近期，美國網絡安全審查委員會發(fā)布首份報告稱，2021年年底曝光的Log4j漏洞成為難以消除的漏洞，其影響將會持續(xù)十年之久。

Log4j事件表明，我們對暴露的IT資產知之甚少。據統(tǒng)計，大型組織通常擁有數(shù)千、數(shù)萬或更多面向互聯(lián)網的資產，包括網站、敏感數(shù)據、員工憑證、云工作負載、云存儲、源代碼、SSL 證書等。 

如果要問“攻擊者發(fā)現(xiàn)和利用Log4j等漏洞的頻率和速度帶來什么教訓”，答案一定是應在攻擊面管理和網絡保護工具部署等方面做出積極主動的探索。

現(xiàn)代數(shù)字基礎設施加速發(fā)展，容器化、SaaS應用以及混合工作環(huán)境急速增長，企業(yè)面臨的攻擊面也在隨之擴大。為降低攻擊風險，許多機構都在努力發(fā)現(xiàn)、分類和管理面向互聯(lián)網的資產。

2018年， Gartner首次提出攻擊面管理（Attack surface management，ASM）的概念。2021年7月，Gartner發(fā)布《2021安全運營技術成熟度曲線》，將攻擊面管理相關技術定義為新興技術。

Gartner預測，供給面管理解決方案將成為2022年大型企業(yè)的首要投資項目。ESG 高級首席分析師Jon Oltsik 也認為，2022年是攻擊面管理技術重要的一年。在《2022年網絡安全的主要趨勢報告》中，Gartner研究人員強調:隨著企業(yè)攻擊面持續(xù)擴大，安全和風險管理領導者將增加對相關流程和工具的投資。

攻擊面管理被視為向主動安全轉變的開始。主動安全意味著，可以像攻擊者那樣洞察整個攻擊面，通過持續(xù)測試，確定補救措施的優(yōu)先級并驗證有效性，從而做到領先于潛在攻擊者。通過這種方式，機構首次可以實現(xiàn)盡早洞察安全威脅，并采取適當措施來緩解威脅和降低風險。

2021年供給面管理領域發(fā)生眾多收購：Mandiant收購Intrigue，微軟收購RiskIQ，Palo Alto Networks收購Expanse Networks。這些頻繁的收購讓業(yè)界看到了供給面管理的發(fā)展勢頭。

Gartner 估計，到 2026 年，20% 的公司將實現(xiàn)對其95%所資產的可見性，而 2022 年這一比例不到 1%。這意味該領域仍然處于早期階段。

ASM：敞口管理的第一個支柱

攻擊面是指未經授權即能訪問和利用企業(yè)數(shù)字資產的所有潛在入口的總和，包括未經授權的可訪問的硬件、軟件、云資產和數(shù)據資產等；同樣也包括人員管理、技術管理、業(yè)務流程存在的安全漏洞和缺陷等，即存在可能會被攻擊者利用并造成損失的潛在風險。

概括來說，攻擊面主要包括：

• 已知資產：庫存和管理的資產，例如您的公司網站、服務器以及在其上運行的依賴項；
• 未知資產：例如影子IT或孤立的IT基礎設施，這些基礎設施超出了您安全團隊的權限，例如被遺忘的開發(fā)網站或營銷網站；
• 流氓資產：由威脅行為者構建的惡意基礎設施，例如惡意軟件、域名搶注或冒充您域名的網站及移動應用程序等；
• 供應商：您的攻擊面不僅限于您的機構，第三方和第四方供應商也會引入重大的安全風險。即便是小型供應商也可能導致大規(guī)模數(shù)據泄露。例如，最終導致百貨巨頭Target泄露超過1.1億消費者信用卡和個人數(shù)據的HVAC供應商。

需要強調的是，并非所有資產暴露面都可以成為攻擊面，只有可利用暴露面疊加攻擊向量才會形成攻擊面。

攻擊面管理指的是以攻擊者的角度對企業(yè)數(shù)字資產攻擊面進行檢測發(fā)現(xiàn)、分析研判、情報預警、響應處置和持續(xù)監(jiān)控的一種資產安全性管理方法，其最大特性就是以外部攻擊者視角來審視企業(yè)所有資產可被利用的攻擊可能性。

在Gartner報告中，攻擊面管理（ASM）是一組更廣泛的功能—— “敞口管理”（Exposure Management）——中的第一個支柱，其他組成因素還包括漏洞和驗證管理。

敞口管理包括攻擊面管理、漏洞管理和驗證管理

Gartner認為，ASM涉及三個新興的技術創(chuàng)新領域，即網絡資產攻擊面管理（CAASM）、外部攻擊面管理（EASM）以及數(shù)字風險保護服務（DRPS）。

• 其中，外部攻擊面管理（EASM）使用部署的流程、技術和托管服務來發(fā)現(xiàn)面向互聯(lián)網的企業(yè)資產、系統(tǒng)和相關漏洞，例如，可能被利用的服務器、憑據、公共云服務錯誤配置和第三方合作伙伴軟件代碼漏洞。
• 網絡資產攻擊面管理（CAASM）專注于使安全團隊能夠解決持續(xù)存在的資產可見性和漏洞挑戰(zhàn)，使企業(yè)能夠通過與現(xiàn)有工具的 API 集成查看所有資產（內部和外部），查詢合并的數(shù)據，識別安全控制中的漏洞范圍和差距，并修復問題。
• 數(shù)字風險保護服務（DRPS）通過技術和服務的組合提供，以保護關鍵數(shù)字資產和數(shù)據免受外部威脅。這些解決方案提供對開放網絡、社交媒體、暗網和深層網絡資源的可見性，以識別對關鍵資產的潛在威脅，并提供有關攻擊者及其惡意活動的策略和流程的上下文信息。

三者支持的一些用例存在重疊，存在一些混淆。EASM 更注重技術和運營，DRPS 主要支持更多以業(yè)務為中心的活動。EASM 主要關注外部資產，而 CAASM 關注內部資產。

為什么需要攻擊面管理？

當網絡防御者還徘徊在ASM門外時，攻擊者已經在使用自動化工具來發(fā)現(xiàn)資產、識別漏洞并發(fā)起攻擊。事實證明，其中許多攻擊都很成功。

傳統(tǒng)的安全控制（例如防火墻、IPS、網絡分段等）能夠保護組織的網絡；然而，“上有政策下有對策”，狡猾的攻擊者已經轉向其他意想不到的攻擊媒介。他們開始針對自動掃描儀和安全團隊經常忽略的組織攻擊面——例如，針對社交媒體平臺上的員工或針對聊天/協(xié)作工具。此外，供應鏈攻擊也為組織打開了另一個需要管理的攻擊面。

研究表明，69%的組織經歷過的網絡攻擊是通過利用未知、未管理或管理不善的面向互聯(lián)網的資產開始的。這些網絡攻擊可能很嚴重——想想2017年的Equifax漏洞或2021年的Log4j事件。

攻擊面管理的價值包括：

• 提高資產可見性，使組織能夠避免盲點和不受管理的技術（例如“影子IT”），從而改善其安全狀況并實現(xiàn)更全面的風險管理；
• 了解針對資產的潛在攻擊路徑，有助于組織確定安全控制部署和配置的優(yōu)先級。反過來，這有助于減少可能被利用的互聯(lián)網和公共領域的不必要暴露；
• 更準確、最新和更全面的資產和安全控制報告，可以更快地報告審計合規(guī)性；
• 對數(shù)據收集的阻力更小，對影子IT、安裝的第三方系統(tǒng)和IT缺乏治理和控制的業(yè)務線應用程序擁有更好的可見性；
• 獲得可操作的情報和有意義的指標，并且可以進行跟蹤。這些證明了將ASM納入網絡安全計劃的價值。

因此，攻擊面管理解決方案包括如下部分：

• 發(fā)現(xiàn)資源

發(fā)現(xiàn)階段能夠識別組織的業(yè)務資源，其中還包括未記錄的資產，例如具有開放端口的子域、生產服務器上的未開發(fā)應用等。該階段還會發(fā)現(xiàn)黑客模仿和用來冒充組織員工的各種個人身份信息（PII）數(shù)據和資源，以及與公司資源相關的第三方服務或供應商。

• 管理資產庫存和分類

在此階段，組織必須根據類型、技術屬性、監(jiān)管要求和對企業(yè)的價值，建立一個帶有適當標簽的庫存清單。每個部門管理的資源類別可能會有所不同，擔任領導職務的個人需要快速訪問他們管理的資源。因此，建立適當?shù)姆诸惽鍐沃陵P重要。

• 驗證持續(xù)監(jiān)控

資源在不斷變化，隨著庫存的增加，安全專業(yè)人員發(fā)現(xiàn)很難跟上最新資源的步伐。許多第三方應用，每隔1天就會報告數(shù)十個可能被利用的安全漏洞。24/7全天候驗證和監(jiān)控資源是否存在漏洞和配置問題至關重要。此外，組織還應監(jiān)控深網和暗網，監(jiān)控相關關鍵字，例如業(yè)務/項目名稱、關鍵人員詳細信息和其他機密信息。

• 確定資源和漏洞的優(yōu)先級

缺乏有效的風險和安全評估，管理攻擊面將很困難。如果不進行漏洞掃描，就很難知道資源存在哪些安全風險，使組織面臨安全漏洞、信息泄露或其他網絡威脅。這就是識別和評估虛擬資源至關重要的原因所在，只有這樣組織才能看到應該減緩和優(yōu)先考慮哪些威脅。

• 跟蹤服務的變化

為了全面了解攻擊媒介，對組織的公共和私人資源的持續(xù)跟蹤至關重要。它包括竊取憑據的網絡釣魚網站、與組織相關的虛假移動應用程序以及虛假社交媒體資料等在線風險。此外，該階段還會強制記錄現(xiàn)有庫存中的任何修改，例如發(fā)布新的Web應用或與網絡連接的附加郵件服務器。

攻擊面管理的挑戰(zhàn)

企業(yè)高管和董事會越來越多地要求提高對安全風險的可見性。但大多數(shù)安全團隊仍在采用手動的、多線程的類ASM流程，通過提供一系列面向外部資產和風險概況的情報來管理風險。

ESG 的研究認為，發(fā)現(xiàn)、分類和管理所有資產絕非一日之功。

除了明顯“盲點”外，大多數(shù)機構都存在很多不知道的面向互聯(lián)網的資產。根據供應商的說法，當機構使用自動掃描儀時，通常會發(fā)現(xiàn)大約40%的資產。

根據ESG調查，在43%的機構中，攻擊面發(fā)現(xiàn)需要80多個小時，這完全跟不上云原生應用、遠程工作者、第三方連接做出的移動、添加和更改步伐。

與網絡安全的其他領域一樣，許多組織通過從大量不同的現(xiàn)有工具收集信息片段實踐 ASM。研究表明，41%的組織使用威脅情報源，40%依賴IT資產管理系統(tǒng)，33%使用云安全監(jiān)控解決方案，29%依賴漏洞管理。當然，必須有人收集這些數(shù)據，將其關聯(lián)起來，并嘗試理解它。

ASM解決方案是從攻擊者的角度出發(fā)，以連續(xù)和自主的方式評估企業(yè)的可發(fā)現(xiàn)攻擊面，幫助安全團隊評估攻擊的可能性及其漏洞的影響。

ASM對參與企業(yè)的整體安全狀況做出了重大改進，但機構需要上下文洞察力，不幸的是，目前的ASM方法在這方面仍存在不足。

除此之外，ASM面臨的挑戰(zhàn)還包括：

• ASA工具主要由小型供應商提供。在中短期內，這些供應商可能會受到并購，這可能會影響對它們的投資；
• ASA功能主要是開源功能的集合，進入這個市場的門檻很低。大型安全平臺供應商（例如擴展檢測和響應 [XDR]）提供者可能會構建或獲取功能，以便為購買其更大的網絡安全工具生態(tài)系統(tǒng)的組織提供更強大的ASA功能；
• 每種ASA技術都可能是孤立的，并且可能會在配置、管理和維護方面產生額外的人力成本開銷；
• ASA技術的能力越來越多地與其他互補市場重疊，例如威脅情報、端點保護平臺、BAS和VA市場。已擁有相似可見性和風險評估產品的組織可能難以證明添加ASA技術的成本是合理的；
• 與其他工具的集成可能會受到技術限制（例如缺少API）或不完整的可見性的影響；
• ASA技術通過來自其他記錄系統(tǒng)（例如CMDB）的聚合和協(xié)調流程提高了資產可見性，但并不能從根本上解決數(shù)據質量差和粒度問題。

結語

現(xiàn)在，是時候使用ASM工具，以了解和保護組織的攻擊面了，否則隨時可能淪為下一個攻擊受害者。

Gartner建議企業(yè)實施攻擊面差距分析，以檢測 IT 和安全實踐與技術中的潛在盲點。這是改進任何安全計劃的基礎，尤其是安全管理者必須保護日益復雜的環(huán)境時。

ASA 技術通常易于部署和配置。Gartner建議企業(yè)評估關鍵風險驅動因素，以了解應優(yōu)先考慮哪些技術。一般來說，組織應該在 CAASM 之前安裝和管理 EASM 和/或 DRPS，因為 CAASM 技術在管理 EASM 和 DRPS 輸出以完成其資產清單方面是可擴展的。