攻擊面管理的價值

隨著云端能力的廣泛啟用，以及隨后組織網絡的快速生長，再趕上最近遠程辦公的興起，使得組織的攻擊面大規模擴散，直接導致了連接結構中日益增長的安全盲點。

這一未曾預見到的擴展，以及脆弱的攻擊面監控，使得網絡攻擊數量直線上升。其中，最顯著的，莫過于勒索軟件，但同時也包括了大量其他攻擊。最大的問題依然是被攻擊者利用的未被監控的盲點，能夠滲透入組織的基礎設施，并且通過提權或者橫向移動，尋找有價值的信息。

問題在于如何發現這些情況。大部分組織追蹤所有組成的部分，并且將所有過去與現在資產進行分類的能力，已經遠遠趕不上組織自身演化的速度；而對自己資產的梳理也被視為一項吃力不討好的任務。

然而，考慮到被成功攻擊的代價，以及攻擊者越來越擅于識別和使用暴露資產的情況，任何一個未被監控的點都能導致災難性的泄露事件。

這就是最近攻擊面管理（Attack Surface Management, ASM）這項技術有價值的地方。

何為攻擊面管理？

攻擊面管理會挖掘互聯網上的數據組以及證書庫，或者模擬攻擊者使用嗅探技術的方式。兩種方式的目的都是對組織在發現流程中能夠找到的資產進行一次全面的分析。兩種方式都包括掃描域名、子域名、IP地址、端口、影子IT等面向互聯網的資產，之后再進行分析，檢測是否存在漏洞或者安全缺口。

高級的攻擊面管理包括可進行的緩解建議，修復發現的安全缺口；建議從未使用的或不必要的資產以減少攻擊面，到通知個人他們的郵箱存在隱患，可能成為釣魚攻擊的目標。

攻擊面管理包括匯報會被用于社會工程或者釣魚攻擊的開源情報，比如在社交媒體上的公開個人情報，甚至像在視頻、公開演講、在線研討會和會議上的材料。

最終，攻擊面管理的目標是確保沒有暴露的資產不受監控，并消除任何可能形成攻擊入口的盲點。

誰需要攻擊面管理？

David Klein在他關于2021年網絡安全效率情況的在線研討會上，闡述了Cymulate用戶使用過攻擊面管理的情況。在他們使用攻擊面管理之前，他們并不知道：

• 80%的用戶沒有反欺詐、SPF郵件記錄。
• 77%的用戶缺少有效的網站防護。
• 60%的用戶有暴露的賬戶、基礎設施和管理服務。
• 58%的用戶有失陷的郵件賬戶。
• 37%的用戶使用從外部調用的Java函數。
• 26%的用戶沒有對域名配置的DMARC記錄。
• 23%的用戶存在SSL證書不匹配問題。

一旦被成功識別，這些安全缺口可以被填補上，但是真正擔憂的問題是在這些問題被發現前已經產生的影響。

在這個分析中的攻擊面管理用戶有各種不同的垂直行業、地區和組織規模。這意味著任何有對外連接基礎設施的組織，都會從將攻擊面管理作為他們網絡安全基礎設施集成中的一部分而獲益。

從哪里找到攻擊面管理？

盡管說這項技術最近在逐漸興起，但已經有一些攻擊面管理供應商了。和其他安全能力一樣，攻擊面管理最好作為一個整體平臺中的一部分，而非單獨的產品。

攻擊面管理解決方案的著重點和其相關的一系列產品的著重點有一點關系。攻擊面管理解決方案如果和像EDR那樣的響應型產品關聯，就更偏向于基于掃描能力；而如果包含在像擴展安全態勢管理（Extended Security Posture Management, XSPM）這類的主動平臺，就更偏向于從掃描能力擴展到攻擊者的偵查技術和工具層面。

選擇一個集成的攻擊面管理方案，能夠協助將組織安全態勢相關的數據集中展現在一個單獨的面板上，從而減少SOC團隊數據過載的風險。

數世點評

攻擊面管理并非一個新概念，但是隨著攻擊面本身的日益增長，在今后會成為一個越來越重要的領域。從當前來看，國內專注攻擊面管理的廠商有華云安、零零信安等。由于攻擊面管理的目標之一是整理并收斂攻擊入口，攻擊者視角的思維能力不可或缺，在攻防上有積累的安全廠商同樣會在這一領域有其獨特的優勢。