互聯(lián)網(wǎng)協(xié)議（IP）地址及其背后的設(shè)備、網(wǎng)絡(luò)服務(wù)和云資產(chǎn)是現(xiàn)代企業(yè)的生命線。但公司經(jīng)常積累數(shù)千個數(shù)字資產(chǎn)，無序的狀態(tài)給IT和安全團隊造成了無法管理的混亂。如果不仔細地加以檢查，一個被遺忘、遺棄或未知的數(shù)字資產(chǎn)對于公司來說就是網(wǎng)絡(luò)安全定時炸彈。

為什么查看和管理網(wǎng)絡(luò)中的每個數(shù)字事物都應(yīng)是重中之重？這當(dāng)中存在一種可能：它們是您組織基礎(chǔ)設(shè)施中增長最快的部分。有效的數(shù)字資產(chǎn)管理——包括IP地址可見性——是您阻止攻擊者對網(wǎng)絡(luò)資產(chǎn)發(fā)動攻擊的最基礎(chǔ)也是最有效的途徑。

在過去的二十年里，安全團隊一直專注于解決內(nèi)部資產(chǎn)風(fēng)險。面向公眾的數(shù)字資產(chǎn)和IP地址是“非軍事化區(qū)”的一部分，“非軍事化區(qū)”是一個防御的強化但非常有限的周邊地區(qū)。但在全球大流行和隨之而來的居家辦公趨勢的推動下，數(shù)字化轉(zhuǎn)型隨之而來，網(wǎng)絡(luò)邊界變得不再清晰，都需要讓位于當(dāng)今一切托管服務(wù)的現(xiàn)代架構(gòu)。

數(shù)字資產(chǎn)：死亡、遺忘和危險

過去兩年的業(yè)務(wù)數(shù)字化轉(zhuǎn)型引發(fā)了一場新的網(wǎng)絡(luò)應(yīng)用程序、數(shù)據(jù)庫和物聯(lián)網(wǎng)設(shè)備的海嘯。他們?yōu)橥{組織創(chuàng)造了一個巨大的新攻擊面，其中包括復(fù)雜的云原生IT基礎(chǔ)設(shè)施?？赡鼙┞兜氖菙?shù)千個API、服務(wù)器、物聯(lián)網(wǎng)設(shè)備和SaaS資產(chǎn)。

管理不善的數(shù)字資產(chǎn)是一顆定時炸彈。例如，在網(wǎng)絡(luò)應(yīng)用程序中存在巨大風(fēng)險。在最近的CyCognito調(diào)查中，我們發(fā)現(xiàn)Global 2000組織平均每個組織有5000個暴露的Web界面，占其外部可能受到攻擊表面的7%。在這些Web應(yīng)用程序中，我們發(fā)現(xiàn)不乏開源JavaScript漏洞庫問題，如jQuery、JQuery-UI和Bootstrap。SQL注入、XSS和PII暴露漏洞也不短缺。

任何面向外部的資產(chǎn)未知或管理不善，都可以被視為邀請對手破壞您的網(wǎng)絡(luò)的機會。然后，攻擊者可以竊取數(shù)據(jù)、傳播惡意軟件、破壞基礎(chǔ)設(shè)施并實現(xiàn)持續(xù)的未經(jīng)授權(quán)訪問。

當(dāng)我們與公司談?wù)撍麄兊墓裘鏁r，我們很少聽到他們對掌握數(shù)字資產(chǎn)表示信心。許多公司仍然通過Excel電子表格跟蹤IP地址，并反過來連接資產(chǎn)。這種措施是否高效？事實上這僅適用于最小的組織。ESG在2021年的一項研究發(fā)現(xiàn)，73%的安全和IT專業(yè)人士依賴他們。

數(shù)據(jù)安全是頭等大事，這也是貴公司的皇冠珠寶。我認為，保護IP地址和連接資產(chǎn)應(yīng)該采取更現(xiàn)代的管理方法，這樣就可以在問題出現(xiàn)之前解決這些問題。

善意可能會出錯

但即使是善意的公司也可能犯錯誤。假設(shè)企業(yè)服務(wù)臺創(chuàng)建的內(nèi)部票務(wù)系統(tǒng)只能通過內(nèi)部URL訪問。對手可能會利用URL的基礎(chǔ)IP地址，并通過添加“:8118”來打開網(wǎng)絡(luò)后門（或端口）。這就是為什么IP地址，包括端口、域和證書等相關(guān)技術(shù)，可能帶來巨大的安全和聲譽風(fēng)險。

其結(jié)果可能是數(shù)字資產(chǎn)軟點的墓地，這些軟點經(jīng)常成為對手的切入點，例如被遺忘或管理不善的DevOps或SecOps工具、云產(chǎn)品和設(shè)備Web界面。

在當(dāng)今復(fù)雜的企業(yè)中，系統(tǒng)管理員通常只能看到他們負責(zé)管理的設(shè)備子集。如果資產(chǎn)不在您的雷達屏幕上，您將無法真正地降低風(fēng)險。

為什么管理IP連接的資產(chǎn)就像養(yǎng)貓一樣

在過去的12個月里，通過對CyCognito的客戶群觀察調(diào)研，我們看到組織內(nèi)IP地址（和相關(guān)數(shù)字資產(chǎn)）的數(shù)量增長了20%。這一增長至少部分歸功于云的采用以及對居住在公司網(wǎng)絡(luò)的連接設(shè)備和Web應(yīng)用程序的依賴。但經(jīng)常被忽視的是，當(dāng)公司增長或萎縮時，基礎(chǔ)設(shè)施會蔓延。

例如，在繞過IP地址管理方面，合并和收購（并購）活動通常會讓企業(yè)保持平穩(wěn)。假設(shè)酒店集團收購了較小的競爭對手。當(dāng)這種情況發(fā)生時，它還繼承了一個由未管理和未知的IP地址和域組成的潛在雷區(qū)。

死亡域名和被遺忘域名——一種不同類型的數(shù)字資產(chǎn)——經(jīng)常成為所謂的懸垂DNS記錄的犧牲品，對手可以通過重新注冊來接管被遺忘的子域名。這些子域以前連接到公司資源，但現(xiàn)在完全由不良行為者控制，然后可用于改變公司的網(wǎng)絡(luò)流量，造成數(shù)據(jù)丟失和聲譽損害。

同樣，子公司的剝離可能導(dǎo)致基礎(chǔ)設(shè)施被遺棄，成為孤兒數(shù)字資產(chǎn)和相關(guān)網(wǎng)絡(luò)應(yīng)用程序。這些被遺忘的資產(chǎn)經(jīng)常被IT團隊忽視，但絕對不會被機會主義黑客忽視。

更糟糕的是，不安全的端口使設(shè)備可以進行默認憑據(jù)攻擊。畢竟，對于對手來說，要掃描和查找開放的端口，他們需要管理不善的云服務(wù)或IP連接的硬件。

最后，通過收購獲得的不受管理的IT基礎(chǔ)設(shè)施和資產(chǎn)可能會浪費寶貴的時間?？紤]一下管理不善的IP地址如何向IT安全團隊發(fā)送高度戒備狀態(tài)，以了解為什么公司資產(chǎn)在它不開展業(yè)務(wù)的國家/地區(qū)被使用。

為了保護關(guān)鍵數(shù)據(jù)，阻止惡意軟件感染并防止漏洞，部分答案是進行有效的數(shù)字資產(chǎn)管理以及提高IP地址可見性。太多的系統(tǒng)管理員仍然受制于這個過時的基于電子表格的資產(chǎn)管理系統(tǒng)。

此外，忽略攻擊載體并僅檢測已知資產(chǎn)中CVE的遺留掃描儀無法評估與公司內(nèi)部大量數(shù)字資產(chǎn)相關(guān)的風(fēng)險。例如，在之前的內(nèi)部票務(wù)系統(tǒng)中——通過URL https://X.X.X.X[:]8118意外暴露在互聯(lián)網(wǎng)上——該IP上的端口掃描充其量只能找到HTTP服務(wù)。掃描儀肯定不會理解曝光的背景和關(guān)鍵性。公司擁有的云資產(chǎn)上意外打開目錄也是如此，盡管這些目錄可能包含員工憑據(jù)和TB的敏感數(shù)據(jù)。

無知不是幸福&看到就是相信

當(dāng)然，默認情況下，數(shù)字資產(chǎn)并不危險。相反，風(fēng)險與IT堆棧的管理以及系統(tǒng)管理員處理與預(yù)置、非預(yù)置、托管和非托管服務(wù)綁定的眾多連接應(yīng)用程序的能力有關(guān)。

難題擺在公司的面前：“你如何管理你不知道的東西？”

實施網(wǎng)絡(luò)分割，零信任解決方案和積極的IP和端口掃描，以及資產(chǎn)發(fā)現(xiàn)，都是對減輕威脅問題的必要響應(yīng)。但這些解決方案并沒有100%解決問題。

這就像根據(jù)20%的居民的檢測，給社區(qū)一份干凈的新冠肺炎健康法案。沒有其他80%的測試，你真的不知道自己是否安全。即使對90%的攻擊表面進行完美的漏洞管理，當(dāng)10%可能看不見和不受管理時，這也不是無關(guān)緊要的事。

與低效的發(fā)現(xiàn)工具相關(guān)的成本和修復(fù)發(fā)現(xiàn)問題的IT資源有限也是有效攻擊表面管理的障礙。

攻擊表面管理需要圍繞“發(fā)現(xiàn)”暴露的關(guān)鍵資產(chǎn)的新心態(tài)。持續(xù)發(fā)現(xiàn)那些大規(guī)模攻擊者抵抗力最小的路徑，加上安全測試和將寶貴資產(chǎn)被盜的風(fēng)險聯(lián)系起來，至關(guān)重要。CyCognito正在圍繞暴露和風(fēng)險管理與緩慢、有限范圍和昂貴的漏洞管理開拓這個想法。

想象一下，看到您的整個攻擊表面——以及您的子公司的攻擊表面——并能夠根據(jù)風(fēng)險簡介對修復(fù)進行優(yōu)先排序，該風(fēng)險簡介告訴您特定資產(chǎn)被黑客入侵的概率。在數(shù)字資產(chǎn)的背景下，了解您的整個IP環(huán)境并優(yōu)先考慮需要首先解決的問題，可以大大有助于實現(xiàn)更安全的IT環(huán)境。

大局？對手總是尋求阻力最小的道路。他們避免了更難的攻擊路徑，因為它們往往很吵，增加了后衛(wèi)檢測和響應(yīng)的風(fēng)險?，F(xiàn)代外部攻擊表面管理方法應(yīng)該利用資產(chǎn)補救優(yōu)先級相同的最不耐藥性路徑原則，同時減少回收（MTTR）的時間，并回答以下問題：“我們安全嗎？”

Rob Gurzeev是外部攻擊表面管理公司CyCognito的首席執(zhí)行官兼聯(lián)合創(chuàng)始人。他是一名進攻性安全專家，專注于提供網(wǎng)絡(luò)安全解決方案，幫助組織找到并消除攻擊者利用的路徑。

本文翻譯自：https://threatpost.com/digital-asset-tsunami/179917/如若轉(zhuǎn)載，請注明原文地址。