最近，數(shù)字攻擊以及外部攻擊面越來(lái)越受到網(wǎng)絡(luò)安全團(tuán)隊(duì)的關(guān)注。除了內(nèi)部的基礎(chǔ)設(shè)施需要修復(fù)以外，面向互聯(lián)網(wǎng)的資產(chǎn)背后也可能潛伏著巨大的威脅。

事實(shí)上，網(wǎng)絡(luò)不法分子僅通過(guò)簡(jiǎn)單的谷歌搜索就可以獲取大量的數(shù)據(jù)。如果搜索得更加深入，甚至可以發(fā)現(xiàn)一些被泄露的數(shù)據(jù)以及密碼，從而利用這些打開(kāi)網(wǎng)關(guān)，入侵到到組織內(nèi)部。

所有這些容易獲取的信息都有可能被黑客所利用，這使得系統(tǒng)處于一個(gè)危險(xiǎn)的環(huán)境之中。也就是說(shuō)，這是外部攻擊面的組成部分，隨時(shí)可能被威脅分子利用，來(lái)進(jìn)行網(wǎng)絡(luò)攻擊。

因此，管理組織及其網(wǎng)絡(luò)的外部接入點(diǎn)是網(wǎng)絡(luò)安全的一個(gè)重要組成部分。

什么是外部攻擊面管理？

外部攻擊面管理映射了那些可能具有漏洞的方面，不斷對(duì)其進(jìn)行掃描，并在網(wǎng)絡(luò)不法分子利用到它們之前，就將對(duì)問(wèn)題或異常狀況進(jìn)行處理。

本質(zhì)上講，EASM的功能可以歸結(jié)為：“發(fā)現(xiàn)一些可能被黑客利用的漏洞，這些漏洞可以幫助黑客從外部破壞組織的基礎(chǔ)設(shè)施，并且在其被發(fā)現(xiàn)之前就會(huì)被黑客所刪除。”該工具幫助解決了一項(xiàng)當(dāng)今大多數(shù)組織都面臨的挑戰(zhàn)——如何始終保留信息的概述，特別是系統(tǒng)外部的可用情報(bào)。

對(duì)“哪些數(shù)據(jù)可以被提供給誰(shuí)”等信息進(jìn)行追蹤，并確認(rèn)是否存在可能被黑客利用來(lái)入侵系統(tǒng)的數(shù)據(jù)，這些都需要大量的事前準(zhǔn)備工作。因此，大多數(shù)IT團(tuán)隊(duì)都依賴于一些人工智能工具，不斷查找證書(shū)已被濫用的跡象。

隨著每次新的數(shù)據(jù)泄露或社交媒體的更新，攻擊面都在不斷變化和增長(zhǎng)。EASM的本質(zhì)作用就是避免公司的資產(chǎn)變成公司的負(fù)債。

黑客可以通過(guò)在線搜索查到哪些信息？

網(wǎng)絡(luò)不法分子在使用任何黑客技術(shù)之前，都會(huì)在互聯(lián)網(wǎng)上查詢現(xiàn)成的數(shù)據(jù)。其中，威脅者感興趣的是：

• 社交媒體活動(dòng)
• 泄露的密碼和電子郵件
• 個(gè)人信息（名字，用戶名，地址，信用卡賬號(hào)等） 

在犯罪分子手中，個(gè)人信息可以用來(lái)進(jìn)行身份竊取或金融詐騙。最壞的情況下，黑客甚至可以偽裝成受害目標(biāo)，榨干受害者的銀行賬戶，破壞其聲譽(yù)，以及傳播謠言。

最近發(fā)生的許多黑客攻擊中都包括社會(huì)工程學(xué)攻擊。這意味著攻擊方需要認(rèn)識(shí)受害者，并向其發(fā)送帶有病毒鏈接的電子郵件，甚至要冒充各種權(quán)威機(jī)構(gòu)或有權(quán)勢(shì)者，例如政府機(jī)構(gòu)和CEO。

社交媒體以及在上面分享過(guò)的信息都有可能成為一次網(wǎng)絡(luò)攻擊或詐騙的導(dǎo)火索。例如，像LinkedIn和Facebook這樣的平臺(tái)或企業(yè)的官方網(wǎng)站，就很容易暴露公司內(nèi)部的等級(jí)制度，為不法分子提供了一個(gè)如何接近攻擊目標(biāo)的視角。

黑客論壇、數(shù)據(jù)轉(zhuǎn)儲(chǔ)以及暗網(wǎng)都是不法分子用來(lái)查找企業(yè)安全方面弱點(diǎn)的渠道。這些渠道中包含了電子郵件以及密碼，即使是那些完全沒(méi)有技術(shù)知識(shí)的非專(zhuān)業(yè)人員也可以利用這些信息入侵到組織內(nèi)部。

對(duì)攻擊面的管理都包括什么？

攻擊面管理分為三個(gè)步驟：

• 改善系統(tǒng)內(nèi)部的缺陷
• 檢測(cè)所有的異常情況以及高風(fēng)險(xiǎn)的威脅
• 對(duì)內(nèi)外攻擊面中的活動(dòng)進(jìn)行數(shù)據(jù)分析

第一步是掃描那些可能會(huì)導(dǎo)致重大事故的信息或活動(dòng)，例如系統(tǒng)破壞、贖金票據(jù)、或敏感數(shù)據(jù)竊取。

高風(fēng)險(xiǎn)是指那些在重大事故中可能升級(jí)的任何方面，其可以被黑客用來(lái)直接訪問(wèn)組織或進(jìn)行網(wǎng)絡(luò)攻擊。

除了查找數(shù)據(jù)，發(fā)現(xiàn)階段還可以確定是否存在未經(jīng)授權(quán)的對(duì)基礎(chǔ)設(shè)施進(jìn)行訪問(wèn)的跡象。

第二步是對(duì)攻擊面進(jìn)行分析。將攻擊面與其以前的狀態(tài)進(jìn)行比較，以確定是否存在任何需要修復(fù)的高風(fēng)險(xiǎn)漏洞和異常跡象。

基于上述分析生成的報(bào)告強(qiáng)調(diào)了所有高風(fēng)險(xiǎn)的漏洞，并使IT團(tuán)隊(duì)的工作變得更加容易。如果沒(méi)有這個(gè)，那么所有漏洞都會(huì)引發(fā)警報(bào)，其中會(huì)有大量誤報(bào)的產(chǎn)生。

最后一步是改善那些可能被不法分子利用的漏洞。分析文檔和高風(fēng)險(xiǎn)漏洞報(bào)告還提出了一些修復(fù)缺陷和加強(qiáng)安全性的方法。

以上三個(gè)步驟都是自動(dòng)化進(jìn)行的，必須不斷重復(fù)才能發(fā)揮出其有效性。更重要的是，該工具已被更新，可以用來(lái)發(fā)現(xiàn)新出現(xiàn)的黑客攻擊是否存在缺陷。

 MITRE ATT&CK Framework是用來(lái)確保該工具能夠與最新的網(wǎng)絡(luò)技術(shù)同步更新的資源庫(kù)。該框架庫(kù)存描述了所有可能對(duì)組織產(chǎn)生威脅的新方法。

更廣泛地了解攻擊面

外部攻擊面管理可以幫助IT團(tuán)隊(duì)確認(rèn)是否存在可能被威脅者利用來(lái)入侵基礎(chǔ)設(shè)施的數(shù)據(jù)或接入點(diǎn)。它站在黑客的角度，對(duì)所有可以被利用的漏洞進(jìn)行考慮，并不斷對(duì)外部攻擊面進(jìn)行調(diào)查。

在常規(guī)的網(wǎng)絡(luò)安全工作中引入外部攻擊面管理是非常必要的。它為IT團(tuán)隊(duì)提供了整個(gè)基礎(chǔ)設(shè)施的完整圖景，同時(shí)也突出了其主要的部分。

數(shù)據(jù)控制是外部攻擊面管理的一個(gè)主要組成部分。這是由于被泄露的影子IT或企業(yè)情報(bào)可能會(huì)被黑客用來(lái)入侵系統(tǒng)。

為了盡早（在黑客發(fā)現(xiàn)之前）修補(bǔ)漏洞，安全工作人員需要不斷地對(duì)攻擊面進(jìn)行掃描，尋找可能泄露的信息，并對(duì)掃描結(jié)果進(jìn)行分析，在威脅演變成嚴(yán)重事故之前將其解決。

點(diǎn)評(píng)

如今，隨著數(shù)字化轉(zhuǎn)型進(jìn)度的加快，企業(yè)暴露給攻擊者的脆弱點(diǎn)也隨之增多。相對(duì)于傳統(tǒng)的針對(duì)漏洞以及信息資產(chǎn)本身的攻擊，如今現(xiàn)代化攻擊正逐漸轉(zhuǎn)變成一種全方面的立體化攻擊。同時(shí)，攻擊者的關(guān)注點(diǎn)也不再是那些“戒備森嚴(yán)”的傳統(tǒng)攻擊點(diǎn)。

從安全團(tuán)隊(duì)的角度來(lái)看，眾多攻擊點(diǎn)連成了一個(gè)完整的攻擊面。然而，兼顧全部的脆弱點(diǎn)顯然是無(wú)法實(shí)現(xiàn)的，并且功能堆積的防御體系也無(wú)法完全抵御如今立體化攻擊的降維打擊。因此站在攻擊者的角度，來(lái)進(jìn)行動(dòng)態(tài)的主動(dòng)防御至關(guān)重要。

攻擊面是一個(gè)龐大范疇，同樣攻擊面管理亦是如此，其內(nèi)容也會(huì)隨著新型IT技術(shù)的出現(xiàn)，而不斷升級(jí)。外部攻擊面管理本質(zhì)上是一種威脅情報(bào)的提供服務(wù)，用來(lái)幫助企業(yè)站在攻擊者的角度，比攻擊者更早地發(fā)現(xiàn)安全缺口，這需要對(duì)于威脅數(shù)據(jù)的進(jìn)行持續(xù)采集以及持續(xù)的分析。

因此，風(fēng)險(xiǎn)分析能力以及作為輔助的自動(dòng)化能力將會(huì)是外部攻擊面的關(guān)鍵發(fā)展點(diǎn)。