[[410324]]

持續(xù)蔓延的疫情以及數(shù)字化云端轉(zhuǎn)型為網(wǎng)絡(luò)安全帶來了許多新挑戰(zhàn)：攻擊面增長，IT復(fù)雜化、影子化等等。2018 年，Gartner敦促安全領(lǐng)導(dǎo)者開始著手減少、監(jiān)控和管理他們的攻擊面，作為整體網(wǎng)絡(luò)安全風(fēng)險管理計(jì)劃的一部分。如今，攻擊面管理正在成為CIO、CTO、CISO和安全團(tuán)隊(duì)的首要任務(wù)。

何為攻擊面?

您的攻擊面是指可以通過Internet訪問的用于處理或存儲您的數(shù)據(jù)的所有硬件、軟件、SaaS 和云資產(chǎn)。也可以將其視為網(wǎng)絡(luò)犯罪分子可以用來操縱網(wǎng)絡(luò)或系統(tǒng)以提取數(shù)據(jù)的攻擊向量總數(shù)。您的攻擊面包括：

• 已知資產(chǎn)：庫存和管理的資產(chǎn)，例如您的公司網(wǎng)站、服務(wù)器以及在它們上面運(yùn)行的依賴項(xiàng);
• 未知資產(chǎn)：例如影子IT或孤立的IT基礎(chǔ)設(shè)施，這些基礎(chǔ)設(shè)施超出了您安全團(tuán)隊(duì)的權(quán)限范圍，例如被遺忘的開發(fā)網(wǎng)站或營銷網(wǎng)站;
• 流氓資產(chǎn)：由威脅行為者啟動的惡意基礎(chǔ)設(shè)施，例如惡意軟件、域名搶注或冒充您域名的網(wǎng)站或移動應(yīng)用程序等;
• 供應(yīng)商：您的攻擊面不僅限于您的組織，第三方和第四方供應(yīng)商同樣會引入重大的第三方風(fēng)險和第四方風(fēng)險。即便是小型供應(yīng)商也可能導(dǎo)致大規(guī)模數(shù)據(jù)泄露，例如最終導(dǎo)致Target泄露超過1.1億消費(fèi)者信用卡和個人數(shù)據(jù)的HVAC供應(yīng)商。

不幸的是，每天都有數(shù)以百萬計(jì)的此類資產(chǎn)出現(xiàn)在Internet上，并且完全超出了防火墻和端點(diǎn)保護(hù)服務(wù)的范圍。攻擊面有時候也稱為外部攻擊面或數(shù)字攻擊面。

何為攻擊面管理?

攻擊面管理(ASM)是對存儲、傳輸或處理敏感數(shù)據(jù)的外部數(shù)字資產(chǎn)的持續(xù)發(fā)現(xiàn)、盤點(diǎn)、分類、優(yōu)先級排序和安全監(jiān)控。

攻擊面管理非常重要，因?yàn)樗兄陬A(yù)防和減少源自以下方面的風(fēng)險：

• 遺留、物聯(lián)網(wǎng)和影子IT資產(chǎn);
• 網(wǎng)絡(luò)釣魚和數(shù)據(jù)泄露等人為錯誤和疏忽;
• 易受攻擊和過時的軟件;
• 未知的開源軟件(OSS);
• 針對貴組織的有針對性網(wǎng)絡(luò)攻擊;
• 針對您所屬行業(yè)的大規(guī)模攻擊;
• 侵犯知識產(chǎn)權(quán);
• 從并購活動中繼承的IT資產(chǎn);
• 供應(yīng)商管理資產(chǎn);

及時識別數(shù)字資產(chǎn)是強(qiáng)大威脅情報的基本組成部分，可以大大降低數(shù)據(jù)泄露的風(fēng)險。要知道，攻擊者發(fā)起網(wǎng)絡(luò)攻擊所需要的只是您組織中的一個薄弱環(huán)節(jié)。

攻擊面管理優(yōu)秀實(shí)踐

云計(jì)算解決方案、遠(yuǎn)程和在家工作系統(tǒng)以及聯(lián)網(wǎng)設(shè)備的急劇增加，無疑會帶來更大的攻擊面，從而進(jìn)一步增加安全風(fēng)險。而減少漏洞數(shù)量的最佳方法就是建立適當(dāng)?shù)钠髽I(yè)攻擊面管理程序。

正確有效的攻擊面管理需要分析操作以發(fā)現(xiàn)潛在漏洞并了解具體情況。這些信息有助于企業(yè)組織制定計(jì)劃，但成功與否還要取決于在組織的網(wǎng)絡(luò)、系統(tǒng)、渠道和接觸點(diǎn)中如何執(zhí)行該計(jì)劃。

以下是構(gòu)建企業(yè)攻擊面管理程序時需要考慮的一些最佳實(shí)踐，遵循下述建議可以最大限度地減少漏洞，并降低威脅行為者危害組織網(wǎng)絡(luò)和設(shè)備的機(jī)會。

1. 繪制攻擊面

要部署適當(dāng)?shù)姆烙?，您必須了解暴露了哪些?shù)字資產(chǎn)、攻擊者最有可能入侵網(wǎng)絡(luò)的位置以及需要部署哪些保護(hù)措施。因此，提高攻擊面的可見性并構(gòu)建對攻擊漏洞的有力呈現(xiàn)至關(guān)重要。要查找的漏洞類型包括較舊且安全性較低的計(jì)算機(jī)或服務(wù)器、未打補(bǔ)丁的系統(tǒng)、過時的應(yīng)用程序和暴露的物聯(lián)網(wǎng)設(shè)備等。

預(yù)測建模有助于創(chuàng)建對可能發(fā)生的事件及其風(fēng)險的真實(shí)描述，進(jìn)一步加強(qiáng)防御和主動措施。一旦您了解了風(fēng)險，您就可以對事件或違規(guī)之前、期間和之后會發(fā)生的情況進(jìn)行建模。您可以預(yù)計(jì)會造成怎樣的經(jīng)濟(jì)損失?事件會對企業(yè)聲譽(yù)造成多大損害?您會丟失商業(yè)情報、商業(yè)機(jī)密或更多信息嗎?

SANS新興安全趨勢主管John Pescatore稱：

成功的攻擊面繪制策略非常簡單：了解您要保護(hù)的內(nèi)容(準(zhǔn)確的資產(chǎn)清單);監(jiān)控這些資產(chǎn)中的漏洞;并使用威脅情報來了解攻擊者如何利用這些漏洞攻擊這些資產(chǎn)。這三個階段中的每個階段都需要配置具備熟練安全技術(shù)的員工，才能跟上這三個領(lǐng)域的變化速度。

2. 最小化漏洞

一旦組織繪制完成他們的攻擊面，就可以立即采取行動減輕最重要的漏洞和潛在攻擊媒介帶來的風(fēng)險，然后再繼續(xù)執(zhí)行較低優(yōu)先級的任務(wù)。在可能的情況下使資產(chǎn)離線并加強(qiáng)內(nèi)部和外部網(wǎng)絡(luò)是值得關(guān)注的兩個關(guān)鍵領(lǐng)域。

如今，市場上大多數(shù)網(wǎng)絡(luò)平臺供應(yīng)商都提供工具來幫助最小化攻擊面。例如，微軟的攻擊面減少(ASR)規(guī)則可以幫助用戶阻止攻擊者常用的進(jìn)程和可執(zhí)行文件。

不過值得注意的是，大多數(shù)違規(guī)都是由人為錯誤造成的。因此，針對員工建立安全意識和培訓(xùn)是減少漏洞的另一個關(guān)鍵方面。您有哪些政策可以幫助他們掌握個人和工作安全?他們了解自己需要做什么嗎?他們應(yīng)該使用哪些安全實(shí)踐?以及一旦遭到攻擊將如何影響他們和整個業(yè)務(wù)?

并非所有漏洞都需要解決，有些漏洞無論如何都會持續(xù)存在?？煽康木W(wǎng)絡(luò)安全策略需要包括識別最相關(guān)來源的方法，挑選出更有可能被利用的來源。這些都是應(yīng)該減輕和監(jiān)控的漏洞。

如今，大多數(shù)企業(yè)允許的訪問權(quán)限已經(jīng)超出了員工和承包商所需的訪問權(quán)限。執(zhí)行最小訪問權(quán)限原則可以確保即使帳戶遭到破壞也不會造成中斷或重大損害。企業(yè)組織可以先對關(guān)鍵系統(tǒng)的訪問權(quán)限進(jìn)行分析，然后將每個人和設(shè)備的訪問權(quán)限限制在他們絕對需要的資產(chǎn)上。

3. 建立強(qiáng)大的安全實(shí)踐和政策

嚴(yán)格遵循一些久經(jīng)考驗(yàn)的最佳安全實(shí)踐將大大減少您的攻擊面。這包括實(shí)施入侵檢測解決方案、定期進(jìn)行風(fēng)險評估以及制定明確有效的政策。以下是一些需要考慮的做法：

• 使用強(qiáng)大的身份驗(yàn)證協(xié)議和訪問控制進(jìn)行健康的帳戶管理;
• 建立一致的修補(bǔ)和更新策略;
• 維護(hù)和測試關(guān)鍵數(shù)據(jù)的備份;
• 對您的網(wǎng)絡(luò)進(jìn)行分段，以在發(fā)生破壞時將損害降至最低;
• 監(jiān)控和淘汰舊設(shè)備、機(jī)器和服務(wù);
• 在任何可行的地方使用加密;
• 建立或限制您的BYOD政策和計(jì)劃;

4. 建立安全監(jiān)控和測試協(xié)議

隨著IT基礎(chǔ)設(shè)施的變化以及威脅行為者的不斷發(fā)展，強(qiáng)大的網(wǎng)絡(luò)安全計(jì)劃同樣需要進(jìn)行不斷地調(diào)整。這就需要持續(xù)監(jiān)控和定期測試，后者通?？梢酝ㄟ^第三方滲透測試服務(wù)實(shí)現(xiàn)。

監(jiān)控通常通過自動化系統(tǒng)完成，如安全信息和事件管理軟件(SIEM)。它將主機(jī)系統(tǒng)和應(yīng)用程序生成的日志數(shù)據(jù)收集到網(wǎng)絡(luò)和安全設(shè)備(例如防火墻和防病毒過濾器)，然后，SIEM 軟件會識別、分類和分析事件，并對其進(jìn)行分析。

滲透測試能夠提供公正的第三方反饋，幫助您更好地了解漏洞。在此過程中，滲透測試人員會進(jìn)行旨在揭示關(guān)鍵漏洞的模擬攻擊。測試應(yīng)涉及企業(yè)網(wǎng)絡(luò)和BYOD的核心元素以及供應(yīng)商正在使用的第三方設(shè)備。要知道，移動設(shè)備約占企業(yè)數(shù)據(jù)交互的60%。

5. 強(qiáng)化您的電子郵件系統(tǒng)

網(wǎng)絡(luò)釣魚是攻擊者入侵您網(wǎng)絡(luò)的常見方式。然而，一些組織尚未完全部署旨在限制員工收到的惡意電子郵件數(shù)量的電子郵件協(xié)議。這些協(xié)議包括：

• 發(fā)件人策略框架(SPF)可防止對合法電子郵件返回地址進(jìn)行欺騙;
• 域密鑰識別郵件(DKIM)可以確保目標(biāo)電子郵件系統(tǒng)信任從自定義域發(fā)送的出站郵件;
• 基于域的消息身份驗(yàn)證、報告和一致性(DMARC)允許您設(shè)置有關(guān)如何處理由SPF或DKIM識別的失敗或欺騙電子郵件的規(guī)則;

雖然大多數(shù)企業(yè)并未能將所有協(xié)議落地，但是國際健康保險公司Aetna做到了。這也幫助該公司減少了軟件漏洞，同時縮短了公司上市時間。

6. 了解合規(guī)性

所有組織都應(yīng)該制定政策和程序來研究、確定以及理解內(nèi)部和政府標(biāo)準(zhǔn)。目標(biāo)是確保所有安全策略都能符合合規(guī)要求，同時對各種攻擊和違規(guī)類型都有適當(dāng)?shù)捻憫?yīng)計(jì)劃。

這可能需要建立一個工作組和戰(zhàn)略，以便在新政策和法規(guī)生效時對其進(jìn)行審查。毫無疑問，合規(guī)性對于現(xiàn)代網(wǎng)絡(luò)安全策略非常重要，但這并不一定意味著它應(yīng)該是優(yōu)先事項(xiàng)。根據(jù)Pescatore的說法：

合規(guī)性往往是第一位的，但幾乎100%發(fā)生信用卡信息泄露的公司都符合PCI合規(guī)性。然而，它們卻并不安全。

他認(rèn)為網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)該首先評估風(fēng)險并部署流程或控制措施來保護(hù)公司及其客戶。然后，企業(yè)應(yīng)該制作各種合規(guī)制度(例如HIPAA 或PCI)所需的文件，以顯示您的策略是如何合規(guī)的。

7. 聘請審計(jì)員

在評估企業(yè)攻擊面時，即使是最好的安全團(tuán)隊(duì)有時也需要新的視角。聘請安全審計(jì)員和分析師可以幫助您發(fā)現(xiàn)可能會被忽視的攻擊媒介和漏洞。

他們還可以協(xié)助制定事件管理計(jì)劃，以應(yīng)對潛在的違規(guī)和攻擊。太多的組織沒有為網(wǎng)絡(luò)安全攻擊做好準(zhǔn)備，因?yàn)樗麄內(nèi)狈ζ渌街坪饬α縼砗饬克麄兊恼呤欠翊嬖谌毕荨?/p>

Smart Billions首席技術(shù)官Jason Mitchell表示：

在嘗試客觀地確定安全風(fēng)險時，擁有一個外部的、公正的觀點(diǎn)可能非常有益。使用獨(dú)立的監(jiān)控流程來幫助識別風(fēng)險行為和威脅，以免它們淪為端點(diǎn)上的問題，尤其是新的數(shù)字資產(chǎn)、新加入的供應(yīng)商以及遠(yuǎn)程員工。

領(lǐng)先的攻擊面管理企業(yè)

1. UpGuard

UpGuard BreachSight可以監(jiān)控組織的70多種安全控制，提供簡單、易于理解的網(wǎng)絡(luò)安全評級，并自動檢測S3存儲桶、Rsync服務(wù)器、GitHub存儲庫等中泄露的憑據(jù)和數(shù)據(jù)。

而對于供應(yīng)商信息安全控制的評估，UpGuard Vendor Risk可以通過自動化供應(yīng)商問卷調(diào)查和提供供應(yīng)商問卷模板，最大限度地減少組織評估相關(guān)和第三方信息安全控制的時間。

UpGuard 與其他供應(yīng)商之間的主要區(qū)別在于，它們在防止數(shù)據(jù)泄露方面具有非常權(quán)威的專業(yè)知識。這一點(diǎn)可以從《紐約時報》、《華爾街日報》、彭博社、《華盛頓郵報》、《福布斯》、路透社和 TechCrunch 等刊物上得到印證。

2. Expanse

總部位于舊金山的Expanse公司成立于2012年，是一家攻擊面管理的安全初創(chuàng)公司，開發(fā)旨在監(jiān)控攻擊面的解決方案，以便進(jìn)行風(fēng)險評估和緩解威脅。以日前發(fā)生的SolarWinds漏洞事件為例，Expanse能夠?yàn)槠髽I(yè)提供掃描整個互聯(lián)網(wǎng)上公開暴露服務(wù)器的功能，并分析出站行為以檢測入侵。

Expanse解決方案平臺包括一個用于發(fā)現(xiàn)和監(jiān)控互聯(lián)網(wǎng)資產(chǎn)的儀表盤、監(jiān)控可疑網(wǎng)絡(luò)活動和分析流量模式的軟件，還提供了一系列API和工具，用于與現(xiàn)有IT基礎(chǔ)設(shè)施進(jìn)行整合?？梢哉f，Expanse的數(shù)據(jù)提供了一個從外部觀察企業(yè)的視角，代表了攻擊者在探尋薄弱點(diǎn)時看到的景象。

2020年11月，Palo Alto公司以8億美元收購Expanse公司，Expanse聯(lián)合創(chuàng)始人Tim Junio和Matt Kraning也在交易完成后加入Palo Alto Networks團(tuán)隊(duì)。

迄今為止，Expanse公司已經(jīng)獲得了1.36億美元的資金。之前的投資者包括TPG、IVP和New Enterprise Associates。

3. RiskIQ

RiskIQ是數(shù)字威脅管理的領(lǐng)導(dǎo)者，提供最全面的發(fā)現(xiàn)、情報和緩解與組織數(shù)字呈現(xiàn)相關(guān)的威脅。RiskIQ使企業(yè)能夠獲得對網(wǎng)絡(luò)、社交媒體和移動設(shè)備的統(tǒng)一洞察和控制力。其平臺結(jié)合了先進(jìn)的互聯(lián)網(wǎng)數(shù)據(jù)偵察和分析能力，以加快調(diào)查、了解攻擊面、評估風(fēng)險并針對數(shù)字威脅采取行動。使用RiskIQ社區(qū)版，所有安全分析師都可以在協(xié)作在線環(huán)境中免費(fèi)訪問其解決方案，以實(shí)現(xiàn)有組織的網(wǎng)絡(luò)防御。

4. Elevate Security

Elevate Security 是人類攻擊面管理的領(lǐng)導(dǎo)者，由兩位前Salesforce安全主管于2017年創(chuàng)立。 2021年5月，Elevate Security推出了一個突破性的新平臺，該平臺解決了網(wǎng)絡(luò)安全最大的棘手問題之一 ——人為錯誤——對整個組織的員工風(fēng)險進(jìn)行智能、定制和自動響應(yīng)。

Elevate Security 平臺提供了一個智能、定制和自動化的平臺，該平臺可以獲取組織的全部安全數(shù)據(jù)，以獲得對人類風(fēng)險的基準(zhǔn)可見性，使客戶能夠主動定制安全控制并圍繞風(fēng)險最高的員工創(chuàng)建“安全網(wǎng)”。

憑借來自 Elevate Security 平臺的洞察力和控制，CISO 能夠更好地支持企業(yè)內(nèi)的高增長計(jì)劃，同時保護(hù)和防御人類攻擊面。

5. Censys

Censys是持續(xù)攻擊面管理的領(lǐng)先供應(yīng)商，于2013年在密歇根州安娜堡成立，旨在為組織提供世界上最全面的全球網(wǎng)絡(luò)和設(shè)備實(shí)時視圖。

2020年，Censys開發(fā)出了一種新的掃描引擎，能夠洞察比任何其他網(wǎng)絡(luò)安全公司多出44%的互聯(lián)網(wǎng)。新架構(gòu)為Censys攻擊面管理客戶提供快速可操作的發(fā)現(xiàn)、列舉風(fēng)險和補(bǔ)救建議，以防止攻擊者和違規(guī)行為。

FireEye，谷歌，北約、瑞士武裝部隊(duì)，美國國土安全部等客戶以及超過25%的《財(cái)富》500強(qiáng)企業(yè)都依賴該公司的互聯(lián)網(wǎng)范圍的持續(xù)可見性平臺來發(fā)現(xiàn)和預(yù)防網(wǎng)絡(luò)安全威脅。Censys還因其具有改變網(wǎng)絡(luò)安全行業(yè)潛力的開創(chuàng)性技術(shù)，被CB Insights評為“2019 年網(wǎng)絡(luò)防御者”。

本文翻譯自：https://www.upguard.com/blog/attack-surface-management如若轉(zhuǎn)載，請注明原文地址。