近日工商銀行、波音公司、迪拜環(huán)球港務集團等巨頭因未能及時修復暴露資產(chǎn)的高危漏洞或錯誤配置而接連遭遇勒索軟件攻擊，再次凸顯了攻擊面管理（ASM）的重要性。

根據(jù)Sevco最新發(fā)布的《2023年企業(yè)攻擊面調(diào)查報告》11%的企業(yè)IT資產(chǎn)缺少端點保護，15%的IT資產(chǎn)未被企業(yè)補丁管理解決方案覆蓋，31%的IT資產(chǎn)未被企業(yè)漏洞管理系統(tǒng)覆蓋。中小企業(yè)的情況更糟，未使用托管安全服務的中小企業(yè)中，21%的IT資產(chǎn)缺少端點保護。

攻擊面管理是加強主動防御能力的關鍵所在，但對于大多數(shù)企業(yè)（尤其是中小企業(yè)）來說，隨著數(shù)字化和云計算應用的不斷深入，資產(chǎn)增長、遷移、變動加劇，提高攻擊面可見性變得越來越有挑戰(zhàn)性。雪上加霜的是，很多企業(yè)安全團隊往往缺乏足夠的人才和預算實施成熟的商業(yè)攻擊面管理解決方案。

為了幫助缺乏足夠資源的企業(yè)提高攻擊面管理能力，本文我們將介紹“DIY”攻擊面管理方案的工具和方法。

如何修補和強化未知資產(chǎn)？

今天，企業(yè)的資產(chǎn)規(guī)模不斷擴大，除經(jīng)營實體外，還蔓延到云和第三方托管設施。不同規(guī)模的企業(yè)資產(chǎn)，例如域名、子域名和企業(yè)IP地址范圍內(nèi)的資產(chǎn)數(shù)量動輒數(shù)千、數(shù)十萬甚至數(shù)百萬不等。

臨時的錯誤配置或暴露可能隨時出現(xiàn)，雖然可以很快修復，但檢測難度很大。因此，攻擊面管理工具必須有極高的可擴展性和速度，才能平衡可接受的準確性損失水平，縮短查找資產(chǎn)和檢測短暫風險的時間。對于數(shù)百萬資產(chǎn)規(guī)模的攻擊面，傳統(tǒng)的慢速掃描已經(jīng)過時了。

攻擊面管理可以看作是一種遞歸發(fā)現(xiàn)練習，不斷地以新知識（信息）為基礎來識別更多的資產(chǎn)和組織環(huán)境。通常只需一個初始域名或“種子數(shù)據(jù)點”即可開始。

用于發(fā)現(xiàn)資產(chǎn)的許多數(shù)據(jù)源可以完全被動地運行，且無需與目標組織的基礎設施交互。

在執(zhí)行基本的資產(chǎn)發(fā)現(xiàn)任務時，企業(yè)安全團隊需要回答一些初始問題：

外部攻擊者如何觀察我的企業(yè)？例如歷史收購、垂直行業(yè)、歷史事件等，以及：

• 我的企業(yè)控制多少個域名？
• 我的企業(yè)有多少個子域名？
• 我的企業(yè)有多少個網(wǎng)段？
• 資產(chǎn)分布在哪些云提供商上？
• 在已發(fā)現(xiàn)的資產(chǎn)中，有多少擁有活躍的DNS記錄？
• 在發(fā)現(xiàn)的資產(chǎn)中，有多少擁有開放端口/可定位服務？
• 其中有多少資產(chǎn)已登記在資產(chǎn)清單中？

安全團隊可以通過無數(shù)途徑來獲取企業(yè)的攻擊面信息，可謂“條條大道通羅馬”，這也意味著企業(yè)完全可以DIY自己的攻擊面管理用例。

如何用開源工具DIY攻擊面管理方案

攻擊面管理如今已經(jīng)從“小眾”網(wǎng)絡安全市場迅速成長為大多數(shù)企業(yè)安全策略的“剛需”和重要組成部分。用戶市場關注度的飆升推動了攻擊面識別方法和技術的創(chuàng)新和研究。大量的開源工具套件已被開發(fā)出來，可通過SaaS平臺甚至第三方專業(yè)人士提供攻擊面管理服務。

企業(yè)可以使用開源命令行工具快速深入了解其攻擊面的全貌，這些工具可用于搭建簡單、可重復和可擴展的攻擊面管理工作流程，幫助識別資產(chǎn)邊界變化。

如果企業(yè)無法獲得商業(yè)攻擊面管理供應商的支持，那么利用開源工具自行搭建這些工作流程和方案也可以支持許多安全用例，其效果和競爭力甚至不比某些付費工具差。

以下是企業(yè)可以使用流行開源工具輕松創(chuàng)建的安全用例：

• 發(fā)現(xiàn)與企業(yè)主域名關聯(lián)的子域名：使用開源工具（例如Project Discovery的subfinder）可以從各種被動數(shù)據(jù)源（例如證書透明度）獲取信息，以識別與域關聯(lián)的歷史和當前子域。
• 通過活動DNS記錄識別企業(yè)的全部資產(chǎn)：使用開源工具（例如Project Discovery中的dnsx或ZMap Project中的zdns）可以深入了解各種查詢類型中具有當前DNS記錄的資產(chǎn)。此外，通過當前A/AAAA/CNAME記錄識別資產(chǎn)可以使組織確定資產(chǎn)的優(yōu)先級，以進行額外審查和進一步豐富。
• 識別企業(yè)所有活躍的Web應用程序：使用Project Discovery中的httpx或ZMap Project中的zgrab2等開源工具可以識別Web應用程序及其關聯(lián)的Web框架并對其進行指紋識別。此外，創(chuàng)建包含常見標頭信息（例如HTTP服務器、HTTP標題、圖標哈希值）的易于閱讀的CSV/JSON文件并存儲Web應用程序響應，可以輕松識別某些攻擊技術以響應新披露的漏洞。
• 識別常見的文件泄露和錯誤配置：使用Project Discovery中的nuclei等開源工具，企業(yè)可以快速評估其面向公眾的Web應用程序是否存在常見的錯誤配置和高風險文件泄露（例如配置文件）。確保根據(jù)可接受的風險級別適當?shù)貙彶槁┒茨０?。有些漏洞利用是侵入性的，可能會留下痕跡。

上述用例未必是識別某些特定資產(chǎn)類型的最全面或最有效的方法，但足以幫助企業(yè)輕松建立一個初始的可重復機制，用來發(fā)現(xiàn)企業(yè)資產(chǎn)邊界的盲區(qū)，確定需要改進的地方。

最后，大多數(shù)企業(yè)經(jīng)常在第三方網(wǎng)站和代碼托管平臺（例如GitHub）上存放重要資產(chǎn)，這些網(wǎng)站和代碼托管平臺可能會無意中公開暴露敏感信息。如果機密信息掃描儀沒有及時發(fā)現(xiàn)和標記這些敏感信息，將導致憑證和敏感信息的長期暴露。

企業(yè)可以使用GitHub事件API開源工具實時監(jiān)控可歸因于其主域名的公共GitHub提交，從而保持領先一步。雖然這不是檢測企業(yè)機密信息泄露的完整方法，但與GitHub預提交掛鉤和更廣泛的安全策略結合使用時，可以顯著縮短修復信息漏點的時間并改善整體安全狀況。

總之，大量收集企業(yè)資產(chǎn)相關信息只是一個起點，企業(yè)應該建立持續(xù)的監(jiān)控和評估機制，實時監(jiān)控網(wǎng)絡活動，及時發(fā)現(xiàn)和響應安全事件，定期評估安全策略的有效性，并根據(jù)評估結果進行調(diào)整優(yōu)化。