网络资产攻击面管理 (CAASM) 或外部攻击面管理 (EASM) 解决方案旨在量化攻击面并将其最小化和强化。CAASM 工具的目标是在保持关键业务服务的同时,尽可能少地向对手提供有关业务安全状况的信息。
如果您曾经看过一部抢劫电影,那么执行本世纪配乐的第一步就是包围该地点:观察安全措施、测量响应时间并绘制逃生路线。这个过程类似于攻击和保护企业 IT 资源:获取 Internet 上公开可见资源的知识,了解技术堆栈的构成,并找到漏洞和弱点。
攻击面管理的基础知识
攻击面是整个公司资源(也称为资产),可以通过某种形式从 Internet 访问。这可能是本地托管的应用程序,端口通过公司防火墙打开,托管在云中的 SaaS 应用程序,或任何数量的公开存在的云托管资源。攻击面包括开放端口和协议、使用的 SSL 和加密标准、托管的应用程序,甚至托管应用程序的服务器平台。
构成攻击面的单元称为资产。它们是 IP 地址或域名,再加上构成应用程序或服务的技术栈。
漏洞是配置缺陷或未打补丁的软件,它们为恶意用户的攻击敞开大门以破坏一个或多个系统。
虽然攻击面管理主要集中在面向公众的互联网上的资产,但企业数据中心或云网络范围内的资产如果没有得到适当的监控和管理,也会使企业面临风险。由于外部实体无法使用这些资产,因此监控它们的能力需要软件代理或监控服务能够进入您的网络。
从公司网络内部来看,服务器和应用程序通常有一个软肋。任何监控工具都必须评估范围更广的服务,并且在许多情况下,以匿名用户和经过网络身份验证的用户身份测试服务。
用于攻击面发现和管理的 CAASM和EASM工具
定期扫描网络不再足以维持强化的攻击面。持续监控新资产和配置偏差对于确保企业资源和客户数据的安全至关重要。
需要识别新资产并将其纳入监控解决方案,因为这些资产可能是品牌攻击或影子 IT 的一部分。配置漂移可能是良性的,是设计变更的一部分,但也有可能是人为错误或攻击早期阶段的结果。及早识别这些变化可以让网络安全团队做出适当的反应并减轻任何进一步的损害。
这里有 9 个国外的工具,可以作为我们的理解和参考。
Axonius 网络资产攻击面管理
Axonius 提供了一个强大的CAASM套件,它涵盖了监控攻击面的所有关键因素。Axonius 从资产清单开始,该清单会自动更新,并根据内部数据源和 Axonius 可以访问的用户网络外部资源的上下文进行充实。它还可以根据PCI或HIPAA等策略集的安全控制执行监控,识别等同于违反策略的配置或漏洞,允许用户采取措施解决问题。
CrowdStrike Falcon Surface
CrowdStrike Falcon Surface EASM从对手的角度提供了一个视图,提供了暴露资产和潜在攻击向量的实时地图。CrowdStrike 的资产清单还提供随时间变化的历史记录,提供配置漂移的即时详细信息。通过内部和外部数据流开发的上下文,可以对业务风险进行优先排序。可以通过基于集成的警报和操作(通知 Slack 通道,在 Jira 或 ServiceNow 中创建票证,或触发用户帐户或系统上的操作)自动采取补救措施,或者基于剧本的补救可以引导管理员通过强化系统配置或应用系统更新。
CyCognito 攻击面管理
CyCognito 的CAASM产品提供对资产的持续监控和清点,无论它们位于本地、云端、第三方还是通过子公司。可以添加所有权和资产之间的关系等业务背景,以促进分类过程并帮助确定风险响应的优先级。这种上下文和智能优先级排序(评估诸如易于利用和资产分类之类的事情)有助于将重点放在网络中最关键的风险上。CyCognito 还跟踪资产的配置漂移,支持查看变更历史并识别企业基础架构的新风险。
Informer
Informer 带来了EASM功能,可以跨 Web 应用程序、API 和面向公众的业务 IT 堆栈的其他方面自动发现资产。这些资产会受到持续监控,实时确定任何风险的优先级。Informer 提供附加服务来执行手动风险验证甚至渗透测试。Informer 基于工作流的响应系统通过与现有的票务和通信应用程序集成,有助于将多个团队纳入事件响应。一旦 Informer 识别出的威胁得到缓解,就可以立即启动重新测试以验证配置更改或系统更新是否已完全消除风险。
JupiterOne 网络资产攻击面管理
JupiterOne 将其 CAASM解决方案称为一种将网络资产数据无缝聚合到统一视图中的方法。在适当的地方自动添加上下文,并且可以定义和优化资产关系以增强漏洞分析和事件响应。自定义查询允许网络安全团队回答复杂的问题,同时可以使用交互式可视化地图浏览资产清单,从而能够评估事件范围和确定响应的优先级。您可以通过集成来利用您对安全工具的现有投资,将 JupiterOne 转变为您企业安全状况的整体集中视图。
Microsoft Defender 外部攻击面管理
微软正在企业安全领域悄然发挥领导作用,利用他们在云方面的投资为客户提供价值,其 Defender 品牌下的 EASM 产品也不例外。Microsoft Defender EASM提供非托管资产和资源的发现,包括影子 IT 部署的资产和资源以及驻留在其他云平台中的资产。一旦确定了资产和资源,Defender EASM 就会探测技术堆栈每一层的漏洞,包括底层平台、应用程序框架、Web 应用程序、组件和核心代码。
Microsoft Defender EASM 使 IT 人员能够在发现漏洞时实时对漏洞进行分类和优先级排序,从而快速修复新发现资源中的漏洞。这是 Microsoft,Defender EASM 与其他以安全为重点的 Microsoft 解决方案紧密集成,例如 Microsoft 365 Defender、Defender for Cloud 和 Sentinel。
Rapid7 InsightVM
Rapid7 建立了一项业务,使企业 IT 能够识别企业资源中的漏洞。事实证明,系统扫描和数据分析的基础方面在攻击面管理和InsightVM中很有用在此基础上构建,带来可与上述任何其他解决方案相媲美的强大功能。Rapid7 在行业中的地位如此之高,以至于他们不仅从 Mitre CVE(常见漏洞和披露)评分中提取漏洞优先级,他们还是 CVE 编号权威机构,能够识别和评估新发现的漏洞。InsightVM 监控公司资产的变化,无论是新部署的资产还是具有新漏洞或配置更改的资产。Rapid7 还将他们的分析和仪表板印章与 InsightVM 一起使用,允许用户查看具有实时智能的实时仪表板或使用他们的查询工具深入研究漏洞细节。
SOCRadar AttackMapper
SOCRadar 试图通过AttackMapper为用户提供攻击者的资产视图,这是他们为 SOC 团队提供的工具套件的一部分。AttackMapper 实时对资产执行动态监控,识别新的或更改的资产并分析这些更改以查找潜在漏洞。SOCRadar 将他们的发现与已知的漏洞攻击方法相关联,以便为决策制定和分类过程提供背景信息。AttackMapper 不仅仅监控端点和软件漏洞,因为 SSL 弱点和证书过期,甚至 DNS 记录和配置也是公平的游戏。AttackMapper 甚至可以识别网站篡改,以保护品牌声誉。
Tenable.asm
Tenable 多年来一直提供用于识别漏洞的工具,他们当前的工具套件很好地满足了现代 IT 安全专家的需求。Tenable.asm是他们的 EASM 模块,与 Tenable 的漏洞管理工具完全集成。Tenable.asm 提供资产和漏洞详细信息的上下文,不仅来自技术方面,还提供完全确定响应优先级所需的业务级上下文。一旦将上下文添加到资产和漏洞数据中,用户就可以查询和过滤 200 多个元数据字段,从而快速深入了解对业务至关重要的资产和资源。