说一个扎心真相:红队黑掉大部分企业其实并不难

admin 2022年6月17日18:51:38企业安全评论4 views2262字阅读7分32秒阅读模式

| 本文共 2109 字,阅读预计 4 分钟 |

说一个扎心真相:红队黑掉大部分企业其实并不难

你觉得网络攻击的本质是什么?可能很多人并没有想过这个问题。我会告诉你,它的本质其实是信息差。所有的攻击,都缘于黑客知道你的攻击点,但你自己却不知道。
根据MIT技术评论的一个调研显示,50%遭到网络攻击的企业,均因为企业不了解自身的攻击点而导致。但如果从安全的专业视角来看,这些风险其实只要稍微用一点力,工作做到位,就能够化解。而实际情况却恰恰相反,不是因为不努力,而是企业缺少对防御的一个重要认知:攻击面管理

安全角度的资产管理,到底是什么

这些年红蓝对抗下来,资产管理被炒得火热,但静下来一想,其实你会发现我们需要的既不是资产管理,也不是一套企业级的CMDB。
谓CMDB,本质是存储企业硬件资产和软件资产配置项信息的数据库,记录的是不同资产的所有权、负责人、版本等等多个不同的属性及不同资产之间的关系。CMDB很有价值,但CMDB无关安全,它所站的角度不是安全视角,也不是威胁视角。以,它没有动态发现攻击面管理的动机,更不能对资产风险做自定义策略和处置建议。CMDB对实时性没有要求,对自动化也没有强诉求。

最可怕的是,黑客在专心搜寻你的未知攻击面时,你始终在梳理已知的资产,但你还觉得已经和黑客站在了同一认知水平上。所以,到最后你还要面对一个残酷的事实:黑客比你站位更高一筹,在认知上已经远远超过了你。所以我们真正需要的是资产管理么?并不是,我们需要的是攻击面管理。

攻击面:所有可能被黑客利用的点位

如果把企业缩小成一个软件环境,只要是攻击者或未授权用户能够对这个环境输入或提取数据,从而进行攻击,那么所有的这些点位,都是企业的攻击面。也就是说,攻击面是所有可能被黑客利用进入系统的攻击点的集合。


而在谈论攻击面的时候,我们其实是站在攻击者的视角,来思考与描述这个问题的。如果换个维度,站在企业视角,这时攻击面就变成了企业暴露在攻击者面前的资产、接口和人的总和。有内部的,也有外部的,有企业能看到的,也有无法轻易看见的。
说一个扎心真相:红队黑掉大部分企业其实并不难

安全运营中,攻击面管理和资产管理有何区别

 边界大小的区别

攻击面管理的边界远远大于资产管理。攻击面管理可以做到API接口的发现、域名、应用、框架、服务、端口等等,虽然不能完全替代CMDB, 但攻击面管理的边界却是远远大于CMDB的。

 颗粒度粗细的区别

在实际的安全运营过程中,攻击面管理与资产管理,在颗粒度上其实相距甚远。资产管理,管理的是主机,既有隐形资产主机,也有可见资产主机。这些资产谁负责,就属于哪个部门。有的可能更进一步,做了端口,包括哪些端口开放,哪些端口关闭,但颗粒度也就到此为止。

而攻击面管理的颗粒度,能细致到超乎你的想象。举个例子,攻击面管理能做到上传接口的发现和管理,如下图所示:

说一个扎心真相:红队黑掉大部分企业其实并不难
图|微步在线威胁感知平台TDP资产与风险梳理
通过攻击面管理做上传接口发现与管理,会告诉一个企业有多少个可以上传的点,而这些点都可能成为攻击者的攻击目标。
说一个扎心真相:红队黑掉大部分企业其实并不难 微步TDP如何有效做好攻击面管理
想要达到“有效的攻击面管理”,除了对攻击、企业防御、攻击面有一个正确的认知,最关键的是要做到实时与准确。企业上一秒出现攻击面,下一秒被发现,这是实时。如果出现的攻击面,需要一天甚至一周才能知道,企业就非常危险。而准确则是报出的攻击面,都需要做到准确无误,不能瞎报误报。


微步在线威胁感知平台TDP基于协议的细粒度识别,而非常见的基于端口等方法的识别,能保证攻击面梳理的准确性。由于TDP基于流量监听资产,所以在攻击面发现的实时性上,远高于扫描器进行发现,可以做到新上线服务时,立刻提醒相关安全管理者,让企业安全人员对于企业资产有一个实时全局的把控。通过微步TDP,可以这样做好攻击面管理:


  • 网络服务、应用、框架的全面盘点。对于企业拥有的数据库、web服务、远程登录、邮件服务、文件传输、对外开放服务、文件下载、API接口、域名、IP、Web应用、框架等数百种资产,TDP都可以自动进行梳理,并实时展示及通知相关人员处置。


  • 自动对登录入口梳理与登录风险识别。这些年数据泄露事件越来越凶猛,利用泄露的数据对企业发起攻击的更不在少数。如果想要发现针对企业数据的攻击,那么基于用户行为及登录入口的梳理与风险识别就非常关键。TDP能够实现自动化梳理登录类型,以及用户登录行为,然后识别存在的爆破、密码喷洒、撞库或是弱口令风险,形成登录事件,实时展现给安全人员。


  • 企业可自定义资产风险场景监控策略。一个完整的攻击面管理,光有发现不够,还得对风险及时通知,还要足够灵活,并及时处置修复。之所以这样做,因为安全人员的时间有限,要尽量降低安全人员的时间成本。TDP针对端口、服务、主机、内部资产访问、不合规桌面软件等所有的风险场景,都支持企业自定义风险,一旦检出满足企业安全策略的情况,就会立即产生风险报警,供安全人员及时进行风险处置。


此外,很多企业依赖TDP的攻击面梳理,在各种大型攻防演练中所向披靡。在某次攻防演练期间,微步在线安全服务团队基于TDP的全面资产梳理能力,辅助单个企业梳理漏洞2000余个,外网服务收敛从200个以上减少至数个,外联设备从60余个降至10个以内,并消除了所有登录威胁,效果显著。





安全传送门

Free Trial
如需进行攻击面梳理
或试用微步TDP
欢迎扫码联系我们

↓↓

说一个扎心真相:红队黑掉大部分企业其实并不难

说一个扎心真相:红队黑掉大部分企业其实并不难
400-030-1051



· END ·

点击下方名片,关注我们
觉得内容不错,就点下在看
如果不想错过新的内容推送,可以设为星标说一个扎心真相:红队黑掉大部分企业其实并不难

原文始发于微信公众号(微步在线):说一个扎心真相:红队黑掉大部分企业其实并不难

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月17日18:51:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  说一个扎心真相:红队黑掉大部分企业其实并不难 http://cn-sec.com/archives/1123472.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: