攻击面管理能力之(1):数字资产暴露面的识别是攻击面管理的基础

admin 2023年2月12日20:51:26评论40 views字数 1277阅读4分15秒阅读模式

攻击面管理能力之(1):数字资产暴露面的识别是攻击面管理的基础


1            概  述               
对于大型企业来说,攻击面的范围超过了漏洞管理的范畴,数字资产暴露面的识别是攻击面管理的基础,攻击者是以点破面,对攻击者而言,寻找到新的数字资产攻击点作为突破口会达到事半功倍的效果,防护方需要面面俱到,对防护方而言,未识别到的数字资产暴露面,基本都是裸奔或无管理状态,是安全防护体系的短板,一旦被利用少则丢分,重则可能被打穿。
织暴露在互联网上的资产类型已经不再限于传统的IP、网站等类型资产,公众号、小程序、源代码、弱口令、数据等,新兴的未知资产以及VPN、公有云服务、第三方供应链产品以及物联网设备等反而容易被攻击者所利用,逐渐成为了黑客攻击的重要突破口。


2     数 字 资 产 列 表         
全面性、准确性、时效性、细粒度是资产暴露面识别的关键属性。攻击面管理系统以攻击者视角监测完整网络攻击面,通过组织名称拓展到供应商、子组织和分支机构等,可自动化获取组织信息、IT资产、移动资产、数据资产、API资产、仿冒资产等,并进行持续监控。

攻击面管理能力之(1):数字资产暴露面的识别是攻击面管理的基础

1)组织信息:包括组织的子公司、控股公司、分支机构、供应商等相关信息。
2)IT资产:梳理互联网侧的传统IT资产及域名IP、端口、网站、指纹等上下文信息;
3)移动资产:根据关键词定期监测与组织关联的移动资产,及时发现非官方、仿冒的虚假公众号、小程序等,全方位排查非受控的暴露业务系统链接;
4)数据资产:根据关键词监测互联网侧的主流网盘、文库、代码托管平台等数据资产,助力挖掘分析口令密钥、网络结构、配置文件、敏感文档员工信息等关键数据的泄漏风险;
5)API资产:面向互联网开放的应用之间的API交互接口。
6)仿冒资产:主要包括网站仿冒、APP仿冒、污损域名或相似域名、社交账户仿冒。其中网站仿冒指未经备案与安全测试,违规发布于公有云、面向互联网提供服务的私有服务器上的业务系统。APP仿冒指各应用商店中违规、仿冒上线的APP。社交账户仿冒指公司及下属企业违规、仿冒运行的社交账号。

攻击面管理能力之(1):数字资产暴露面的识别是攻击面管理的基础


3     涉 及 的 环 境          

数字资产暴露面涉及的环境包括本地数据中心、云资产和资源(IaaS/PaaS/SaaS)、物联网环境、数字供应链、投资并购企业、公共资源/渠道以及暗网/深网中发现的资产及数据等。

“攻击面管理”能力之(1):数字资产暴露面的识别是攻击面管理的基础

4   数 字 资 产 分 类   

从组织角度来讲,资产可以分为可控资产和不可控资产,可控资产主要是指具备管理权限的资产,比如说软硬件设备、网站系统等。不可控资产主要是仿冒资产、存储在公共平台的数据、供应链资产、供应商的系统或人员等。攻击面管理更遗忘的未知资产、本应下线的应用程序/镜像/微服务等老化资产、分子公司和分支机构的资产、供应链资产等。

“攻击面管理”能力之(1):数字资产暴露面的识别是攻击面管理的基础

在数字资产暴露面的识别的基础上,持续化数字化风险监测则是攻击面管理的必备能力,下一篇文章会继续介绍。




叠加赋能、共建生态,打造精细化高效率分析引擎!
道长且阻、行则将至,做数字经济时代安全守望者!




END

“攻击面管理”能力之(1):数字资产暴露面的识别是攻击面管理的基础
攻击面管理能力之(1):数字资产暴露面的识别是攻击面管理的基础

watcherlab

做数字经济时代的安全守望者

长按扫码可关注



原文始发于微信公众号(守望者实验室):“攻击面管理”能力之(1):数字资产暴露面的识别是攻击面管理的基础

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月12日20:51:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  攻击面管理能力之(1):数字资产暴露面的识别是攻击面管理的基础 https://cn-sec.com/archives/1549304.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: