攻擊面管理 2022 年為何成為主流?
近期,美國網絡安全審查委員會發布首份報告稱,2021年年底曝光的Log4j漏洞成為難以消除的漏洞,其影響將會持續十年之久。
Log4j事件表明,我們對暴露的IT資產知之甚少。據統計,大型組織通常擁有數千、數萬或更多面向互聯網的資產,包括網站、敏感數據、員工憑證、云工作負載、云存儲、源代碼、SSL 證書等。
如果要問“攻擊者發現和利用Log4j等漏洞的頻率和速度帶來什么教訓”,答案一定是應在攻擊面管理和網絡保護工具部署等方面做出積極主動的探索。
現代數字基礎設施加速發展,容器化、SaaS應用以及混合工作環境急速增長,企業面臨的攻擊面也在隨之擴大。為降低攻擊風險,許多機構都在努力發現、分類和管理面向互聯網的資產。
2018年, Gartner首次提出攻擊面管理(Attack surface management,ASM)的概念。2021年7月,Gartner發布《2021安全運營技術成熟度曲線》,將攻擊面管理相關技術定義為新興技術。
Gartner預測,供給面管理解決方案將成為2022年大型企業的首要投資項目。ESG 高級首席分析師Jon Oltsik 也認為,2022年是攻擊面管理技術重要的一年。在《2022年網絡安全的主要趨勢報告》中,Gartner研究人員強調:隨著企業攻擊面持續擴大,安全和風險管理領導者將增加對相關流程和工具的投資。
攻擊面管理被視為向主動安全轉變的開始。主動安全意味著,可以像攻擊者那樣洞察整個攻擊面,通過持續測試,確定補救措施的優先級并驗證有效性,從而做到領先于潛在攻擊者。通過這種方式,機構首次可以實現盡早洞察安全威脅,并采取適當措施來緩解威脅和降低風險。
2021年供給面管理領域發生眾多收購:Mandiant收購Intrigue,微軟收購RiskIQ,Palo Alto Networks收購Expanse Networks。這些頻繁的收購讓業界看到了供給面管理的發展勢頭。
Gartner 估計,到 2026 年,20% 的公司將實現對其95%所資產的可見性,而 2022 年這一比例不到 1%。這意味該領域仍然處于早期階段。
ASM:敞口管理的第一個支柱
攻擊面是指未經授權即能訪問和利用企業數字資產的所有潛在入口的總和,包括未經授權的可訪問的硬件、軟件、云資產和數據資產等;同樣也包括人員管理、技術管理、業務流程存在的安全漏洞和缺陷等,即存在可能會被攻擊者利用并造成損失的潛在風險。
概括來說,攻擊面主要包括:
- 已知資產:庫存和管理的資產,例如您的公司網站、服務器以及在其上運行的依賴項;
- 未知資產:例如影子IT或孤立的IT基礎設施,這些基礎設施超出了您安全團隊的權限,例如被遺忘的開發網站或營銷網站;
- 流氓資產:由威脅行為者構建的惡意基礎設施,例如惡意軟件、域名搶注或冒充您域名的網站及移動應用程序等;
- 供應商:您的攻擊面不僅限于您的機構,第三方和第四方供應商也會引入重大的安全風險。即便是小型供應商也可能導致大規模數據泄露。例如,最終導致百貨巨頭Target泄露超過1.1億消費者信用卡和個人數據的HVAC供應商。
需要強調的是,并非所有資產暴露面都可以成為攻擊面,只有可利用暴露面疊加攻擊向量才會形成攻擊面。
攻擊面管理指的是以攻擊者的角度對企業數字資產攻擊面進行檢測發現、分析研判、情報預警、響應處置和持續監控的一種資產安全性管理方法,其最大特性就是以外部攻擊者視角來審視企業所有資產可被利用的攻擊可能性。
在Gartner報告中,攻擊面管理(ASM)是一組更廣泛的功能—— “敞口管理”(Exposure Management)——中的第一個支柱,其他組成因素還包括漏洞和驗證管理。
敞口管理包括攻擊面管理、漏洞管理和驗證管理
Gartner認為,ASM涉及三個新興的技術創新領域,即網絡資產攻擊面管理(CAASM)、外部攻擊面管理(EASM)以及數字風險保護服務(DRPS)。
其中,外部攻擊面管理(EASM)使用部署的流程、技術和托管服務來發現面向互聯網的企業資產、系統和相關漏洞,例如,可能被利用的服務器、憑據、公共云服務錯誤配置和第三方合作伙伴軟件代碼漏洞。
網絡資產攻擊面管理(CAASM)專注于使安全團隊能夠解決持續存在的資產可見性和漏洞挑戰,使企業能夠通過與現有工具的 API 集成查看所有資產(內部和外部),查詢合并的數據,識別安全控制中的漏洞范圍和差距,并修復問題。
數字風險保護服務(DRPS)通過技術和服務的組合提供,以保護關鍵數字資產和數據免受外部威脅。這些解決方案提供對開放網絡、社交媒體、暗網和深層網絡資源的可見性,以識別對關鍵資產的潛在威脅,并提供有關攻擊者及其惡意活動的策略和流程的上下文信息。
三者支持的一些用例存在重疊,存在一些混淆。EASM 更注重技術和運營,DRPS 主要支持更多以業務為中心的活動。EASM 主要關注外部資產,而 CAASM 關注內部資產。
為什么需要攻擊面管理?
當網絡防御者還徘徊在ASM門外時,攻擊者已經在使用自動化工具來發現資產、識別漏洞并發起攻擊。事實證明,其中許多攻擊都很成功。
傳統的安全控制(例如防火墻、IPS、網絡分段等)能夠保護組織的網絡;然而,“上有政策下有對策”,狡猾的攻擊者已經轉向其他意想不到的攻擊媒介。他們開始針對自動掃描儀和安全團隊經常忽略的組織攻擊面——例如,針對社交媒體平臺上的員工或針對聊天/協作工具。此外,供應鏈攻擊也為組織打開了另一個需要管理的攻擊面。
研究表明,69%的組織經歷過的網絡攻擊是通過利用未知、未管理或管理不善的面向互聯網的資產開始的。這些網絡攻擊可能很嚴重——想想2017年的Equifax漏洞或2021年的Log4j事件。
攻擊面管理的價值包括:
- 提高資產可見性,使組織能夠避免盲點和不受管理的技術(例如“影子IT”),從而改善其安全狀況并實現更全面的風險管理;
- 了解針對資產的潛在攻擊路徑,有助于組織確定安全控制部署和配置的優先級。反過來,這有助于減少可能被利用的互聯網和公共領域的不必要暴露;
- 更準確、最新和更全面的資產和安全控制報告,可以更快地報告審計合規性;
- 對數據收集的阻力更小,對影子IT、安裝的第三方系統和IT缺乏治理和控制的業務線應用程序擁有更好的可見性;
- 獲得可操作的情報和有意義的指標,并且可以進行跟蹤。這些證明了將ASM納入網絡安全計劃的價值。
因此,攻擊面管理解決方案包括如下部分:
- 發現資源
發現階段能夠識別組織的業務資源,其中還包括未記錄的資產,例如具有開放端口的子域、生產服務器上的未開發應用等。該階段還會發現黑客模仿和用來冒充組織員工的各種個人身份信息(PII)數據和資源,以及與公司資源相關的第三方服務或供應商。
- 管理資產庫存和分類
在此階段,組織必須根據類型、技術屬性、監管要求和對企業的價值,建立一個帶有適當標簽的庫存清單。每個部門管理的資源類別可能會有所不同,擔任領導職務的個人需要快速訪問他們管理的資源。因此,建立適當的分類清單至關重要。
- 驗證持續監控
資源在不斷變化,隨著庫存的增加,安全專業人員發現很難跟上最新資源的步伐。許多第三方應用,每隔1天就會報告數十個可能被利用的安全漏洞。24/7全天候驗證和監控資源是否存在漏洞和配置問題至關重要。此外,組織還應監控深網和暗網,監控相關關鍵字,例如業務/項目名稱、關鍵人員詳細信息和其他機密信息。
- 確定資源和漏洞的優先級
缺乏有效的風險和安全評估,管理攻擊面將很困難。如果不進行漏洞掃描,就很難知道資源存在哪些安全風險,使組織面臨安全漏洞、信息泄露或其他網絡威脅。這就是識別和評估虛擬資源至關重要的原因所在,只有這樣組織才能看到應該減緩和優先考慮哪些威脅。
- 跟蹤服務的變化
為了全面了解攻擊媒介,對組織的公共和私人資源的持續跟蹤至關重要。它包括竊取憑據的網絡釣魚網站、與組織相關的虛假移動應用程序以及虛假社交媒體資料等在線風險。此外,該階段還會強制記錄現有庫存中的任何修改,例如發布新的Web應用或與網絡連接的附加郵件服務器。
攻擊面管理的挑戰
企業高管和董事會越來越多地要求提高對安全風險的可見性。但大多數安全團隊仍在采用手動的、多線程的類ASM流程,通過提供一系列面向外部資產和風險概況的情報來管理風險。
ESG 的研究認為,發現、分類和管理所有資產絕非一日之功。
除了明顯“盲點”外,大多數機構都存在很多不知道的面向互聯網的資產。根據供應商的說法,當機構使用自動掃描儀時,通常會發現大約40%的資產。
根據ESG調查,在43%的機構中,攻擊面發現需要80多個小時,這完全跟不上云原生應用、遠程工作者、第三方連接做出的移動、添加和更改步伐。
與網絡安全的其他領域一樣,許多組織通過從大量不同的現有工具收集信息片段實踐 ASM。研究表明,41%的組織使用威脅情報源,40%依賴IT資產管理系統,33%使用云安全監控解決方案,29%依賴漏洞管理。當然,必須有人收集這些數據,將其關聯起來,并嘗試理解它。
ASM解決方案是從攻擊者的角度出發,以連續和自主的方式評估企業的可發現攻擊面,幫助安全團隊評估攻擊的可能性及其漏洞的影響。
ASM對參與企業的整體安全狀況做出了重大改進,但機構需要上下文洞察力,不幸的是,目前的ASM方法在這方面仍存在不足。
除此之外,ASM面臨的挑戰還包括:
- ASA工具主要由小型供應商提供。在中短期內,這些供應商可能會受到并購,這可能會影響對它們的投資;
- ASA功能主要是開源功能的集合,進入這個市場的門檻很低。大型安全平臺供應商(例如擴展檢測和響應 [XDR])提供者可能會構建或獲取功能,以便為購買其更大的網絡安全工具生態系統的組織提供更強大的ASA功能;
- 每種ASA技術都可能是孤立的,并且可能會在配置、管理和維護方面產生額外的人力成本開銷;
- ASA技術的能力越來越多地與其他互補市場重疊,例如威脅情報、端點保護平臺、BAS和VA市場。已擁有相似可見性和風險評估產品的組織可能難以證明添加ASA技術的成本是合理的;
- 與其他工具的集成可能會受到技術限制(例如缺少API)或不完整的可見性的影響;
- ASA技術通過來自其他記錄系統(例如CMDB)的聚合和協調流程提高了資產可見性,但并不能從根本上解決數據質量差和粒度問題。
結語
現在,是時候使用ASM工具,以了解和保護組織的攻擊面了,否則隨時可能淪為下一個攻擊受害者。
Gartner建議企業實施攻擊面差距分析,以檢測 IT 和安全實踐與技術中的潛在盲點。這是改進任何安全計劃的基礎,尤其是安全管理者必須保護日益復雜的環境時。
ASA 技術通常易于部署和配置。Gartner建議企業評估關鍵風險驅動因素,以了解應優先考慮哪些技術。一般來說,組織應該在 CAASM 之前安裝和管理 EASM 和/或 DRPS,因為 CAASM 技術在管理 EASM 和 DRPS 輸出以完成其資產清單方面是可擴展的。
參考文章:
1.Gartner:Innovation Insight for Attack Surface Management
2.CSO Online:Look for attack surface management to go mainstream in 2022
3.Help Security:Where is attack surface management headed?
原文來源:虎符智庫
