随着网络攻击手段的日益复杂化和多元化,安全威胁不再局限于传统的病毒和恶意软件,传统的网络安全防御措施逐渐暴露出其在应对新兴威胁方面的不足。另一方面,产业的数字化转型,将各分散业务单元集中式线上管控,对数字资产的可控性和自主性需求增大。其组织的信息系统不再局限于本地部署,云、容器、物联网等体系架构的复杂化,导致组织面向公众的数字资产不断扩展,将衍生出更多的潜在可利用资产和漏洞,形成大量的攻击面。传统物理机房的边界防护不再适用于企业数字化转型后的安全建设,如何管理好企业攻击面成为安全建设重点挑战。
攻击面管理(ASM)是⼀种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法。
攻击⾯管理(ASM)是为了应对数字时代越来越复杂的网络环境而出现的新兴技术。区别于传统的网络安全被动防御手段(防火墙等),其最大特性就是以外部攻击者视角来审视企业网络资产可能存在的攻击面及脆弱性,重点关注资产暴露面可被利用的攻击可能性,强调整个企业资产可能存在的脆弱性,包含已知及未知的资产、数字资产、漏洞及泄漏信息等。ASM的核心,将帮助用户能够更好地理解并控制潜在被攻击者利用的弱点,从而降低遭受网络攻击的风险。
ASM概念最早由全球IT研究机构Gartner于2018年提出,并将攻击面纳为整体网络安全风险管理计划的⼀部分,由此攻击面管理开始作为一个独立的安全领域存在。2021年7月,Gartner发布了《Hype Cyclefor Security Operations,2021》,将攻击面管理(ASM,AttackSurface Management)相关技术定义为新兴技术。
攻击面管理是对网络安全实战化和动态防御的最佳实践,它结合了技术、流程、人员和合规性等多个方面,以更有效地管理和减少企业的网络安全风险。随着技术的不断进步和威胁环境的不断变化,攻击面管理将帮助企业更好的应对数字时代新的安全挑战。
攻击面管理既是一个新兴技术,一个新兴的方法论,亦是一个天然的技术融合架构。可以有效整合漏洞扫描(VA)、突破和攻击模拟(BAS)、扩展检测和响应(XDR)、威胁情报(TI)、漏洞优先级(VPT)等各种安全能力,并结合用户需求,提供网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)、数字风险保护(DRPS)等场景化应用,实现攻击面的有效检测、分析、响应和监控。攻击面管理架构体系自上而下分别为基础技术、安全能力和应用场景。
ASM是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法。实施攻击面管理具有以下优势:
数字资产发现与清点-全面的资产清点,识别最完整的资产暴露面
资产的多样性既包含了像物联网、传感器、打印机、摄像机等非传统的IT资产,也包括像网站域名、数字证书、敏感数据、业务API、云资产、SaaS应用、第三方组件等。除已知资产外,攻击面管理更关注未知资产,包括影子资产、隐匿资产、被遗忘的老化资产、本应下线的应用程序/镜像/微服务,以及恶意资产(钓鱼网站)、分子公司和分支机构的资产、供应链资产;
漏洞扫描与自动化渗透-多维度的自动化测试,以攻击者视角绘制完整的资产攻击面
漏洞的多样性既包含了传统的软件缺陷、弱口令(狭义的漏洞),也包括配置缺陷、不当权限、泄漏数据、过期证书、钓鱼网站、供应链漏洞。当前企业除了能够快速的检测到漏洞外,还需要够便捷的对漏洞进行验证,确定人员从海量漏洞误报里解脱出来;同时,还需以攻击者视角持续不断的检测客户网络的内外部环境,确保网络防御体系的有效性;
漏洞优先级评估-基于风险的漏洞管理,将精力聚焦在有价值的漏洞修复上
并不是所有的扫描器检测出的漏洞都需要修复,也并不是所有的漏洞一经价值评估后其危害性就一成不变;企业需采用漏洞优先级评估技术,除考虑漏洞自身危害性,漏洞扩散范围,漏洞情报以外,还需引入资产价值,让企业漏洞风险与业务更相关;漏洞优先级评估模型更允许运营人员在实际应用过程中对资产的价值进行动态调整,从而能够有效的帮助企业识别真正高危的漏洞风险,将精力聚焦在有价值的漏洞修复上。
实时情报预警-新一代扩展威胁情报,先于攻击者发现弱点和漏洞
情报预警的价值,是通过早期预警信号来缩短威胁的检测和响应时间。新一代的扩展威胁情报(XTI)将防御者思维转换为攻击者思维,从攻击者的角度来思考和处理安全问题;将国家级监管通报、实时漏洞情报、外部攻击面管理(EASM)进行结合,监控和处理包括漏洞数据库、社交媒体、SSL证书、域名注册、泄漏数据、暗网资源、代码存储库等数据源,通过识别被遗忘的资产或影子资产来了解不断变化的外部攻击环境,及早发现弱点和漏洞,先于攻击者进行预警。
安全运营闭环-通过简化的工作流集成,缩短漏洞响应时间
通过自动聚合、关联和规范化以及知识图谱的可见性,消除在复杂网络环境中管理数千甚至上万台设备的复杂性;采用更加人性化、自定义的流程和生态化API接口,实现持续的检测响应,不断发现安全差距、验证控制策略有效性,加快响应速度;自定义流程通过详尽的漏洞修复手册、及时的漏洞情报、有效的修复验证、简化的工作流程集成,通过简单的集成,简化自动化响应的工作流,提高响应速度与效率。
随着全球数字经济的快速发展,云计算、5G、工业互联网、物联网等新技术的应用不断带来新的网络安全挑战,SaaS化的应用程序、IT供应链、智能物联网设备也逐渐形成了新型的攻击面, 而攻击面管理将帮助企业在日益复杂的网络威胁面前保持主动和警惕,甚至成为供应链安全的重要组成。(关联文章请点击下方链接)
作为网络安全领域的一个重要分支,为了更好地保护企业的数字资产,网络安全供应商需要不断地更新和完善ASM 策略和工具。未来攻击面管理将从传统的场景逐渐扩展到新兴技术领域场景,并提供跨领域、跨技术平台的数字资产及其攻击面管理能力。ASM将在人工智能和机器学习技术发展的推动下,能够更加自动化和智能化,能够更快速、更准确地识别和评估攻击面,同时与现有的安全工具和流程集成,形成一个协同工作的生态系统,对企业的数字资产攻击面与脆弱性进行持续监测和实时响应。
往期回顾
资质荣誉
核心客户
原文始发于微信公众号(华云安):一文速解攻击面管理的关键要点与优势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论