn)的組織資產(chǎn)進行全面分析，亦包括掃描域、子域、IP、端口、影子 IT 等來排查面向互聯(lián)網(wǎng)的資產(chǎn)，然后對其進行分析以找出漏洞和安全隱患。

高級ASM包括針對每個暴露的安全隱患提供可行解決建議，例如清理未使用和不必要的資產(chǎn)以減少攻擊面，或?qū)€人提出警告，告知其電子郵件地址隨時可被用于網(wǎng)絡(luò)釣魚攻擊。

ASM 亦包括就開放源情報 (OSINT) 進行報告，這些情報包括公開在社交媒體，甚至視頻、網(wǎng)絡(luò)研討會、公開演講和會議等材料上的個人信息，可能會被用于社會工程攻擊或網(wǎng)絡(luò)釣魚活動。

攻擊面管理非常重要，它有助于預(yù)防和減輕來自以下的風(fēng)險：

• 遺留、物聯(lián)網(wǎng)和影子IT資產(chǎn)；
• 網(wǎng)絡(luò)釣魚和數(shù)據(jù)泄露等人為錯誤和疏忽；
• 易受攻擊和過時的軟件；
• 未知的開源軟件（OSS）；
• 針對組織的有針對性網(wǎng)絡(luò)攻擊；
• 針對所屬行業(yè)的大規(guī)模攻擊；
• 侵犯知識產(chǎn)權(quán)；
• 從并購活動中繼承的IT資產(chǎn)；
• 供應(yīng)商管理資產(chǎn)。

總而言之，ASM 的目標是確保所有暴露的資產(chǎn)都處于監(jiān)控狀態(tài)，并消除任何可能被攻擊者利用來打入企業(yè)系統(tǒng)的盲點。

誰將需要 ASM ？

在關(guān)于“2021年網(wǎng)絡(luò)安全有效性狀態(tài)”的網(wǎng)絡(luò)研討會上，“網(wǎng)絡(luò)布道師”大衛(wèi)·克萊因(David Klein)恰好談到了Cymulate用戶采用ASM前未予以關(guān)注的發(fā)現(xiàn)。在采用ASM之前，他們未意識到，這一群體當(dāng)中:

• 80% 沒有反欺詐SPF 郵件記錄
• 77% 網(wǎng)站缺乏保護
• 60% 有暴露的賬戶、基礎(chǔ)設(shè)施和管理服務(wù)
• 58% 郵件帳戶曾被黑客入侵
• 37% 使用外部托管的 Java
• 26% 沒有為域名配置DMARC記錄
• 23% SSL證書與主機名不匹配

人們一旦認識到這些安全漏洞其實就可以將之彌補，但在此之前，對這類暴露漏洞如此一無所知才真正令人擔(dān)憂。

本分析中的 ASM 用戶來自大量垂直行業(yè)、所屬多種地區(qū)和組織規(guī)模。這也表明，任何擁有連網(wǎng)基礎(chǔ)設(shè)施的組織都應(yīng)將ASM納入其網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，然后從這一舉措中受益。

從哪可以獲取ASM？

ASM技術(shù)雖然還很新，但其供應(yīng)商數(shù)量正與日俱增。同樣，考慮將ASM納入一個先進平臺而非獨立產(chǎn)品效果更顯著。

ASM解決方案的重點部分取決于與之關(guān)聯(lián)的產(chǎn)品體系。因此，基于擴展掃描能力，與端點檢測和響應(yīng)(EDR)等響應(yīng)式套件相關(guān)聯(lián)的ASM解決方案更有可能，而納入主動式平臺(如擴展安全態(tài)勢管理(XSPM))內(nèi)部的ASM解決方案則更可能專注于利用掃描能力，對模擬網(wǎng)絡(luò)攻擊者的偵察手段和工具詳細展開。

選擇集成ASM有助于將涉及組織安全狀況的數(shù)據(jù)集中在一個單一虛擬管理平臺，從而降低安全運營中心(SOC)團隊數(shù)據(jù)過載的風(fēng)險。

研究機構(gòu)Forrester在攻擊面管理報告中列出ASM應(yīng)用的幾點建議：ASM不應(yīng)僅被視為一種工具或能力，而應(yīng)是工具賦能的一種規(guī)劃，并且應(yīng)當(dāng)利用它將優(yōu)先級相互沖突的團隊凝聚起來。如果組織力求應(yīng)用程序和基礎(chǔ)設(shè)施的依賴關(guān)系映射達到預(yù)期狀態(tài)，那么讓ASM規(guī)劃的目標更具可見性、進而提高可觀察性，并將之視為達到這個預(yù)期狀態(tài)的關(guān)鍵手段，就可以統(tǒng)一安全、技術(shù)、業(yè)務(wù)領(lǐng)導(dǎo)及團隊成員，這是漏洞風(fēng)險管理和內(nèi)部補丁服務(wù)等級協(xié)議(SLA)肯定無法做到的。

攻擊面管理對組織來說是性價比非常高的安全工作。有效收斂攻擊面可以讓組織在投入最低成本的情況下，最大程度降低對外暴露的安全風(fēng)險。對于中大型網(wǎng)絡(luò)來說，可以通過自建或采購安全策略管理平臺方式實現(xiàn)系統(tǒng)化、自動化的攻擊面管理。

參考鏈接：https://thehackernews.com/2022/02/how-attack-surface-management-preempts.html