近期,美国网络安全审查委员会发布首份报告称,2021年年底曝光的Log4j漏洞成为难以消除的漏洞,其影响将会持续十年之久。
Log4j事件表明,我们对暴露的IT资产知之甚少。据统计,大型组织通常拥有数千、数万或更多面向互联网的资产,包括网站、敏感数据、员工凭证、云工作负载、云存储、源代码、SSL 证书等。
如果要问“攻击者发现和利用Log4j等漏洞的频率和速度带来什么教训”,答案一定是应在攻击面管理和网络保护工具部署等方面做出积极主动的探索。
现代数字基础设施加速发展,容器化、SaaS应用以及混合工作环境急速增长,企业面临的攻击面也在随之扩大。为降低攻击风险,许多机构都在努力发现、分类和管理面向互联网的资产。
2018年, Gartner首次提出攻击面管理(Attack surface management,ASM)的概念。2021年7月,Gartner发布《2021安全运营技术成熟度曲线》,将攻击面管理相关技术定义为新兴技术。
Gartner预测,供给面管理解决方案将成为2022年大型企业的首要投资项目。ESG 高级首席分析师Jon Oltsik 也认为,2022年是攻击面管理技术重要的一年。在《2022年网络安全的主要趋势报告》中,Gartner研究人员强调:随着企业攻击面持续扩大,安全和风险管理领导者将增加对相关流程和工具的投资。
攻击面管理被视为向主动安全转变的开始。主动安全意味着,可以像攻击者那样洞察整个攻击面,通过持续测试,确定补救措施的优先级并验证有效性,从而做到领先于潜在攻击者。通过这种方式,机构首次可以实现尽早洞察安全威胁,并采取适当措施来缓解威胁和降低风险。
2021年供给面管理领域发生众多收购:Mandiant收购Intrigue,微软收购RiskIQ,Palo Alto Networks收购Expanse Networks。这些频繁的收购让业界看到了供给面管理的发展势头。
Gartner 估计,到 2026 年,20% 的公司将实现对其95%所资产的可见性,而 2022 年这一比例不到 1%。这意味该领域仍然处于早期阶段。
ASM:敞口管理的第一个支柱
攻击面是指未经授权即能访问和利用企业数字资产的所有潜在入口的总和,包括未经授权的可访问的硬件、软件、云资产和数据资产等;同样也包括人员管理、技术管理、业务流程存在的安全漏洞和缺陷等,即存在可能会被攻击者利用并造成损失的潜在风险。
概括来说,攻击面主要包括:
- 已知资产:库存和管理的资产,例如您的公司网站、服务器以及在其上运行的依赖项;
- 未知资产:例如影子IT或孤立的IT基础设施,这些基础设施超出了您安全团队的权限,例如被遗忘的开发网站或营销网站;
- 流氓资产:由威胁行为者构建的恶意基础设施,例如恶意软件、域名抢注或冒充您域名的网站及移动应用程序等;
- 供应商:您的攻击面不仅限于您的机构,第三方和第四方供应商也会引入重大的安全风险。即便是小型供应商也可能导致大规模数据泄露。例如,最终导致百货巨头Target泄露超过1.1亿消费者信用卡和个人数据的HVAC供应商。
需要强调的是,并非所有资产暴露面都可以成为攻击面,只有可利用暴露面叠加攻击向量才会形成攻击面。
攻击面管理指的是以攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的一种资产安全性管理方法,其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。
在Gartner报告中,攻击面管理(ASM)是一组更广泛的功能—— “敞口管理”(Exposure Management)——中的第一个支柱,其他组成因素还包括漏洞和验证管理。
敞口管理包括攻击面管理、漏洞管理和验证管理
Gartner认为,ASM涉及三个新兴的技术创新领域,即网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)以及数字风险保护服务(DRPS)。
- 其中,外部攻击面管理(EASM)使用部署的流程、技术和托管服务来发现面向互联网的企业资产、系统和相关漏洞,例如,可能被利用的服务器、凭据、公共云服务错误配置和第三方合作伙伴软件代码漏洞。
- 网络资产攻击面管理(CAASM)专注于使安全团队能够解决持续存在的资产可见性和漏洞挑战,使企业能够通过与现有工具的 API 集成查看所有资产(内部和外部),查询合并的数据,识别安全控制中的漏洞范围和差距,并修复问题。
- 数字风险保护服务(DRPS)通过技术和服务的组合提供,以保护关键数字资产和数据免受外部威胁。这些解决方案提供对开放网络、社交媒体、暗网和深层网络资源的可见性,以识别对关键资产的潜在威胁,并提供有关攻击者及其恶意活动的策略和流程的上下文信息。
三者支持的一些用例存在重叠,存在一些混淆。EASM 更注重技术和运营,DRPS 主要支持更多以业务为中心的活动。EASM 主要关注外部资产,而 CAASM 关注内部资产。
为什么需要攻击面管理?
当网络防御者还徘徊在ASM门外时,攻击者已经在使用自动化工具来发现资产、识别漏洞并发起攻击。事实证明,其中许多攻击都很成功。
传统的安全控制(例如防火墙、IPS、网络分段等)能够保护组织的网络;然而,“上有政策下有对策”,狡猾的攻击者已经转向其他意想不到的攻击媒介。他们开始针对自动扫描仪和安全团队经常忽略的组织攻击面——例如,针对社交媒体平台上的员工或针对聊天/协作工具。此外,供应链攻击也为组织打开了另一个需要管理的攻击面。
研究表明,69%的组织经历过的网络攻击是通过利用未知、未管理或管理不善的面向互联网的资产开始的。这些网络攻击可能很严重——想想2017年的Equifax漏洞或2021年的Log4j事件。
攻击面管理的价值包括:
- 提高资产可见性,使组织能够避免盲点和不受管理的技术(例如“影子IT”),从而改善其安全状况并实现更全面的风险管理;
- 了解针对资产的潜在攻击路径,有助于组织确定安全控制部署和配置的优先级。反过来,这有助于减少可能被利用的互联网和公共领域的不必要暴露;
- 更准确、最新和更全面的资产和安全控制报告,可以更快地报告审计合规性;
- 对数据收集的阻力更小,对影子IT、安装的第三方系统和IT缺乏治理和控制的业务线应用程序拥有更好的可见性;
- 获得可操作的情报和有意义的指标,并且可以进行跟踪。这些证明了将ASM纳入网络安全计划的价值。
因此,攻击面管理解决方案包括如下部分:
- 发现资源
发现阶段能够识别组织的业务资源,其中还包括未记录的资产,例如具有开放端口的子域、生产服务器上的未开发应用等。该阶段还会发现黑客模仿和用来冒充组织员工的各种个人身份信息(PII)数据和资源,以及与公司资源相关的第三方服务或供应商。
- 管理资产库存和分类
在此阶段,组织必须根据类型、技术属性、监管要求和对企业的价值,建立一个带有适当标签的库存清单。每个部门管理的资源类别可能会有所不同,担任领导职务的个人需要快速访问他们管理的资源。因此,建立适当的分类清单至关重要。
- 验证持续监控
资源在不断变化,随着库存的增加,安全专业人员发现很难跟上最新资源的步伐。许多第三方应用,每隔1天就会报告数十个可能被利用的安全漏洞。24/7全天候验证和监控资源是否存在漏洞和配置问题至关重要。此外,组织还应监控深网和暗网,监控相关关键字,例如业务/项目名称、关键人员详细信息和其他机密信息。
- 确定资源和漏洞的优先级
缺乏有效的风险和安全评估,管理攻击面将很困难。如果不进行漏洞扫描,就很难知道资源存在哪些安全风险,使组织面临安全漏洞、信息泄露或其他网络威胁。这就是识别和评估虚拟资源至关重要的原因所在,只有这样组织才能看到应该减缓和优先考虑哪些威胁。
- 跟踪服务的变化
为了全面了解攻击媒介,对组织的公共和私人资源的持续跟踪至关重要。它包括窃取凭据的网络钓鱼网站、与组织相关的虚假移动应用程序以及虚假社交媒体资料等在线风险。此外,该阶段还会强制记录现有库存中的任何修改,例如发布新的Web应用或与网络连接的附加邮件服务器。
攻击面管理的挑战
企业高管和董事会越来越多地要求提高对安全风险的可见性。但大多数安全团队仍在采用手动的、多线程的类ASM流程,通过提供一系列面向外部资产和风险概况的情报来管理风险。
ESG 的研究认为,发现、分类和管理所有资产绝非一日之功。
除了明显“盲点”外,大多数机构都存在很多不知道的面向互联网的资产。根据供应商的说法,当机构使用自动扫描仪时,通常会发现大约40%的资产。
根据ESG调查,在43%的机构中,攻击面发现需要80多个小时,这完全跟不上云原生应用、远程工作者、第三方连接做出的移动、添加和更改步伐。
与网络安全的其他领域一样,许多组织通过从大量不同的现有工具收集信息片段实践 ASM。研究表明,41%的组织使用威胁情报源,40%依赖IT资产管理系统,33%使用云安全监控解决方案,29%依赖漏洞管理。当然,必须有人收集这些数据,将其关联起来,并尝试理解它。
ASM解决方案是从攻击者的角度出发,以连续和自主的方式评估企业的可发现攻击面,帮助安全团队评估攻击的可能性及其漏洞的影响。
ASM对参与企业的整体安全状况做出了重大改进,但机构需要上下文洞察力,不幸的是,目前的ASM方法在这方面仍存在不足。
除此之外,ASM面临的挑战还包括:
- ASA工具主要由小型供应商提供。在中短期内,这些供应商可能会受到并购,这可能会影响对它们的投资;
- ASA功能主要是开源功能的集合,进入这个市场的门槛很低。大型安全平台供应商(例如扩展检测和响应 [XDR])提供者可能会构建或获取功能,以便为购买其更大的网络安全工具生态系统的组织提供更强大的ASA功能;
- 每种ASA技术都可能是孤立的,并且可能会在配置、管理和维护方面产生额外的人力成本开销;
- ASA技术的能力越来越多地与其他互补市场重叠,例如威胁情报、端点保护平台、BAS和VA市场。已拥有相似可见性和风险评估产品的组织可能难以证明添加ASA技术的成本是合理的;
- 与其他工具的集成可能会受到技术限制(例如缺少API)或不完整的可见性的影响;
- ASA技术通过来自其他记录系统(例如CMDB)的聚合和协调流程提高了资产可见性,但并不能从根本上解决数据质量差和粒度问题。
结语
现在,是时候使用ASM工具,以了解和保护组织的攻击面了,否则随时可能沦为下一个攻击受害者。
Gartner建议企业实施攻击面差距分析,以检测 IT 和安全实践与技术中的潜在盲点。这是改进任何安全计划的基础,尤其是安全管理者必须保护日益复杂的环境时。
ASA 技术通常易于部署和配置。Gartner建议企业评估关键风险驱动因素,以了解应优先考虑哪些技术。一般来说,组织应该在 CAASM 之前安装和管理 EASM 和/或 DRPS,因为 CAASM 技术在管理 EASM 和 DRPS 输出以完成其资产清单方面是可扩展的。