攻擊面是指組織暴露在互聯(lián)網(wǎng)上的全部數(shù)字資產(chǎn)，它們可能被網(wǎng)絡(luò)攻擊者利用，成為突破口，包括硬件設(shè)備、應(yīng)用程序、SaaS服務(wù)、云上資源、網(wǎng)站、IP地址、社交媒體帳戶(hù)以及第三方供應(yīng)商的應(yīng)用系統(tǒng)等。

隨著企業(yè)數(shù)字化轉(zhuǎn)型的發(fā)展，往往有大量資產(chǎn)暴露在攻擊者的面前，其中一些源自影子IT和仍在整個(gè)組織中使用的淘汰技術(shù)，商業(yè)并購(gòu)活動(dòng)也會(huì)產(chǎn)生出大量未被清點(diǎn)的數(shù)字化資產(chǎn)。此外，許多企業(yè)現(xiàn)在依靠遠(yuǎn)程工作模式度過(guò)疫情危機(jī)并保持競(jìng)爭(zhēng)力，這導(dǎo)致難以監(jiān)管的IT設(shè)備快速增加。這些因素使得企業(yè)很難以人工方式準(zhǔn)確管理攻擊面并保持同步，需要借助先進(jìn)的技術(shù)手段來(lái)實(shí)現(xiàn)管理目標(biāo)，供給面管理(ASM)解決方案應(yīng)運(yùn)而生。

1、攻擊面管理方案選型指標(biāo)

攻擊面管理(ASM)是一套旨在發(fā)現(xiàn)、分類(lèi)和評(píng)估組織資產(chǎn)安全狀況的方法。通過(guò)ASM評(píng)估，可以為安全團(tuán)隊(duì)在實(shí)施保護(hù)加強(qiáng)機(jī)制方面指出正確的方向。一款有價(jià)值的ASM解決方案，需要能夠從外部攻擊者的視角，以持續(xù)的系統(tǒng)化流程去發(fā)現(xiàn)安全風(fēng)險(xiǎn)和漏洞。它通常包括這四個(gè)部分：

識(shí)別可能引發(fā)網(wǎng)絡(luò)攻擊的所有本地和云端資產(chǎn)，并查找其中的安全漏洞;

基于可能遭受攻擊的容易程度和攻擊可能造成的損壞范圍，對(duì)這些資產(chǎn)進(jìn)行分類(lèi);

確定高風(fēng)險(xiǎn)資產(chǎn)的修復(fù)優(yōu)先級(jí)，落實(shí)相應(yīng)的處置措施，并驗(yàn)證修復(fù)效果;

持續(xù)監(jiān)控攻擊面，不斷發(fā)現(xiàn)新的安全缺口。

目前并不存在功能上面面俱到的ASM方案，企業(yè)需要根據(jù)自身的實(shí)際應(yīng)用需求來(lái)選擇最合適的產(chǎn)品。在選型決策時(shí)，企業(yè)可以重點(diǎn)關(guān)注以下選型指標(biāo)：

資產(chǎn)發(fā)現(xiàn)能力。ASM方案需要能夠自動(dòng)化地發(fā)現(xiàn)企業(yè)所有數(shù)字資產(chǎn)，特別是那些還未知的數(shù)字資產(chǎn)，并對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)，以創(chuàng)建一個(gè)完善的風(fēng)險(xiǎn)修復(fù)策略;

威脅可用性分析。ASM方案應(yīng)該具有綜合報(bào)告和威脅可利用性的洞察力，而不是簡(jiǎn)單的數(shù)據(jù)提取，組織管理者需要的是能夠支持決策的意見(jiàn)，需要的是從海量數(shù)據(jù)分析中得出的結(jié)論;

確定資產(chǎn)防護(hù)優(yōu)先級(jí)。對(duì)于需要解決的問(wèn)題，安全運(yùn)營(yíng)團(tuán)隊(duì)不可能做到面面俱到，需要集中力量解決更危險(xiǎn)的問(wèn)題;

資產(chǎn)標(biāo)記選項(xiàng)。ASM方案需要能夠?qū)Y產(chǎn)進(jìn)行標(biāo)記，資產(chǎn)管理及治理是企業(yè)做好攻擊面管理工作的前提;

以攻擊者視角。ASM方案需要能夠模擬出真實(shí)黑客攻擊的想法和手段，對(duì)組織進(jìn)行攻擊面管理指導(dǎo)工作;

自定義資產(chǎn)管理范圍。用戶(hù)能夠根據(jù)業(yè)務(wù)的變化靈活調(diào)整資產(chǎn)數(shù)量;

易于使用。具有友好的產(chǎn)品界面，能夠盡可能的自動(dòng)化運(yùn)行，并可靈活調(diào)整產(chǎn)品監(jiān)測(cè)范圍;

誤報(bào)率低。盡可能避免誤報(bào)對(duì)客戶(hù)業(yè)務(wù)工作的影響。

2、熱門(mén)攻擊面管理工具盤(pán)點(diǎn)

Randori

如果企業(yè)對(duì)識(shí)別、清點(diǎn)和分析攻擊面的精確度要求很高，那么Randori Recon方案是理想的選擇之一。它是一款較為成熟的產(chǎn)品，可從攻擊者的視角自動(dòng)發(fā)現(xiàn)資產(chǎn)。該解決方案使用創(chuàng)新的Target Temptation系統(tǒng)確定數(shù)字資源的優(yōu)先級(jí)，以幫助企業(yè)了解先要保護(hù)什么。

應(yīng)用特點(diǎn)分析

• 能夠較準(zhǔn)確地發(fā)現(xiàn)暴露在IPv4、IPv6網(wǎng)絡(luò)上的資產(chǎn)，以及云上資源。
• 能夠?qū)Πl(fā)現(xiàn)的企業(yè)資產(chǎn)進(jìn)行自動(dòng)標(biāo)記。
• 能夠給出完善的管理分析報(bào)告，以及防護(hù)建議。
• 操作簡(jiǎn)便，易于上手。
• 管理界面有待完善，以提高界面直觀性。
• 缺少為其他團(tuán)隊(duì)成員留下注釋的選項(xiàng)。
• 對(duì)主機(jī)名和IP沒(méi)有給予應(yīng)有的關(guān)注。

SpectralOps

對(duì)于許多開(kāi)發(fā)團(tuán)隊(duì)來(lái)說(shuō)，能夠完全專(zhuān)注于編寫(xiě)代碼只是美好的想法。盲區(qū)、配置失誤、暴露的憑據(jù)和易受攻擊的基礎(chǔ)架構(gòu)部件會(huì)帶來(lái)太多的干擾，無(wú)法專(zhuān)注于任務(wù)。SpectralOps，利用AI技術(shù)在整個(gè)CI/CD過(guò)程中自動(dòng)監(jiān)控、分類(lèi)和保護(hù)資產(chǎn)。它可以實(shí)時(shí)識(shí)別可利用的API密鑰、憑據(jù)、令牌、機(jī)密和錯(cuò)誤配置，跨多個(gè)公共來(lái)源檢測(cè)供應(yīng)鏈漏洞和專(zhuān)有代碼，并讓用戶(hù)可以自由地構(gòu)建自定義檢測(cè)器、執(zhí)行自己的緩解策略。

該平臺(tái)與編程語(yǔ)言無(wú)關(guān)，支持500多個(gè)堆棧，與流行的開(kāi)發(fā)系統(tǒng)(包括Azure DevOps、AWS CodeBuild、Jenkins和CircleCI)廣泛集成。當(dāng)遇到數(shù)據(jù)泄露時(shí)，SpectralOps會(huì)立即通過(guò)Slack、Jira或用戶(hù)選擇的其他通知服務(wù)向工作人員及時(shí)提醒，以防止最糟糕的情況發(fā)生。

應(yīng)用特點(diǎn)分析

• 易于設(shè)置，可以實(shí)現(xiàn)快速掃描。
• 對(duì)開(kāi)發(fā)人員友好的應(yīng)用界面，具有直觀的可視化試圖。
• 可以輕松集成，并有較完善的客戶(hù)應(yīng)用支持。
• 定制模式有點(diǎn)混亂。

Coalfire

這款A(yù)SM工具是在2021年4月問(wèn)世，在發(fā)現(xiàn)和監(jiān)控公司外部攻擊面方面表現(xiàn)不俗。依托Coalfire公司在風(fēng)險(xiǎn)管理和滲透測(cè)試方面二十年的背景，它擁有了一套完整的服務(wù)體系，可發(fā)現(xiàn)本地和云基礎(chǔ)架構(gòu)環(huán)境中的各種薄弱環(huán)節(jié)，并根據(jù)可見(jiàn)性和歸屬性對(duì)檢測(cè)到的漏洞進(jìn)行分類(lèi)，確定優(yōu)先級(jí)，并監(jiān)管修復(fù)工作。

Coalfire攻擊面管理的獨(dú)特之處在于，它會(huì)結(jié)合人工服務(wù)共同驗(yàn)證客戶(hù)的安全狀況，而資產(chǎn)跟蹤和監(jiān)控完全自動(dòng)化。這款解決方案對(duì)需要遵從法規(guī)的企業(yè)來(lái)說(shuō)是不錯(cuò)的選擇。

應(yīng)用特點(diǎn)分析

• 供應(yīng)商在安全服務(wù)領(lǐng)域有豐富經(jīng)驗(yàn)，綜合報(bào)告分析能力突出。
• 可提供有關(guān)如何解決特定漏洞的指導(dǎo)。
• 有較出色的客戶(hù)支持和服務(wù)能力。
• 產(chǎn)品比較新，誤報(bào)率有待進(jìn)一步降低。

UpGuard

UpGuard攻擊面管理攻擊在多個(gè)方面表現(xiàn)出色，除了提供典型的ASM功能外，它還配備創(chuàng)新的數(shù)據(jù)泄漏發(fā)現(xiàn)引擎，可以深度搜索開(kāi)放的互聯(lián)網(wǎng)空間，獲取從客戶(hù)的供應(yīng)鏈系統(tǒng)中秘密泄露的數(shù)據(jù)，包括憑據(jù)和身份文件。另一個(gè)特點(diǎn)是，具有完善的風(fēng)險(xiǎn)評(píng)分和安全評(píng)級(jí)系統(tǒng)，該系統(tǒng)使用經(jīng)過(guò)實(shí)戰(zhàn)考驗(yàn)的專(zhuān)有算法，準(zhǔn)確評(píng)估組織的數(shù)字態(tài)勢(shì)。

應(yīng)用特點(diǎn)分析

• 有良好的方案應(yīng)用信譽(yù)。
• 較完善的IT基礎(chǔ)架構(gòu)掃描發(fā)現(xiàn)能力。
• 可用于無(wú)縫集成的API。
• 算法更新后，風(fēng)險(xiǎn)評(píng)分可能會(huì)大幅波動(dòng)。
• 比較專(zhuān)業(yè)化，對(duì)于新用戶(hù)來(lái)說(shuō)有點(diǎn)難以上手。

SearchLight

SearchLight是從實(shí)際攻擊者的視角，由外向內(nèi)地開(kāi)展攻擊面管理，可高效地檢測(cè)數(shù)據(jù)泄漏、被冒充的域、暴露的敏感代碼、漏洞、錯(cuò)誤配置的設(shè)備、敞開(kāi)的端口、證書(shū)問(wèn)題及其他易被利用的應(yīng)用系統(tǒng)。該工具還善于暗網(wǎng)監(jiān)控和威脅情報(bào)利用，能夠?qū)崿F(xiàn)供應(yīng)商基礎(chǔ)架構(gòu)篩選、漏洞監(jiān)控和惡意攻擊者跟蹤。

在確定關(guān)鍵資產(chǎn)和風(fēng)險(xiǎn)后，該解決方案能夠與專(zhuān)業(yè)安全服務(wù)團(tuán)隊(duì)協(xié)同工作，提供豐富的攻擊面上下文分析和科學(xué)的行動(dòng)策略。

應(yīng)用特點(diǎn)分析

• 可監(jiān)控?cái)?shù)百萬(wàn)個(gè)數(shù)據(jù)源，快速查找暴露的資產(chǎn)。
• 能夠識(shí)別品牌仿冒。
• 具有較先進(jìn)的威脅情報(bào)能力。
• 暗網(wǎng)監(jiān)控使其重要宣傳點(diǎn)，但實(shí)際效果待驗(yàn)證。

ImmuniWeb Discovery

ImmuniWeb Discovery是攻擊面管理領(lǐng)域的一款明星級(jí)工具，結(jié)合使用AI和開(kāi)源智能情報(bào)信息(OSINT)，從黑客的視角觀察企業(yè)資產(chǎn)暴露情況。它不斷披露、分析和分類(lèi)組織的數(shù)字環(huán)境，包括錯(cuò)誤配置的IT資產(chǎn)、泄露的數(shù)據(jù)以及充斥著惡意軟件的系統(tǒng)。該解決方案還可以提供第三方供應(yīng)商風(fēng)險(xiǎn)評(píng)分機(jī)制，以阻止供應(yīng)鏈攻擊風(fēng)險(xiǎn)。

應(yīng)用特點(diǎn)分析

• 能夠快速發(fā)現(xiàn)各種數(shù)字資產(chǎn)。
• 能夠給出風(fēng)險(xiǎn)管理的優(yōu)先級(jí)分析和建議。
• 在移動(dòng)端應(yīng)用表現(xiàn)還不完善。
• 部分用戶(hù)覺(jué)得管理配置界面不夠友好，有點(diǎn)混亂。

CyCognito

CyCognito通常被稱(chēng)為初創(chuàng)公司(自2017年以來(lái)才成立)，它的主要特點(diǎn)在于，可以在易于使用的平臺(tái)中支持整個(gè)ASM周期，包括從站在攻擊者視角的自動(dòng)偵察到漏洞修復(fù)的援助。這款工具會(huì)根據(jù)業(yè)務(wù)上下文情況綜合分析，比如資產(chǎn)的所有者、所存儲(chǔ)數(shù)據(jù)的重要性以及暴露的攻擊途徑。這種類(lèi)型的分析可以使確定風(fēng)險(xiǎn)的優(yōu)先級(jí)來(lái)得更準(zhǔn)確。另外值得注意的是，CyCognito已經(jīng)開(kāi)始使用機(jī)器學(xué)習(xí)技術(shù)和自然語(yǔ)言處理來(lái)發(fā)現(xiàn)第三方資產(chǎn)以及因并購(gòu)或合資而積累的資產(chǎn)。

應(yīng)用特點(diǎn)分析

• 由一家快速發(fā)展的初創(chuàng)公司開(kāi)發(fā)，產(chǎn)品決策鏈條高效簡(jiǎn)潔。
• 有眾多創(chuàng)新的應(yīng)用功能。
• 產(chǎn)品成熟度不高，尚未達(dá)到非常穩(wěn)定的運(yùn)行狀態(tài)。

Reflectiz

Reflectiz專(zhuān)注于監(jiān)測(cè)管理通過(guò)第三方應(yīng)用程序引入的Web攻擊面，可以快速檢測(cè)和顯示基于Web的攻擊面。Reflectiz還帶有內(nèi)置的隱私合規(guī)功能，能夠?qū)?yīng)用違規(guī)檢測(cè)納入其攻擊面管理解決方案中。

應(yīng)用特點(diǎn)分析

• 內(nèi)置合規(guī)解決方案。
• 不需要安裝軟件，性能表現(xiàn)較好。
• 僅實(shí)現(xiàn)基于客戶(hù)端的攻擊面管理。