作為防御者,你必須要保證你在所有的時間都不會犯錯誤,至于攻擊者,只需要把事情做對一次,那么這場攻防對抗的較量其實已經(jīng)宣告結(jié)束。因此,對于企業(yè)尤其是IT,、安全相關(guān)的團隊或人員而言,較為有效的方式就是能夠盡早地發(fā)現(xiàn)自身弱點并彌補,,降低它們被攻擊者發(fā)現(xiàn)并成功利用的概率,。
在這一狀況下,偏向于主動防御且更注重實戰(zhàn)對抗的攻擊面管理(Attack Surface Management,,簡稱“ASM”)理念無疑是當前值得關(guān)注的方向,。如果綜合遭受攻擊的潛在成本以及可能因攻擊事件爆發(fā)導(dǎo)致的嚴重后果,就會發(fā)現(xiàn)攻擊面管理無論是在效果還是收益方面都具有不小的優(yōu)勢,。
關(guān)于攻擊面管理,,在Gartner此前發(fā)布的《2022中國網(wǎng)絡(luò)安全技術(shù)成熟度曲線》中指出,識別網(wǎng)絡(luò)資產(chǎn),,了解資產(chǎn)的脆弱性和潛在的攻擊方式尤為重要,。ASM使企業(yè)從內(nèi)部管理和外部攻擊者的角度,,解決資產(chǎn)和漏洞可視化的難題,并基于優(yōu)先級計算指導(dǎo)防御人員進行主動防御,。ASM幫助安全和風險管理(SRM)團隊識別潛在的攻擊路徑,,并指導(dǎo)開展安全控制措施的改進和調(diào)整,提高整體安全防御水平,。
可以看到,,網(wǎng)絡(luò)資產(chǎn)的識別被著重強調(diào),對于任何企業(yè)而言,,要想做好安全建設(shè),,這一點都是不可或缺的。一般情況下,,企業(yè)對于對資產(chǎn)的掌握只限于那些經(jīng)常使用的,,但從安全角度考量,理想情況應(yīng)是對自身所擁有的所有資產(chǎn)都要有清晰了解并擁有完整而準確的清單,,這也意味著任何新設(shè)備或是被添加到網(wǎng)絡(luò)中的內(nèi)容都要從初始階段就得到充分的管理,。此外,漏洞仍然是個老生常談的問題,,但不可否認的是,,當前所存在的漏洞肯定比我們所認知的要多得多。
如果上述這些都做不好,,那么當未知因素疊加在一起,如“未知的資產(chǎn)中存在有未知的漏洞”,,那么所面臨的潛在風險有多大也就不難想象,。前文所說的攻擊者要做對的那件事,就是要發(fā)現(xiàn)這些處在企業(yè)未知范圍的弱點并加以利用,,并最終實現(xiàn)一次成功的攻擊,,最終令企業(yè)為之付出代價。
因此,,所謂掌握攻擊者視角,,就是要力爭消滅這些在防御者視角下的“未知”,甚至是“未知的未知”,。對于企業(yè)而言,,以攻擊者視角審視自身將會是對傳統(tǒng)安全建設(shè)的極大補充,具體操作層面,,較為容易的方式主要集中在以下幾種:
01 滲透測試
滲透測試這種方法已經(jīng)存在多年了,,對于以攻擊者視角來提高安全水平的諸多方式中,堪稱老而彌堅,,他們利用自身的經(jīng)驗和真實的技術(shù),、工具,、流程來試圖和攻擊者一樣去尋找企業(yè)的漏洞和弱點,相比于許多企業(yè)內(nèi)部的安全或IT團隊而言,,他們面對安全問題會有一些不同的思考方式,,并且也有著不同的心態(tài),這也是通過外部專業(yè)團隊來做測試的好處之一,。
但這種方式的弱點也非常明顯,,因為它僅能反映企業(yè)當前安全水平的狀況,相當于一個時間點的快照,,而不是持續(xù)的監(jiān)測,,畢竟企業(yè)在發(fā)展過程中總是會部署新的設(shè)備、系統(tǒng)或應(yīng)用,,甚至包括像整體遷移到云上這種大操作等等,,那么這種方法是難以滿足需求。
但不可否認的是,,滲透測試仍然是一個很好的方法,,只是單獨依靠它是不夠的。
02 開源情報(OSINT)
近年來,,越來越多的IT資產(chǎn)通過企業(yè)網(wǎng)絡(luò)被連接到互聯(lián)網(wǎng)中,,如果沒有妥善保護,這些資產(chǎn)可能會被暴露,,也意味著這些數(shù)據(jù)可以被收集和搜索,,這里大家比較熟的如SHODAN搜索引擎等。
這些數(shù)據(jù)源可以作為開源情報(OSINT)向所有人開放,,通過利用OSINT資源,,企業(yè)可以在IT、OT和IoT設(shè)備中查找潛在的問題資產(chǎn)或其他問題,。當然,,這其中也有一個巨大的挑戰(zhàn),那就是如何將這些公共數(shù)據(jù)與企業(yè)的內(nèi)部資產(chǎn)列表關(guān)聯(lián)映射,,以使其對企業(yè)有價值,。
舉個例子,假設(shè)企業(yè)擁有一個123.com的域名,,而郵件服務(wù)器和該域名相關(guān)聯(lián),,但能否代表就能看出其與在另一個不同的子域上啟動的另一臺Web服務(wù)器有何關(guān)系嗎?如果缺少這種對所有子域及內(nèi),、外部資產(chǎn)之間連接的可見性,,那么想要獲取全面且準確的情況將會非常難。
03 外部攻擊面管理(EASM)
關(guān)于外部攻擊面管理(EASM)我們其實也說過很多,,它是一種非常好的方法,,而且易用的工具也已有(如零零信安推出的0.Zone),,它可以觀察整個組織的IT組合,包括企業(yè)在內(nèi)部和云端使用的各種系統(tǒng),、平臺,,同時檢測任何潛在的問題或威脅,尋找任何由于糟糕的配置或不安全資產(chǎn)而導(dǎo)致的潛在漏洞,。
這種方法可以發(fā)現(xiàn)并標記以前未知的任何資產(chǎn),,尋找潛在的問題,如未經(jīng)授權(quán)的設(shè)備,、未經(jīng)批準或支持終止的應(yīng)用,、開放的端口,或是未經(jīng)批準的應(yīng)用程序和域等等,。與滲透測試一樣,,它提供了一個由外向內(nèi)的網(wǎng)絡(luò)視圖,但相比之下,,它完全不會受到時間推移的影響,。
盡早了解錯誤配置或漏洞對于在攻擊者利用它們之前修復(fù)它們至關(guān)重要。理想情況下,,企業(yè)可以結(jié)合各種方法來提高可見性,,確保持續(xù)的安全性,同時,,通過自動化的流程更是可以幫助企業(yè)的安全或IT團隊更有效和高效地做好響應(yīng)工作,。
盡管攻擊面管理的好處多多,但對于多數(shù)企業(yè)而言,,即便對如何管理攻擊面的方法,、方式有所了解,但想要從頭建立并實現(xiàn)具備攻擊面管理能力,,仍是一個極大的挑戰(zhàn),因此,,引入專業(yè)力量來實現(xiàn)有效的攻擊面管理,,在我們看來,無論是安全能力,、水平還是成本收益方面,,都能體現(xiàn)出一定的優(yōu)勢。據(jù)安全419此前在行業(yè)內(nèi)的溝通調(diào)研情況,,在攻擊面管理領(lǐng)域,,包括華云安、云科安信以及零零信安這三家以攻擊面管理為主要方向的企業(yè)值得關(guān)注,。
“
華云安:
Gartner《2022中國網(wǎng)絡(luò)安全技術(shù)成熟度曲線》報告代表廠商,,華云安攻擊面管理體系的策略是構(gòu)建一個基于云原生架構(gòu)的,、彈性、冗余的高性能平臺,,可以通過整合以及拆分,,來提供攻擊面管理體系中通用普適的、滿足最小需求的功能模塊,,如網(wǎng)絡(luò)資產(chǎn)管理,、脆弱性評估、自動化測試,、漏洞優(yōu)先級評估,、擴展威脅情報、擴展威脅響應(yīng)等等,。通過云原生的微服務(wù)技術(shù),,再結(jié)合不同客戶具體的業(yè)務(wù)需求,靈活組合這些安全能力單元搭建成相適應(yīng)的解決方案,,以進一步適配企業(yè)不同階段,、不同需求并不斷迭代的安全能力。
● 擴展閱讀:《攻擊面管理如何為企業(yè)提供面向未來的安全價值,?》
”
零零信安:
Gartner《2022中國網(wǎng)絡(luò)安全技術(shù)成熟度曲線》報告代表廠商,,作為專注于外部攻擊面管理(EASM)領(lǐng)域的安全企業(yè),零零信安以大數(shù)據(jù)立體攻防,、以攻促防,、主動防御、力求取得立竿見影效果的理念,,為客戶提供基于攻擊者視角的外部攻擊面管理技術(shù)產(chǎn)品和服務(wù),,目前已將EASM實現(xiàn)了產(chǎn)品服務(wù)化落地,推出國內(nèi)首個可為甲乙方企業(yè)提供外部攻擊面能力數(shù)據(jù)服務(wù)產(chǎn)品的在線EASM平臺——0.zone,。在安全管理,、攻擊檢測、漏洞管理三個場景下,,為SOAR,、SOC、SIEM,、MDR,、安全運維(服務(wù));IDS,、IPS,、NDR、XDR,、蜜罐,、 CTI,、應(yīng)急響應(yīng)團隊(服務(wù));漏洞管理系統(tǒng),、掃描器,、 CAASM、BAS,、風險評估(服務(wù)),、滲透測試團隊(服務(wù))等產(chǎn)品和服務(wù)提供基礎(chǔ)數(shù)據(jù)能力,讓國內(nèi)所有安全產(chǎn)品具備外部攻擊面/暴露面檢測能力,。
● 擴展閱讀:《零零信安的外部攻擊面落地應(yīng)用 三大應(yīng)用場景輔助主動防御》
“
云科安信:
白澤攻擊面管理平臺將云科安信團隊過往所有的攻防技戰(zhàn)術(shù)和資源濃縮其中,,以一種極簡的使用方式交付給用戶,能夠完全自動化地幫助用戶持續(xù)性地發(fā)現(xiàn)和梳理資產(chǎn)暴露面的情況,,將包括域名,、IP地址、端口情況,,web應(yīng)用,、中間件、數(shù)據(jù)庫,、組件,、指紋等等這些跟目標系統(tǒng)相關(guān)的信息詳細地展現(xiàn)給用戶。同時,,該平臺還會從應(yīng)用的視角,、關(guān)聯(lián)關(guān)系的視角、端口數(shù)據(jù)的視角將不同資產(chǎn)之間的關(guān)聯(lián)關(guān)系進行展示,,幫助用戶了解到未知的資產(chǎn)暴露情況,。在協(xié)助用戶將暴露面梳理清晰后,白澤攻擊面管理平臺會在暴露在外的資產(chǎn)中尋找漏洞,,對漏洞做可利用性的驗證,。最終讓客戶看到在他已知范圍和他未知范圍內(nèi),攻擊者能夠突破進來的全部路徑,。
● 擴展閱讀:《云科安信:打造自動化攻擊面管理平臺 讓實戰(zhàn)化攻防能力信手拈來》
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<