随着云端能力的广泛启用,以及随后组织网络的快速生长,再赶上最近远程办公的兴起,使得组织的攻击面大规模扩散,直接导致了连接结构中日益增长的安全盲点。
这一未曾预见到的扩展,以及脆弱的攻击面监控,使得网络攻击数量直线上升。其中,最显著的,莫过于勒索软件,但同时也包括了大量其他攻击。最大的问题依然是被攻击者利用的未被监控的盲点,能够渗透入组织的基础设施,并且通过提权或者横向移动,寻找有价值的信息。
问题在于如何发现这些情况。大部分组织追踪所有组成的部分,并且将所有过去与现在资产进行分类的能力,已经远远赶不上组织自身演化的速度;而对自己资产的梳理也被视为一项吃力不讨好的任务。
然而,考虑到被成功攻击的代价,以及攻击者越来越擅于识别和使用暴露资产的情况,任何一个未被监控的点都能导致灾难性的泄露事件。
这就是最近攻击面管理(Attack Surface Management, ASM)这项技术有价值的地方。
何为攻击面管理?
攻击面管理会挖掘互联网上的数据组以及证书库,或者模拟攻击者使用嗅探技术的方式。两种方式的目的都是对组织在发现流程中能够找到的资产进行一次全面的分析。两种方式都包括扫描域名、子域名、IP地址、端口、影子IT等面向互联网的资产,之后再进行分析,检测是否存在漏洞或者安全缺口。
高级的攻击面管理包括可进行的缓解建议,修复发现的安全缺口;建议从未使用的或不必要的资产以减少攻击面,到通知个人他们的邮箱存在隐患,可能成为钓鱼攻击的目标。
攻击面管理包括汇报会被用于社会工程或者钓鱼攻击的开源情报,比如在社交媒体上的公开个人情报,甚至像在视频、公开演讲、在线研讨会和会议上的材料。
最终,攻击面管理的目标是确保没有暴露的资产不受监控,并消除任何可能形成攻击入口的盲点。
谁需要攻击面管理?
David Klein在他关于2021年网络安全效率情况的在线研讨会上,阐述了Cymulate用户使用过攻击面管理的情况。在他们使用攻击面管理之前,他们并不知道:
- 80%的用户没有反欺诈、SPF邮件记录。
- 77%的用户缺少有效的网站防护。
- 60%的用户有暴露的账户、基础设施和管理服务。
- 58%的用户有失陷的邮件账户。
- 37%的用户使用从外部调用的Java函数。
- 26%的用户没有对域名配置的DMARC记录。
- 23%的用户存在SSL证书不匹配问题。
一旦被成功识别,这些安全缺口可以被填补上,但是真正担忧的问题是在这些问题被发现前已经产生的影响。
在这个分析中的攻击面管理用户有各种不同的垂直行业、地区和组织规模。这意味着任何有对外连接基础设施的组织,都会从将攻击面管理作为他们网络安全基础设施集成中的一部分而获益。
从哪里找到攻击面管理?
尽管说这项技术最近在逐渐兴起,但已经有一些攻击面管理供应商了。和其他安全能力一样,攻击面管理最好作为一个整体平台中的一部分,而非单独的产品。
攻击面管理解决方案的着重点和其相关的一系列产品的着重点有一点关系。攻击面管理解决方案如果和像EDR那样的响应型产品关联,就更偏向于基于扫描能力;而如果包含在像扩展安全态势管理(Extended Security Posture Management, XSPM)这类的主动平台,就更偏向于从扫描能力扩展到攻击者的侦查技术和工具层面。
选择一个集成的攻击面管理方案,能够协助将组织安全态势相关的数据集中展现在一个单独的面板上,从而减少SOC团队数据过载的风险。
点评
攻击面管理并非一个新概念,但是随着攻击面本身的日益增长,在今后会成为一个越来越重要的领域。由于攻击面管理的目标之一是整理并收敛攻击入口,攻击者视角的思维能力不可或缺,在攻防上有积累的安全厂商同样会在这一领域有其独特的优势。