近期，美國(guó)網(wǎng)絡(luò)安全審查委員會(huì)發(fā)布首份報(bào)告稱，2021年年底曝光的Log4j漏洞成為難以消除的漏洞，其影響將會(huì)持續(xù)十年之久。

Log4j事件表明，我們對(duì)暴露的IT資產(chǎn)知之甚少。據(jù)統(tǒng)計(jì)，大型組織通常擁有數(shù)千、數(shù)萬或更多面向互聯(lián)網(wǎng)的資產(chǎn)，包括網(wǎng)站、敏感數(shù)據(jù)、員工憑證、云工作負(fù)載、云存儲(chǔ)、源代碼、SSL 證書等。 

如果要問“攻擊者發(fā)現(xiàn)和利用Log4j等漏洞的頻率和速度帶來什么教訓(xùn)”，答案一定是應(yīng)在攻擊面管理和網(wǎng)絡(luò)保護(hù)工具部署等方面做出積極主動(dòng)的探索。

現(xiàn)代數(shù)字基礎(chǔ)設(shè)施加速發(fā)展，容器化、SaaS應(yīng)用以及混合工作環(huán)境急速增長(zhǎng)，企業(yè)面臨的攻擊面也在隨之?dāng)U大。為降低攻擊風(fēng)險(xiǎn)，許多機(jī)構(gòu)都在努力發(fā)現(xiàn)、分類和管理面向互聯(lián)網(wǎng)的資產(chǎn)。

2018年， Gartner首次提出攻擊面管理（Attack surface management，ASM）的概念。2021年7月，Gartner發(fā)布《2021安全運(yùn)營(yíng)技術(shù)成熟度曲線》，將攻擊面管理相關(guān)技術(shù)定義為新興技術(shù)。

Gartner預(yù)測(cè)，供給面管理解決方案將成為2022年大型企業(yè)的首要投資項(xiàng)目。ESG 高級(jí)首席分析師Jon Oltsik 也認(rèn)為，2022年是攻擊面管理技術(shù)重要的一年。在《2022年網(wǎng)絡(luò)安全的主要趨勢(shì)報(bào)告》中，Gartner研究人員強(qiáng)調(diào):隨著企業(yè)攻擊面持續(xù)擴(kuò)大，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者將增加對(duì)相關(guān)流程和工具的投資。

攻擊面管理被視為向主動(dòng)安全轉(zhuǎn)變的開始。主動(dòng)安全意味著，可以像攻擊者那樣洞察整個(gè)攻擊面，通過持續(xù)測(cè)試，確定補(bǔ)救措施的優(yōu)先級(jí)并驗(yàn)證有效性，從而做到領(lǐng)先于潛在攻擊者。通過這種方式，機(jī)構(gòu)首次可以實(shí)現(xiàn)盡早洞察安全威脅，并采取適當(dāng)措施來緩解威脅和降低風(fēng)險(xiǎn)。

2021年供給面管理領(lǐng)域發(fā)生眾多收購(gòu)：Mandiant收購(gòu)Intrigue，微軟收購(gòu)RiskIQ，Palo Alto Networks收購(gòu)Expanse Networks。這些頻繁的收購(gòu)讓業(yè)界看到了供給面管理的發(fā)展勢(shì)頭。

Gartner 估計(jì)，到 2026 年，20% 的公司將實(shí)現(xiàn)對(duì)其95%所資產(chǎn)的可見性，而 2022 年這一比例不到 1%。這意味該領(lǐng)域仍然處于早期階段。

ASM：敞口管理的第一個(gè)支柱

攻擊面是指未經(jīng)授權(quán)即能訪問和利用企業(yè)數(shù)字資產(chǎn)的所有潛在入口的總和，包括未經(jīng)授權(quán)的可訪問的硬件、軟件、云資產(chǎn)和數(shù)據(jù)資產(chǎn)等；同樣也包括人員管理、技術(shù)管理、業(yè)務(wù)流程存在的安全漏洞和缺陷等，即存在可能會(huì)被攻擊者利用并造成損失的潛在風(fēng)險(xiǎn)。

概括來說，攻擊面主要包括：

• 已知資產(chǎn)：庫(kù)存和管理的資產(chǎn)，例如您的公司網(wǎng)站、服務(wù)器以及在其上運(yùn)行的依賴項(xiàng)；
• 未知資產(chǎn)：例如影子IT或孤立的IT基礎(chǔ)設(shè)施，這些基礎(chǔ)設(shè)施超出了您安全團(tuán)隊(duì)的權(quán)限，例如被遺忘的開發(fā)網(wǎng)站或營(yíng)銷網(wǎng)站；
• 流氓資產(chǎn)：由威脅行為者構(gòu)建的惡意基礎(chǔ)設(shè)施，例如惡意軟件、域名搶注或冒充您域名的網(wǎng)站及移動(dòng)應(yīng)用程序等；
• 供應(yīng)商：您的攻擊面不僅限于您的機(jī)構(gòu)，第三方和第四方供應(yīng)商也會(huì)引入重大的安全風(fēng)險(xiǎn)。即便是小型供應(yīng)商也可能導(dǎo)致大規(guī)模數(shù)據(jù)泄露。例如，最終導(dǎo)致百貨巨頭Target泄露超過1.1億消費(fèi)者信用卡和個(gè)人數(shù)據(jù)的HVAC供應(yīng)商。

需要強(qiáng)調(diào)的是，并非所有資產(chǎn)暴露面都可以成為攻擊面，只有可利用暴露面疊加攻擊向量才會(huì)形成攻擊面。

攻擊面管理指的是以攻擊者的角度對(duì)企業(yè)數(shù)字資產(chǎn)攻擊面進(jìn)行檢測(cè)發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的一種資產(chǎn)安全性管理方法，其最大特性就是以外部攻擊者視角來審視企業(yè)所有資產(chǎn)可被利用的攻擊可能性。

在Gartner報(bào)告中，攻擊面管理（ASM）是一組更廣泛的功能—— “敞口管理”（Exposure Management）——中的第一個(gè)支柱，其他組成因素還包括漏洞和驗(yàn)證管理。

敞口管理包括攻擊面管理、漏洞管理和驗(yàn)證管理

Gartner認(rèn)為，ASM涉及三個(gè)新興的技術(shù)創(chuàng)新領(lǐng)域，即網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）、外部攻擊面管理（EASM）以及數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)（DRPS）。

• 其中，外部攻擊面管理（EASM）使用部署的流程、技術(shù)和托管服務(wù)來發(fā)現(xiàn)面向互聯(lián)網(wǎng)的企業(yè)資產(chǎn)、系統(tǒng)和相關(guān)漏洞，例如，可能被利用的服務(wù)器、憑據(jù)、公共云服務(wù)錯(cuò)誤配置和第三方合作伙伴軟件代碼漏洞。
• 網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）專注于使安全團(tuán)隊(duì)能夠解決持續(xù)存在的資產(chǎn)可見性和漏洞挑戰(zhàn)，使企業(yè)能夠通過與現(xiàn)有工具的 API 集成查看所有資產(chǎn)（內(nèi)部和外部），查詢合并的數(shù)據(jù)，識(shí)別安全控制中的漏洞范圍和差距，并修復(fù)問題。
• 數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)（DRPS）通過技術(shù)和服務(wù)的組合提供，以保護(hù)關(guān)鍵數(shù)字資產(chǎn)和數(shù)據(jù)免受外部威脅。這些解決方案提供對(duì)開放網(wǎng)絡(luò)、社交媒體、暗網(wǎng)和深層網(wǎng)絡(luò)資源的可見性，以識(shí)別對(duì)關(guān)鍵資產(chǎn)的潛在威脅，并提供有關(guān)攻擊者及其惡意活動(dòng)的策略和流程的上下文信息。

三者支持的一些用例存在重疊，存在一些混淆。EASM 更注重技術(shù)和運(yùn)營(yíng)，DRPS 主要支持更多以業(yè)務(wù)為中心的活動(dòng)。EASM 主要關(guān)注外部資產(chǎn)，而 CAASM 關(guān)注內(nèi)部資產(chǎn)。

為什么需要攻擊面管理？

當(dāng)網(wǎng)絡(luò)防御者還徘徊在ASM門外時(shí)，攻擊者已經(jīng)在使用自動(dòng)化工具來發(fā)現(xiàn)資產(chǎn)、識(shí)別漏洞并發(fā)起攻擊。事實(shí)證明，其中許多攻擊都很成功。

傳統(tǒng)的安全控制（例如防火墻、IPS、網(wǎng)絡(luò)分段等）能夠保護(hù)組織的網(wǎng)絡(luò)；然而，“上有政策下有對(duì)策”，狡猾的攻擊者已經(jīng)轉(zhuǎn)向其他意想不到的攻擊媒介。他們開始針對(duì)自動(dòng)掃描儀和安全團(tuán)隊(duì)經(jīng)常忽略的組織攻擊面——例如，針對(duì)社交媒體平臺(tái)上的員工或針對(duì)聊天/協(xié)作工具。此外，供應(yīng)鏈攻擊也為組織打開了另一個(gè)需要管理的攻擊面。

研究表明，69%的組織經(jīng)歷過的網(wǎng)絡(luò)攻擊是通過利用未知、未管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)開始的。這些網(wǎng)絡(luò)攻擊可能很嚴(yán)重——想想2017年的Equifax漏洞或2021年的Log4j事件。

攻擊面管理的價(jià)值包括：

• 提高資產(chǎn)可見性，使組織能夠避免盲點(diǎn)和不受管理的技術(shù)（例如“影子IT”），從而改善其安全狀況并實(shí)現(xiàn)更全面的風(fēng)險(xiǎn)管理；
• 了解針對(duì)資產(chǎn)的潛在攻擊路徑，有助于組織確定安全控制部署和配置的優(yōu)先級(jí)。反過來，這有助于減少可能被利用的互聯(lián)網(wǎng)和公共領(lǐng)域的不必要暴露；
• 更準(zhǔn)確、最新和更全面的資產(chǎn)和安全控制報(bào)告，可以更快地報(bào)告審計(jì)合規(guī)性；
• 對(duì)數(shù)據(jù)收集的阻力更小，對(duì)影子IT、安裝的第三方系統(tǒng)和IT缺乏治理和控制的業(yè)務(wù)線應(yīng)用程序擁有更好的可見性；
• 獲得可操作的情報(bào)和有意義的指標(biāo)，并且可以進(jìn)行跟蹤。這些證明了將ASM納入網(wǎng)絡(luò)安全計(jì)劃的價(jià)值。

因此，攻擊面管理解決方案包括如下部分：

• 發(fā)現(xiàn)資源

發(fā)現(xiàn)階段能夠識(shí)別組織的業(yè)務(wù)資源，其中還包括未記錄的資產(chǎn)，例如具有開放端口的子域、生產(chǎn)服務(wù)器上的未開發(fā)應(yīng)用等。該階段還會(huì)發(fā)現(xiàn)黑客模仿和用來冒充組織員工的各種個(gè)人身份信息（PII）數(shù)據(jù)和資源，以及與公司資源相關(guān)的第三方服務(wù)或供應(yīng)商。

• 管理資產(chǎn)庫(kù)存和分類

在此階段，組織必須根據(jù)類型、技術(shù)屬性、監(jiān)管要求和對(duì)企業(yè)的價(jià)值，建立一個(gè)帶有適當(dāng)標(biāo)簽的庫(kù)存清單。每個(gè)部門管理的資源類別可能會(huì)有所不同，擔(dān)任領(lǐng)導(dǎo)職務(wù)的個(gè)人需要快速訪問他們管理的資源。因此，建立適當(dāng)?shù)姆诸惽鍐沃陵P(guān)重要。

• 驗(yàn)證持續(xù)監(jiān)控

資源在不斷變化，隨著庫(kù)存的增加，安全專業(yè)人員發(fā)現(xiàn)很難跟上最新資源的步伐。許多第三方應(yīng)用，每隔1天就會(huì)報(bào)告數(shù)十個(gè)可能被利用的安全漏洞。24/7全天候驗(yàn)證和監(jiān)控資源是否存在漏洞和配置問題至關(guān)重要。此外，組織還應(yīng)監(jiān)控深網(wǎng)和暗網(wǎng)，監(jiān)控相關(guān)關(guān)鍵字，例如業(yè)務(wù)/項(xiàng)目名稱、關(guān)鍵人員詳細(xì)信息和其他機(jī)密信息。

• 確定資源和漏洞的優(yōu)先級(jí)

缺乏有效的風(fēng)險(xiǎn)和安全評(píng)估，管理攻擊面將很困難。如果不進(jìn)行漏洞掃描，就很難知道資源存在哪些安全風(fēng)險(xiǎn)，使組織面臨安全漏洞、信息泄露或其他網(wǎng)絡(luò)威脅。這就是識(shí)別和評(píng)估虛擬資源至關(guān)重要的原因所在，只有這樣組織才能看到應(yīng)該減緩和優(yōu)先考慮哪些威脅。

• 跟蹤服務(wù)的變化

為了全面了解攻擊媒介，對(duì)組織的公共和私人資源的持續(xù)跟蹤至關(guān)重要。它包括竊取憑據(jù)的網(wǎng)絡(luò)釣魚網(wǎng)站、與組織相關(guān)的虛假移動(dòng)應(yīng)用程序以及虛假社交媒體資料等在線風(fēng)險(xiǎn)。此外，該階段還會(huì)強(qiáng)制記錄現(xiàn)有庫(kù)存中的任何修改，例如發(fā)布新的Web應(yīng)用或與網(wǎng)絡(luò)連接的附加郵件服務(wù)器。

攻擊面管理的挑戰(zhàn)

企業(yè)高管和董事會(huì)越來越多地要求提高對(duì)安全風(fēng)險(xiǎn)的可見性。但大多數(shù)安全團(tuán)隊(duì)仍在采用手動(dòng)的、多線程的類ASM流程，通過提供一系列面向外部資產(chǎn)和風(fēng)險(xiǎn)概況的情報(bào)來管理風(fēng)險(xiǎn)。

ESG 的研究認(rèn)為，發(fā)現(xiàn)、分類和管理所有資產(chǎn)絕非一日之功。

除了明顯“盲點(diǎn)”外，大多數(shù)機(jī)構(gòu)都存在很多不知道的面向互聯(lián)網(wǎng)的資產(chǎn)。根據(jù)供應(yīng)商的說法，當(dāng)機(jī)構(gòu)使用自動(dòng)掃描儀時(shí)，通常會(huì)發(fā)現(xiàn)大約40%的資產(chǎn)。

根據(jù)ESG調(diào)查，在43%的機(jī)構(gòu)中，攻擊面發(fā)現(xiàn)需要80多個(gè)小時(shí)，這完全跟不上云原生應(yīng)用、遠(yuǎn)程工作者、第三方連接做出的移動(dòng)、添加和更改步伐。

與網(wǎng)絡(luò)安全的其他領(lǐng)域一樣，許多組織通過從大量不同的現(xiàn)有工具收集信息片段實(shí)踐 ASM。研究表明，41%的組織使用威脅情報(bào)源，40%依賴IT資產(chǎn)管理系統(tǒng)，33%使用云安全監(jiān)控解決方案，29%依賴漏洞管理。當(dāng)然，必須有人收集這些數(shù)據(jù)，將其關(guān)聯(lián)起來，并嘗試?yán)斫馑?/p>

ASM解決方案是從攻擊者的角度出發(fā)，以連續(xù)和自主的方式評(píng)估企業(yè)的可發(fā)現(xiàn)攻擊面，幫助安全團(tuán)隊(duì)評(píng)估攻擊的可能性及其漏洞的影響。

ASM對(duì)參與企業(yè)的整體安全狀況做出了重大改進(jìn)，但機(jī)構(gòu)需要上下文洞察力，不幸的是，目前的ASM方法在這方面仍存在不足。

除此之外，ASM面臨的挑戰(zhàn)還包括：

• ASA工具主要由小型供應(yīng)商提供。在中短期內(nèi)，這些供應(yīng)商可能會(huì)受到并購(gòu)，這可能會(huì)影響對(duì)它們的投資；
• ASA功能主要是開源功能的集合，進(jìn)入這個(gè)市場(chǎng)的門檻很低。大型安全平臺(tái)供應(yīng)商（例如擴(kuò)展檢測(cè)和響應(yīng) [XDR]）提供者可能會(huì)構(gòu)建或獲取功能，以便為購(gòu)買其更大的網(wǎng)絡(luò)安全工具生態(tài)系統(tǒng)的組織提供更強(qiáng)大的ASA功能；
• 每種ASA技術(shù)都可能是孤立的，并且可能會(huì)在配置、管理和維護(hù)方面產(chǎn)生額外的人力成本開銷；
• ASA技術(shù)的能力越來越多地與其他互補(bǔ)市場(chǎng)重疊，例如威脅情報(bào)、端點(diǎn)保護(hù)平臺(tái)、BAS和VA市場(chǎng)。已擁有相似可見性和風(fēng)險(xiǎn)評(píng)估產(chǎn)品的組織可能難以證明添加ASA技術(shù)的成本是合理的；
• 與其他工具的集成可能會(huì)受到技術(shù)限制（例如缺少API）或不完整的可見性的影響；
• ASA技術(shù)通過來自其他記錄系統(tǒng)（例如CMDB）的聚合和協(xié)調(diào)流程提高了資產(chǎn)可見性，但并不能從根本上解決數(shù)據(jù)質(zhì)量差和粒度問題。

結(jié)語

現(xiàn)在，是時(shí)候使用ASM工具，以了解和保護(hù)組織的攻擊面了，否則隨時(shí)可能淪為下一個(gè)攻擊受害者。

Gartner建議企業(yè)實(shí)施攻擊面差距分析，以檢測(cè) IT 和安全實(shí)踐與技術(shù)中的潛在盲點(diǎn)。這是改進(jìn)任何安全計(jì)劃的基礎(chǔ)，尤其是安全管理者必須保護(hù)日益復(fù)雜的環(huán)境時(shí)。

ASA 技術(shù)通常易于部署和配置。Gartner建議企業(yè)評(píng)估關(guān)鍵風(fēng)險(xiǎn)驅(qū)動(dòng)因素，以了解應(yīng)優(yōu)先考慮哪些技術(shù)。一般來說，組織應(yīng)該在 CAASM 之前安裝和管理 EASM 和/或 DRPS，因?yàn)?CAASM 技術(shù)在管理 EASM 和 DRPS 輸出以完成其資產(chǎn)清單方面是可擴(kuò)展的。