隨著云端能力的廣泛啟用，以及隨后組織網(wǎng)絡(luò)的快速生長，再趕上最近遠(yuǎn)程辦公的興起，使得組織的攻擊面大規(guī)模擴(kuò)散，直接導(dǎo)致了連接結(jié)構(gòu)中日益增長的安全盲點(diǎn)。

這一未曾預(yù)見到的擴(kuò)展，以及脆弱的攻擊面監(jiān)控，使得網(wǎng)絡(luò)攻擊數(shù)量直線上升。其中，最顯著的，莫過于勒索軟件，但同時(shí)也包括了大量其他攻擊。最大的問題依然是被攻擊者利用的未被監(jiān)控的盲點(diǎn)，能夠滲透入組織的基礎(chǔ)設(shè)施，并且通過提權(quán)或者橫向移動(dòng)，尋找有價(jià)值的信息。

問題在于如何發(fā)現(xiàn)這些情況。大部分組織追蹤所有組成的部分，并且將所有過去與現(xiàn)在資產(chǎn)進(jìn)行分類的能力，已經(jīng)遠(yuǎn)遠(yuǎn)趕不上組織自身演化的速度;而對自己資產(chǎn)的梳理也被視為一項(xiàng)吃力不討好的任務(wù)。

然而，考慮到被成功攻擊的代價(jià)，以及攻擊者越來越擅于識別和使用暴露資產(chǎn)的情況，任何一個(gè)未被監(jiān)控的點(diǎn)都能導(dǎo)致災(zāi)難性的泄露事件。

這就是最近攻擊面管理(Attack Surface Management, ASM)這項(xiàng)技術(shù)有價(jià)值的地方。

何為攻擊面管理？

攻擊面管理會(huì)挖掘互聯(lián)網(wǎng)上的數(shù)據(jù)組以及證書庫，或者模擬攻擊者使用嗅探技術(shù)的方式。兩種方式的目的都是對組織在發(fā)現(xiàn)流程中能夠找到的資產(chǎn)進(jìn)行一次全面的分析。兩種方式都包括掃描域名、子域名、IP地址、端口、影子IT等面向互聯(lián)網(wǎng)的資產(chǎn)，之后再進(jìn)行分析，檢測是否存在漏洞或者安全缺口。

高級的攻擊面管理包括可進(jìn)行的緩解建議，修復(fù)發(fā)現(xiàn)的安全缺口；建議從未使用的或不必要的資產(chǎn)以減少攻擊面，到通知個(gè)人他們的郵箱存在隱患，可能成為釣魚攻擊的目標(biāo)。

攻擊面管理包括匯報(bào)會(huì)被用于社會(huì)工程或者釣魚攻擊的開源情報(bào)，比如在社交媒體上的公開個(gè)人情報(bào)，甚至像在視頻、公開演講、在線研討會(huì)和會(huì)議上的材料。

最終，攻擊面管理的目標(biāo)是確保沒有暴露的資產(chǎn)不受監(jiān)控，并消除任何可能形成攻擊入口的盲點(diǎn)。

誰需要攻擊面管理？

David Klein在他關(guān)于2021年網(wǎng)絡(luò)安全效率情況的在線研討會(huì)上，闡述了Cymulate用戶使用過攻擊面管理的情況。在他們使用攻擊面管理之前，他們并不知道：

• 80%的用戶沒有反欺詐、SPF郵件記錄。
• 77%的用戶缺少有效的網(wǎng)站防護(hù)。
• 60%的用戶有暴露的賬戶、基礎(chǔ)設(shè)施和管理服務(wù)。
• 58%的用戶有失陷的郵件賬戶。
• 37%的用戶使用從外部調(diào)用的Java函數(shù)。
• 26%的用戶沒有對域名配置的DMARC記錄。
• 23%的用戶存在SSL證書不匹配問題。

一旦被成功識別，這些安全缺口可以被填補(bǔ)上，但是真正擔(dān)憂的問題是在這些問題被發(fā)現(xiàn)前已經(jīng)產(chǎn)生的影響。

在這個(gè)分析中的攻擊面管理用戶有各種不同的垂直行業(yè)、地區(qū)和組織規(guī)模。這意味著任何有對外連接基礎(chǔ)設(shè)施的組織，都會(huì)從將攻擊面管理作為他們網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施集成中的一部分而獲益。

從哪里找到攻擊面管理？

盡管說這項(xiàng)技術(shù)最近在逐漸興起，但已經(jīng)有一些攻擊面管理供應(yīng)商了。和其他安全能力一樣，攻擊面管理最好作為一個(gè)整體平臺中的一部分，而非單獨(dú)的產(chǎn)品。

攻擊面管理解決方案的著重點(diǎn)和其相關(guān)的一系列產(chǎn)品的著重點(diǎn)有一點(diǎn)關(guān)系。攻擊面管理解決方案如果和像EDR那樣的響應(yīng)型產(chǎn)品關(guān)聯(lián)，就更偏向于基于掃描能力;而如果包含在像擴(kuò)展安全態(tài)勢管理(Extended Security Posture Management, XSPM)這類的主動(dòng)平臺，就更偏向于從掃描能力擴(kuò)展到攻擊者的偵查技術(shù)和工具層面。

選擇一個(gè)集成的攻擊面管理方案，能夠協(xié)助將組織安全態(tài)勢相關(guān)的數(shù)據(jù)集中展現(xiàn)在一個(gè)單獨(dú)的面板上，從而減少SOC團(tuán)隊(duì)數(shù)據(jù)過載的風(fēng)險(xiǎn)。

點(diǎn)評

攻擊面管理并非一個(gè)新概念，但是隨著攻擊面本身的日益增長，在今后會(huì)成為一個(gè)越來越重要的領(lǐng)域。由于攻擊面管理的目標(biāo)之一是整理并收斂攻擊入口，攻擊者視角的思維能力不可或缺，在攻防上有積累的安全廠商同樣會(huì)在這一領(lǐng)域有其獨(dú)特的優(yōu)勢。