最近,数字攻击以及外部攻击面越来越受到网络安全团队的关注。除了内部的基础设施需要修复以外,面向互联网的资产背后也可能潜伏着巨大的威胁。
事实上,网络不法分子仅通过简单的谷歌搜索就可以获取大量的数据。如果搜索得更加深入,甚至可以发现一些被泄露的数据以及密码,从而利用这些打开网关,入侵到到组织内部。
所有这些容易获取的信息都有可能被黑客所利用,这使得系统处于一个危险的环境之中。也就是说,这是外部攻击面的组成部分,随时可能被威胁分子利用,来进行网络攻击。
因此,管理组织及其网络的外部接入点是网络安全的一个重要组成部分。
什么是外部攻击面管理?
外部攻击面管理映射了那些可能具有漏洞的方面,不断对其进行扫描,并在网络不法分子利用到它们之前,就将对问题或异常状况进行处理。
本质上讲,EASM的功能可以归结为:“发现一些可能被黑客利用的漏洞,这些漏洞可以帮助黑客从外部破坏组织的基础设施,并且在其被发现之前就会被黑客所删除。”该工具帮助解决了一项当今大多数组织都面临的挑战——如何始终保留信息的概述,特别是系统外部的可用情报。
对“哪些数据可以被提供给谁”等信息进行追踪,并确认是否存在可能被黑客利用来入侵系统的数据,这些都需要大量的事前准备工作。因此,大多数IT团队都依赖于一些人工智能工具,不断查找证书已被滥用的迹象。
随着每次新的数据泄露或社交媒体的更新,攻击面都在不断变化和增长。EASM的本质作用就是避免公司的资产变成公司的负债。
黑客可以通过在线搜索查到哪些信息?
网络不法分子在使用任何黑客技术之前,都会在互联网上查询现成的数据。其中,威胁者感兴趣的是:
- 社交媒体活动
- 泄露的密码和电子邮件
- 个人信息(名字,用户名,地址,信用卡账号等)
在犯罪分子手中,个人信息可以用来进行身份窃取或金融诈骗。最坏的情况下,黑客甚至可以伪装成受害目标,榨干受害者的银行账户,破坏其声誉,以及传播谣言。
最近发生的许多黑客攻击中都包括社会工程学攻击。这意味着攻击方需要认识受害者,并向其发送带有病毒链接的电子邮件,甚至要冒充各种权威机构或有权势者,例如政府机构和CEO。
社交媒体以及在上面分享过的信息都有可能成为一次网络攻击或诈骗的导火索。例如,像LinkedIn和Facebook这样的平台或企业的官方网站,就很容易暴露公司内部的等级制度,为不法分子提供了一个如何接近攻击目标的视角。
黑客论坛、数据转储以及暗网都是不法分子用来查找企业安全方面弱点的渠道。这些渠道中包含了电子邮件以及密码,即使是那些完全没有技术知识的非专业人员也可以利用这些信息入侵到组织内部。
对攻击面的管理都包括什么?
攻击面管理分为三个步骤:
- 改善系统内部的缺陷
- 检测所有的异常情况以及高风险的威胁
- 对内外攻击面中的活动进行数据分析
第一步是扫描那些可能会导致重大事故的信息或活动,例如系统破坏、赎金票据、或敏感数据窃取。
高风险是指那些在重大事故中可能升级的任何方面,其可以被黑客用来直接访问组织或进行网络攻击。
除了查找数据,发现阶段还可以确定是否存在未经授权的对基础设施进行访问的迹象。
第二步是对攻击面进行分析。将攻击面与其以前的状态进行比较,以确定是否存在任何需要修复的高风险漏洞和异常迹象。
基于上述分析生成的报告强调了所有高风险的漏洞,并使IT团队的工作变得更加容易。如果没有这个,那么所有漏洞都会引发警报,其中会有大量误报的产生。
最后一步是改善那些可能被不法分子利用的漏洞。分析文档和高风险漏洞报告还提出了一些修复缺陷和加强安全性的方法。
以上三个步骤都是自动化进行的,必须不断重复才能发挥出其有效性。更重要的是,该工具已被更新,可以用来发现新出现的黑客攻击是否存在缺陷。
MITRE ATT&CK Framework是用来确保该工具能够与最新的网络技术同步更新的资源库。该框架库存描述了所有可能对组织产生威胁的新方法。
更广泛地了解攻击面
外部攻击面管理可以帮助IT团队确认是否存在可能被威胁者利用来入侵基础设施的数据或接入点。它站在黑客的角度,对所有可以被利用的漏洞进行考虑,并不断对外部攻击面进行调查。
在常规的网络安全工作中引入外部攻击面管理是非常必要的。它为IT团队提供了整个基础设施的完整图景,同时也突出了其主要的部分。
数据控制是外部攻击面管理的一个主要组成部分。这是由于被泄露的影子IT或企业情报可能会被黑客用来入侵系统。
为了尽早(在黑客发现之前)修补漏洞,安全工作人员需要不断地对攻击面进行扫描,寻找可能泄露的信息,并对扫描结果进行分析,在威胁演变成严重事故之前将其解决。
点评
如今,随着数字化转型进度的加快,企业暴露给攻击者的脆弱点也随之增多。相对于传统的针对漏洞以及信息资产本身的攻击,如今现代化攻击正逐渐转变成一种全方面的立体化攻击。同时,攻击者的关注点也不再是那些“戒备森严”的传统攻击点。
从安全团队的角度来看,众多攻击点连成了一个完整的攻击面。然而,兼顾全部的脆弱点显然是无法实现的,并且功能堆积的防御体系也无法完全抵御如今立体化攻击的降维打击。因此站在攻击者的角度,来进行动态的主动防御至关重要。
攻击面是一个庞大范畴,同样攻击面管理亦是如此,其内容也会随着新型IT技术的出现,而不断升级。外部攻击面管理本质上是一种威胁情报的提供服务,用来帮助企业站在攻击者的角度,比攻击者更早地发现安全缺口,这需要对于威胁数据的进行持续采集以及持续的分析。
因此,风险分析能力以及作为辅助的自动化能力将会是外部攻击面的关键发展点。