攻擊面是指組織暴露在互聯(lián)網(wǎng)上的全部數(shù)字資產(chǎn)，它們可能被網(wǎng)絡(luò)攻擊者利用，成為突破口，包括硬件設(shè)備、應(yīng)用程序、SaaS服務(wù)、云上資源、網(wǎng)站、IP地址、社交媒體帳戶以及第三方供應(yīng)商的應(yīng)用系統(tǒng)等。

隨著企業(yè)數(shù)字化轉(zhuǎn)型的發(fā)展，往往有大量資產(chǎn)暴露在攻擊者的面前，其中一些源自影子IT和仍在整個組織中使用的淘汰技術(shù)，商業(yè)并購活動也會產(chǎn)生出大量未被清點(diǎn)的數(shù)字化資產(chǎn)。此外，許多企業(yè)現(xiàn)在依靠遠(yuǎn)程工作模式度過疫情危機(jī)并保持競爭力，這導(dǎo)致難以監(jiān)管的IT設(shè)備快速增加。這些因素使得企業(yè)很難以人工方式準(zhǔn)確管理攻擊面并保持同步，需要借助先進(jìn)的技術(shù)手段來實(shí)現(xiàn)管理目標(biāo)，供給面管理(ASM)解決方案應(yīng)運(yùn)而生。

1、攻擊面管理方案選型指標(biāo)

攻擊面管理(ASM)是一套旨在發(fā)現(xiàn)、分類和評估組織資產(chǎn)安全狀況的方法。通過ASM評估，可以為安全團(tuán)隊在實(shí)施保護(hù)加強(qiáng)機(jī)制方面指出正確的方向。一款有價值的ASM解決方案，需要能夠從外部攻擊者的視角，以持續(xù)的系統(tǒng)化流程去發(fā)現(xiàn)安全風(fēng)險和漏洞。它通常包括這四個部分：

識別可能引發(fā)網(wǎng)絡(luò)攻擊的所有本地和云端資產(chǎn)，并查找其中的安全漏洞;

基于可能遭受攻擊的容易程度和攻擊可能造成的損壞范圍，對這些資產(chǎn)進(jìn)行分類;

確定高風(fēng)險資產(chǎn)的修復(fù)優(yōu)先級，落實(shí)相應(yīng)的處置措施，并驗證修復(fù)效果;

持續(xù)監(jiān)控攻擊面，不斷發(fā)現(xiàn)新的安全缺口。

目前并不存在功能上面面俱到的ASM方案，企業(yè)需要根據(jù)自身的實(shí)際應(yīng)用需求來選擇最合適的產(chǎn)品。在選型決策時，企業(yè)可以重點(diǎn)關(guān)注以下選型指標(biāo)：

資產(chǎn)發(fā)現(xiàn)能力。ASM方案需要能夠自動化地發(fā)現(xiàn)企業(yè)所有數(shù)字資產(chǎn)，特別是那些還未知的數(shù)字資產(chǎn)，并對其進(jìn)行風(fēng)險評級，以創(chuàng)建一個完善的風(fēng)險修復(fù)策略;

威脅可用性分析。ASM方案應(yīng)該具有綜合報告和威脅可利用性的洞察力，而不是簡單的數(shù)據(jù)提取，組織管理者需要的是能夠支持決策的意見，需要的是從海量數(shù)據(jù)分析中得出的結(jié)論;

確定資產(chǎn)防護(hù)優(yōu)先級。對于需要解決的問題，安全運(yùn)營團(tuán)隊不可能做到面面俱到，需要集中力量解決更危險的問題;

資產(chǎn)標(biāo)記選項。ASM方案需要能夠?qū)Y產(chǎn)進(jìn)行標(biāo)記，資產(chǎn)管理及治理是企業(yè)做好攻擊面管理工作的前提;

以攻擊者視角。ASM方案需要能夠模擬出真實(shí)黑客攻擊的想法和手段，對組織進(jìn)行攻擊面管理指導(dǎo)工作;

自定義資產(chǎn)管理范圍。用戶能夠根據(jù)業(yè)務(wù)的變化靈活調(diào)整資產(chǎn)數(shù)量;

易于使用。具有友好的產(chǎn)品界面，能夠盡可能的自動化運(yùn)行，并可靈活調(diào)整產(chǎn)品監(jiān)測范圍;

誤報率低。盡可能避免誤報對客戶業(yè)務(wù)工作的影響。

2、熱門攻擊面管理工具盤點(diǎn)

Randori

如果企業(yè)對識別、清點(diǎn)和分析攻擊面的精確度要求很高，那么Randori Recon方案是理想的選擇之一。它是一款較為成熟的產(chǎn)品，可從攻擊者的視角自動發(fā)現(xiàn)資產(chǎn)。該解決方案使用創(chuàng)新的Target Temptation系統(tǒng)確定數(shù)字資源的優(yōu)先級，以幫助企業(yè)了解先要保護(hù)什么。

應(yīng)用特點(diǎn)分析

• 能夠較準(zhǔn)確地發(fā)現(xiàn)暴露在IPv4、IPv6網(wǎng)絡(luò)上的資產(chǎn)，以及云上資源。
• 能夠?qū)Πl(fā)現(xiàn)的企業(yè)資產(chǎn)進(jìn)行自動標(biāo)記。
• 能夠給出完善的管理分析報告，以及防護(hù)建議。
• 操作簡便，易于上手。
• 管理界面有待完善，以提高界面直觀性。
• 缺少為其他團(tuán)隊成員留下注釋的選項。
• 對主機(jī)名和IP沒有給予應(yīng)有的關(guān)注。

SpectralOps

對于許多開發(fā)團(tuán)隊來說，能夠完全專注于編寫代碼只是美好的想法。盲區(qū)、配置失誤、暴露的憑據(jù)和易受攻擊的基礎(chǔ)架構(gòu)部件會帶來太多的干擾，無法專注于任務(wù)。SpectralOps，利用AI技術(shù)在整個CI/CD過程中自動監(jiān)控、分類和保護(hù)資產(chǎn)。它可以實(shí)時識別可利用的API密鑰、憑據(jù)、令牌、機(jī)密和錯誤配置，跨多個公共來源檢測供應(yīng)鏈漏洞和專有代碼，并讓用戶可以自由地構(gòu)建自定義檢測器、執(zhí)行自己的緩解策略。

該平臺與編程語言無關(guān)，支持500多個堆棧，與流行的開發(fā)系統(tǒng)(包括Azure DevOps、AWS CodeBuild、Jenkins和CircleCI)廣泛集成。當(dāng)遇到數(shù)據(jù)泄露時，SpectralOps會立即通過Slack、Jira或用戶選擇的其他通知服務(wù)向工作人員及時提醒，以防止最糟糕的情況發(fā)生。

應(yīng)用特點(diǎn)分析

• 易于設(shè)置，可以實(shí)現(xiàn)快速掃描。
• 對開發(fā)人員友好的應(yīng)用界面，具有直觀的可視化試圖。
• 可以輕松集成，并有較完善的客戶應(yīng)用支持。
• 定制模式有點(diǎn)混亂。

Coalfire

這款A(yù)SM工具是在2021年4月問世，在發(fā)現(xiàn)和監(jiān)控公司外部攻擊面方面表現(xiàn)不俗。依托Coalfire公司在風(fēng)險管理和滲透測試方面二十年的背景，它擁有了一套完整的服務(wù)體系，可發(fā)現(xiàn)本地和云基礎(chǔ)架構(gòu)環(huán)境中的各種薄弱環(huán)節(jié)，并根據(jù)可見性和歸屬性對檢測到的漏洞進(jìn)行分類，確定優(yōu)先級，并監(jiān)管修復(fù)工作。

Coalfire攻擊面管理的獨(dú)特之處在于，它會結(jié)合人工服務(wù)共同驗證客戶的安全狀況，而資產(chǎn)跟蹤和監(jiān)控完全自動化。這款解決方案對需要遵從法規(guī)的企業(yè)來說是不錯的選擇。

應(yīng)用特點(diǎn)分析

• 供應(yīng)商在安全服務(wù)領(lǐng)域有豐富經(jīng)驗，綜合報告分析能力突出。
• 可提供有關(guān)如何解決特定漏洞的指導(dǎo)。
• 有較出色的客戶支持和服務(wù)能力。
• 產(chǎn)品比較新，誤報率有待進(jìn)一步降低。

UpGuard

UpGuard攻擊面管理攻擊在多個方面表現(xiàn)出色，除了提供典型的ASM功能外，它還配備創(chuàng)新的數(shù)據(jù)泄漏發(fā)現(xiàn)引擎，可以深度搜索開放的互聯(lián)網(wǎng)空間，獲取從客戶的供應(yīng)鏈系統(tǒng)中秘密泄露的數(shù)據(jù)，包括憑據(jù)和身份文件。另一個特點(diǎn)是，具有完善的風(fēng)險評分和安全評級系統(tǒng)，該系統(tǒng)使用經(jīng)過實(shí)戰(zhàn)考驗的專有算法，準(zhǔn)確評估組織的數(shù)字態(tài)勢。

應(yīng)用特點(diǎn)分析

• 有良好的方案應(yīng)用信譽(yù)。
• 較完善的IT基礎(chǔ)架構(gòu)掃描發(fā)現(xiàn)能力。
• 可用于無縫集成的API。
• 算法更新后，風(fēng)險評分可能會大幅波動。
• 比較專業(yè)化，對于新用戶來說有點(diǎn)難以上手。

SearchLight

SearchLight是從實(shí)際攻擊者的視角，由外向內(nèi)地開展攻擊面管理，可高效地檢測數(shù)據(jù)泄漏、被冒充的域、暴露的敏感代碼、漏洞、錯誤配置的設(shè)備、敞開的端口、證書問題及其他易被利用的應(yīng)用系統(tǒng)。該工具還善于暗網(wǎng)監(jiān)控和威脅情報利用，能夠?qū)崿F(xiàn)供應(yīng)商基礎(chǔ)架構(gòu)篩選、漏洞監(jiān)控和惡意攻擊者跟蹤。

在確定關(guān)鍵資產(chǎn)和風(fēng)險后，該解決方案能夠與專業(yè)安全服務(wù)團(tuán)隊協(xié)同工作，提供豐富的攻擊面上下文分析和科學(xué)的行動策略。

應(yīng)用特點(diǎn)分析

• 可監(jiān)控數(shù)百萬個數(shù)據(jù)源，快速查找暴露的資產(chǎn)。
• 能夠識別品牌仿冒。
• 具有較先進(jìn)的威脅情報能力。
• 暗網(wǎng)監(jiān)控使其重要宣傳點(diǎn)，但實(shí)際效果待驗證。

ImmuniWeb Discovery

ImmuniWeb Discovery是攻擊面管理領(lǐng)域的一款明星級工具，結(jié)合使用AI和開源智能情報信息(OSINT)，從黑客的視角觀察企業(yè)資產(chǎn)暴露情況。它不斷披露、分析和分類組織的數(shù)字環(huán)境，包括錯誤配置的IT資產(chǎn)、泄露的數(shù)據(jù)以及充斥著惡意軟件的系統(tǒng)。該解決方案還可以提供第三方供應(yīng)商風(fēng)險評分機(jī)制，以阻止供應(yīng)鏈攻擊風(fēng)險。

應(yīng)用特點(diǎn)分析

• 能夠快速發(fā)現(xiàn)各種數(shù)字資產(chǎn)。
• 能夠給出風(fēng)險管理的優(yōu)先級分析和建議。
• 在移動端應(yīng)用表現(xiàn)還不完善。
• 部分用戶覺得管理配置界面不夠友好，有點(diǎn)混亂。

CyCognito

CyCognito通常被稱為初創(chuàng)公司(自2017年以來才成立)，它的主要特點(diǎn)在于，可以在易于使用的平臺中支持整個ASM周期，包括從站在攻擊者視角的自動偵察到漏洞修復(fù)的援助。這款工具會根據(jù)業(yè)務(wù)上下文情況綜合分析，比如資產(chǎn)的所有者、所存儲數(shù)據(jù)的重要性以及暴露的攻擊途徑。這種類型的分析可以使確定風(fēng)險的優(yōu)先級來得更準(zhǔn)確。另外值得注意的是，CyCognito已經(jīng)開始使用機(jī)器學(xué)習(xí)技術(shù)和自然語言處理來發(fā)現(xiàn)第三方資產(chǎn)以及因并購或合資而積累的資產(chǎn)。

應(yīng)用特點(diǎn)分析

• 由一家快速發(fā)展的初創(chuàng)公司開發(fā)，產(chǎn)品決策鏈條高效簡潔。
• 有眾多創(chuàng)新的應(yīng)用功能。
• 產(chǎn)品成熟度不高，尚未達(dá)到非常穩(wěn)定的運(yùn)行狀態(tài)。

Reflectiz

Reflectiz專注于監(jiān)測管理通過第三方應(yīng)用程序引入的Web攻擊面，可以快速檢測和顯示基于Web的攻擊面。Reflectiz還帶有內(nèi)置的隱私合規(guī)功能，能夠?qū)?yīng)用違規(guī)檢測納入其攻擊面管理解決方案中。

應(yīng)用特點(diǎn)分析

• 內(nèi)置合規(guī)解決方案。
• 不需要安裝軟件，性能表現(xiàn)較好。
• 僅實(shí)現(xiàn)基于客戶端的攻擊面管理。