隨著云端能力的廣泛啟用，以及隨后組織網(wǎng)絡(luò)的快速生長，再趕上最近遠程辦公的興起，使得組織的攻擊面大規(guī)模擴散，直接導(dǎo)致了連接結(jié)構(gòu)中日益增長的安全盲點。

這一未曾預(yù)見到的擴展，以及脆弱的攻擊面監(jiān)控，使得網(wǎng)絡(luò)攻擊數(shù)量直線上升。其中，最顯著的，莫過于勒索軟件，但同時也包括了大量其他攻擊。最大的問題依然是被攻擊者利用的未被監(jiān)控的盲點，能夠滲透入組織的基礎(chǔ)設(shè)施，并且通過提權(quán)或者橫向移動，尋找有價值的信息。

問題在于如何發(fā)現(xiàn)這些情況。大部分組織追蹤所有組成的部分，并且將所有過去與現(xiàn)在資產(chǎn)進行分類的能力，已經(jīng)遠遠趕不上組織自身演化的速度;而對自己資產(chǎn)的梳理也被視為一項吃力不討好的任務(wù)。

然而，考慮到被成功攻擊的代價，以及攻擊者越來越擅于識別和使用暴露資產(chǎn)的情況，任何一個未被監(jiān)控的點都能導(dǎo)致災(zāi)難性的泄露事件。

這就是最近攻擊面管理(Attack Surface Management, ASM)這項技術(shù)有價值的地方。

何為攻擊面管理？

攻擊面管理會挖掘互聯(lián)網(wǎng)上的數(shù)據(jù)組以及證書庫，或者模擬攻擊者使用嗅探技術(shù)的方式。兩種方式的目的都是對組織在發(fā)現(xiàn)流程中能夠找到的資產(chǎn)進行一次全面的分析。兩種方式都包括掃描域名、子域名、IP地址、端口、影子IT等面向互聯(lián)網(wǎng)的資產(chǎn)，之后再進行分析，檢測是否存在漏洞或者安全缺口。

高級的攻擊面管理包括可進行的緩解建議，修復(fù)發(fā)現(xiàn)的安全缺口；建議從未使用的或不必要的資產(chǎn)以減少攻擊面，到通知個人他們的郵箱存在隱患，可能成為釣魚攻擊的目標。

攻擊面管理包括匯報會被用于社會工程或者釣魚攻擊的開源情報，比如在社交媒體上的公開個人情報，甚至像在視頻、公開演講、在線研討會和會議上的材料。

最終，攻擊面管理的目標是確保沒有暴露的資產(chǎn)不受監(jiān)控，并消除任何可能形成攻擊入口的盲點。

誰需要攻擊面管理？

David Klein在他關(guān)于2021年網(wǎng)絡(luò)安全效率情況的在線研討會上，闡述了Cymulate用戶使用過攻擊面管理的情況。在他們使用攻擊面管理之前，他們并不知道：

• 80%的用戶沒有反欺詐、SPF郵件記錄。
• 77%的用戶缺少有效的網(wǎng)站防護。
• 60%的用戶有暴露的賬戶、基礎(chǔ)設(shè)施和管理服務(wù)。
• 58%的用戶有失陷的郵件賬戶。
• 37%的用戶使用從外部調(diào)用的Java函數(shù)。
• 26%的用戶沒有對域名配置的DMARC記錄。
• 23%的用戶存在SSL證書不匹配問題。

一旦被成功識別，這些安全缺口可以被填補上，但是真正擔憂的問題是在這些問題被發(fā)現(xiàn)前已經(jīng)產(chǎn)生的影響。

在這個分析中的攻擊面管理用戶有各種不同的垂直行業(yè)、地區(qū)和組織規(guī)模。這意味著任何有對外連接基礎(chǔ)設(shè)施的組織，都會從將攻擊面管理作為他們網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施集成中的一部分而獲益。

從哪里找到攻擊面管理？

盡管說這項技術(shù)最近在逐漸興起，但已經(jīng)有一些攻擊面管理供應(yīng)商了。和其他安全能力一樣，攻擊面管理最好作為一個整體平臺中的一部分，而非單獨的產(chǎn)品。

攻擊面管理解決方案的著重點和其相關(guān)的一系列產(chǎn)品的著重點有一點關(guān)系。攻擊面管理解決方案如果和像EDR那樣的響應(yīng)型產(chǎn)品關(guān)聯(lián)，就更偏向于基于掃描能力;而如果包含在像擴展安全態(tài)勢管理(Extended Security Posture Management, XSPM)這類的主動平臺，就更偏向于從掃描能力擴展到攻擊者的偵查技術(shù)和工具層面。

選擇一個集成的攻擊面管理方案，能夠協(xié)助將組織安全態(tài)勢相關(guān)的數(shù)據(jù)集中展現(xiàn)在一個單獨的面板上，從而減少SOC團隊數(shù)據(jù)過載的風險。

點評

攻擊面管理并非一個新概念，但是隨著攻擊面本身的日益增長，在今后會成為一個越來越重要的領(lǐng)域。由于攻擊面管理的目標之一是整理并收斂攻擊入口，攻擊者視角的思維能力不可或缺，在攻防上有積累的安全廠商同樣會在這一領(lǐng)域有其獨特的優(yōu)勢。