网络洞察 2023 | 攻击面管理

国外安全媒体安全周刊称“与来自 100 多个不同组织的 300 多名网络安全专家进行了联络，以深入了解当今的安全问题——以及这些问题在 2023 年及以后可能会如何演变。其结果是关于从人工智能、量子加密和攻击面管理到风险投资、法规和犯罪团伙等主题的十多个特征。”，最近该媒体发布了多篇网络洞察的文章，我们也可以通过了解他们的一些观点，了解了解国外对应网络安全的一些观点和看法，便于我们吸收借鉴。

关注本公众号并后台回复关键词“河南测评001”获取“网络洞察 2023合集” 若您感觉有点用，请帮忙分享、点赞、在看

攻击面管理——攻击面管理 (ASM) 是一种提供网络安全的方法。IBM 将攻击面描述为“漏洞、路径或方法的总和——有时称为攻击向量——黑客可以利用这些漏洞、途径或方法获得对网络或敏感数据的未授权访问，或进行网络攻击。”

ASM 需要“持续发现、分析、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击向量。与其他网络安全学科不同，ASM 完全是从黑客的角度进行的，而不是防御者的角度。它根据目标给恶意攻击者的机会来识别目标并评估风险。”

因此，ASM 以资产、漏洞和漏洞利用的总体可见性为基础。

边界的消亡和复杂性的增长

OccamSec 的创始人兼首席执行官 Mark Stamford 指出，攻击面管理并不是一个新概念。“只要有需要攻击的东西，就有需要管理的攻击面（例如，城堡的墙壁和里面的人）。” 城堡是一个很好的比喻。如果你能看到墙，你就可以攻击它。你可以摧毁它，你可以使用原始的特洛伊木马从前门进入，你可以找到一个被遗忘和没有保护的入口，或者你可以说服内部人员不锁侧门。

对于防守者来说，依靠墙壁并意识到任何弱点是不够的。人也是攻击面的一部分，防御者需要全面了解整个攻击面以及如何利用它。但隔离墙是一个边界，我们不再需要防御边界——或者至少世界上任何地方持有的每一项资产都有自己的边界。

斯坦福德继续说道：“攻击面，是与组织相关的任何事物，可以成为到达目标的载体。这实际上意味着您所有面向 Internet 的应用程序、所有可访问的服务（应用程序之外）、基于云的系统、您使用的 SaaS 解决方案（取决于坏人的目标是什么）、第三方/供应商链、移动设备、物联网和您的员工。所有这些以及更多都是你的攻击面，所有这些都需要以某种方式进行监控以防止暴露并进行处理。”

与当前其他网络安全方法（例如零信任，它本身可以被视为 ASM 的一部分）一样，对 ASM 的需求来自主要防御边界的消亡。迁移到云、扩展业务转型和远程工作都增加了现代基础架构的复杂性。如果有任何东西接触到互联网，它就会受到攻击。甚至添加将数据发送到云和从云发送数据的新安全控制也会增加攻击面。

Lacework 产品营销管理总监 Aditi Mukherjee 评论道：“到 2023 年，多云和混合云的采用率将继续上升，随着企业继续进行云迁移和数字化转型，他们将意识到采用孤立工具、基于规则的策略和不同安全数据的传统方法实际上会带来更多安全风险，从而为不良行为者创造更大的攻击面。”

但 ASM 不仅仅局限于云。CSO Cybereason 的 Sam Curry 解释说：“传统的攻击面是物理的、数字的和社交的，但数字确实需要分解为经典环境和网络、遗留数据中心、云基础设施和聚合软件即服务拓扑的子域。” 

他不相信 ASM 会提供一个完整的答案，但它是一个可靠的原则，可以最大限度地减少每个域中的暴露，为攻击者提供最少的选择和帮助。“还有围绕身份、应用程序治理和数据中心主义的关键现有和新兴控制平面，需要以类似的方式得到强有力的保护和管理，甚至在考虑围绕混淆和欺骗的先进技术之前。”

他说，所有安全策略都应该考虑降低每个攻击面和控制平面的复杂性，考虑在每个方面获得影响力，减少每个方面的漏洞和暴露，以及如何让完整的安全游戏在每个方面发挥作用。

到 2023 年，攻击面将变得更加复杂和分布更加广泛；而有效的 ASM 将更加复杂。

管理是ASM的关键词

现代基础设施的复杂性使得彻底消除威胁成为一项不可能完成的任务。ASM 不是要消除所有威胁，而是要将威胁降低到可接受的水平。这是风险管理的问题。

“攻击面管理背后的想法是‘减少’可供攻击者利用的‘区域’。‘减少攻击面’越多，就越能限制和减少攻击者造成伤害的机会，”Sophos 威胁研究高级经理 Christopher Budd 说。

他认为，ASM 在 2023 年将更具挑战性，因为攻击者在他们的攻击中越来越激进和成功地滥用合法文件和实用程序——生活在陆地上——使得恶意存在的检测变得具有挑战性。“我们可以预计这种趋势将在 2023 年继续发展，这使得防御者更新他们的检测和预防策略以应对这种特别具有挑战性的策略变得更加重要，”他说。

降低风险的部分原因是了解基础架构中存在哪些漏洞，以及哪些漏洞是可利用的。Pentera 副总裁 Omer Gafni 提醒我们，ASM 从攻击者的角度看待威胁。要有效降低风险，您不仅需要了解存在哪些漏洞，还需要了解哪些漏洞可以被利用并服务于黑客的最终目标。

“由于每年报告的漏洞数量现在超过每年 20,000 个，公司无法修复每一个警报，并且需要在修复策略上变得更加外科手术，为实现这一目标，我们将开始看到从关注漏洞转向可利用性。公司将开始重点了解从黑客的角度来看哪些目标最具影响力，因此也是最容易被利用的目标。”

CISA 的已知被利用漏洞目录（KEV 列表）可以提供帮助。将修复重点放在被利用的漏洞上是 ASM 的关键部分，该目录被许多人描述为“CISA 的必须修补程序列表”。这份名单将在 2023 年继续增长。

Pentesting 和 red teaming 也是定位可利用漏洞的有效方法，但在过去并没有得到有效利用。Trustwave SpiderLabs EMEA 总监 Ed Williams 说：“作为一名渗透测试人员，最令人沮丧的事情之一就是当你一年后回到组织并看到与以前相同的问题时。这对客户来说没有任何价值。他们没有成熟。事实上，他们正在倒退。”

但他预计到 2023 年会有改善——也许是受到 ASM 越来越多的接受的鼓舞。. 在 2023 年，我恳请组织与渗透测试人员合作，以获得最佳的年复一年的结果。”

NetSPI 的医学博士 Chad Peterson 认为，渗透测试的性质和有效性将在 2023 年发生变化，“攻击面变得更加流动，因此您必须能够持续扫描新资产和入口点，到 2023 年，组织将结合传统的渗透测试（在许多情况下仍然需要满足监管需求），以及更持续地评估其攻击面的主动方法。结果将是更好地了解攻击面和更全面的传统渗透测试，因为有更多关于真实攻击面的信息。”

示例问题区域

软件即服务

Obsidian 的首席技术官兼联合创始人 Ben Johnson 选择了 SaaS。“2023 年将是 SSPM [SaaS 安全态势管理] 和保护 SaaS 的一年，”他说。“但要做到这一点，我们必须继续就 SaaS 的风险对组织进行教育。这样做时，组织必须确保其左翼团队（漏洞管理和 GRC）能够降低 SaaS 风险，同时确保其右翼团队（安全运营、事件响应、威胁搜寻）具有持续的威胁管理能力” 

SaaS 安全使组织能够扩展应用安全性，而不仅仅是意识。“现在是分配安全强化和操作以配合分布式技术和分布式责任的时候了。正如我们所知，大流行加速了混合工作模式，过去几年优先考虑端点或公共云安全的组织现在已准备好保护 SaaS 和现代工作流程。”

浏览器

Menlo Security 的高级产品经理 Jonathan Lee 专注于浏览器，这可能是最大的单一威胁面。这是用户花费大部分时间的地方。“供应商现在正在寻找直接在浏览器内添加安全控制的方法，。传统上，这是作为单独的端点代理或在网络边缘使用防火墙或安全 Web 网关完成的。”

他补充说，谷歌和微软等大公司也在采取行动，在 Chrome 和 Edge 内部提供内置控件，以在浏览器级别而非网络边缘进行保护。“但浏览器攻击正在增加，攻击者利用新旧漏洞，并开发新的攻击方法，如HTTP 走私。远程浏览器隔离正在成为零信任安全的关键原则之一，在这种情况下，任何设备或用户——甚至浏览器——都不可信任。”

值得注意的是，2022 年投资者已经对开发安全浏览器技术的初创公司产生了兴趣——例如Red Access和LayerX。

用户

埃德·威廉姆斯 (Ed Williams) 强调了在使用和计算用户方面的失败——并以勒索软件为例。“除非解决潜在的安全问题，否则实施闪亮的新产品和解决方案永远无法阻止包括勒索软件在内的网络威胁。因此，到 2023 年，我希望组织改变他们的心态，不再觉得他们需要最新的诱人技术，而是专注于始终如一地实现以人为本的安全基础。这些基础知识包括打补丁、强密码和详细的安全策略。”

能见度

如果“管理”是 ASM 的关键词，那么“可见性”就是关键推动因素。您只能管理您可以看到的内容。JupiterOne 创始人兼首席执行官郑尔康表示：“到 2023 年，组织应该接受这样一种心态，即赋予团队资产和关系可见性，并克服 AppSec、基础设施和数据安全团队之间的数据孤岛。”

他回忆起约翰·兰伯特 (John Lambert) 的话：“防守者用列表来思考。攻击者用图表思考。只要这是真的，攻击者就会获胜。” 攻击者将获胜，特别是如果网络安全防御者无法快速理解数据、网络和自己网络中用户帐户之间基于图形的关系，从而在受到攻击时限制爆炸半径。

“在组织面临比以往任何时候都更复杂、更具破坏性和不可逆转的威胁的威胁向量中，情境智能可能是取胜的必要条件，这种可见性和理解是攻击面管理技术和实践的主要好处，以及合规性和证据自动化等次要好处。”

Darktrace Federal 的首席执行官 Marcus Fowler 坚信 ASM 将成为 2023 年组织的首要任务。问题是攻击面从来都不是静态的；它随着每天变化的风险水平而不断发展。“追踪攻击面的全部范围不能留给人力资源。它需要来自采用黑客方法的 AI 引擎的实时数据，”他说。他认为，大多数组织目前错过了多达 50% 的真实攻击面。 

“这就是看到人工智能承担发现、评估和优先排序、风险预防和集成等关键 ASM 功能的地方，可以揭示暴露风险的真实水平，只有 AI 的自动化和可扩展性才能提供 CISO 控制攻击面所需的最新、连续的互联网副本。结合 AI 对组织数字资产的独特理解，您将获得一个由外而内、由内而外的风险管理计划，这对未来的 CISO 至关重要。”

ASM 的一部分是外部攻击面管理 (EASM)。Microsoft 将外部攻击面定义为“组织或系统中容易受到来自外部源的攻击的整个区域”。我们应该注意，这不包括恶意或天真的内部人员，他们也应该被视为完整的 ASM 网络安全方法的一部分。尽管如此，2023 年安全厂商发布的 EASM 支持系统数量将越来越多。例如，CrowdStrike 在 2022 年 9 月宣布将收购 EASM 公司 Reposify，预计将在 CrowdStrike 的第三财季完成。

Fortinet 网络安全解决方案和服务副总裁 Karin Shopen 评论说：“为了应对不断发展的攻击策略和不断扩大的攻击面，我们预计 CISO 在 2023 年考虑的工具会发生转变。在攻击面管理方面，CISO 将从一次性评估转变为对其组织的外部攻击面进行持续不断的早期评估。EASM 解决方案有助于为组织提供对手对其攻击面的看法，将成为他们的首选，机器学习和使用提供删除服务的经验丰富的威胁猎人也是如此。首席信息安全官和安全团队将根据 EASM 解决方案的能力更密切地评估他们的能力，这些解决方案不仅可以检测威胁，还可以使用机器学习对威胁进行优先级排序和补救，以帮助资源枯竭的 SOC 团队。”

Netenrich 的 CISO Chris Morales 描述了他自己的方法。“我有一个 2023 年的优先事项——以数据驱动风险决策，我的承诺是从 2023 财年开始，通过量化风险管理实践来驱动数据。这意味着为业务部门提供仪表板和趋势指标，以了解构成其攻击面的资产、漏洞和威胁的状态。由此，我们可以不断对威胁可能性和业务影响进行评分，从而就最佳集中资源的位置做出明智的决策。”

这并不简单，但值得付出努力。“要做到这一点，需要一个紧密集成的安全堆栈，将数据共享到一个聚合数据湖中，以威胁建模并回答问题。”

这一概念得到了 Solvo 首席执行官 Shira Shamban 的支持。“到 2023 年，我们将看到以数据为中心的网络安全方法出现和发展，从本质上讲，网络安全是一个管理组织拥有的所有数据、资产和敏感资源并确定如何保护它们的问题。这些敏感数据通常包括 PII、PHI 或 IP。这是 CISO 和安全从业者最关心的问题，因此安全方法和产品将开始以数据为中心，而不是仅仅关注数据所在的环境。”

2023年的前进方向

攻击面管理是提供有效网络安全的完整方法。它并不寻求保护所有内容，而是专注于 IT 基础架构中可能受到攻击的区域。没有可以提供 ASM 的产品，但越来越多的产品可以提供帮助。它需要所有资产的完整可见性，以及对漏洞利用的详细了解，以便保护资产。就像零信任一样，这是一个旅程——一个正在获得牵引力并将在 2023 年获得更多牵引力的旅程。

Mark Stamford 描述了这个问题并提供了他自己的旅程路线。“ASM 工具会产生大量噪音，可能会让安全团队陷入无数的兔子洞。在急于简化问题的过程中，所有内容都得到了报告，各种漏洞数据也被包括在内。通常会应用一些伪劣的逻辑，这似乎表明如果您有很多面向 Internet 的东西，您将面临更大的风险，这给安全组带来了进一步的压力。我见过 ASM 工具报告旧的 SSL 证书、低级别的漏洞，以及各种实际上几乎没有风险的东西。”

他建议的路线是从发现所有可能造成问题的资产、组织、设备和人员开始。然后评估哪些可能会产生有害影响。“在 AWS 中托管一些静态页面的网络服务器，没有连接到任何东西，可能会让人头疼，但可能不会导致违规，”他说。“另一方面，您的互联网金融系统是一个关键组成部分。”

接下来评估一切是如何连接的——攻击者能否从 A 到达 B 并造成影响。“围绕它画一个圆圈，然后开始研究如何保护它。” 但重要的是，“接受你不需要保护一切并离开那里的事实。”

他总结说，真正的问题是数据无处不在。“这确实扩大了攻击面，所以你必须使用一种逻辑的、基于风险的方法，考虑你的业务环境——你如何实现你想要实现的目标——然后保护它。”

编译自：安全周刊

  

1. >>>等级保护<<<
2. 开启等级保护之路：GB 17859网络安全等级保护上位标准
3. 回看等级保护：重要政策规范性文件43号文（上）

4. 网络安全等级保护实施指南培训PPT
   

5. 网络安全等级保护安全物理环境测评培训PPT
   

6. 网络安全等级保护：等级保护测评过程要求PPT

7. 网络安全等级保护：安全管理中心测评PPT
   

8. 网络安全等级保护：安全管理制度测评PPT
   

9. 网络安全等级保护：定级指南与定级工作PPT
   

10. 网络安全等级保护：云计算安全扩展测评PPT
    

11. 网络安全等级保护：工业控制安全扩展测评PPT
    

12. 网络安全等级保护：移动互联安全扩展测评PPT

13. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
14. 网络安全等级保护：等级测评中的渗透测试应该如何做
15. 网络安全等级保护：等级保护测评过程及各方责任
16. 网络安全等级保护：政务计算机终端核心配置规范思维导图
17. 网络安全等级保护：什么是等级保护？
    
18. 网络安全等级保护：信息技术服务过程一般要求

19. 网络安全等级保护：浅谈物理位置选择测评项

20. 网络安全等级保护：如何各方共同参与做好定级与备案工作
    

21. 网络安全等级保护：网络安全等级保护实施思维导图
    

22. 网络安全等级保护：27号文确立等级保护为基本制度
    

23. 网络安全等级保护：等级保护测评过程及各方责任
    

24. 网络安全等级保护：密钥生存周期及检查思维导图
    

25. 网络安全等级保护：等级保护中的密码技术

26. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

27. 网络安全等级保护：应急响应计划规范思维导图

28. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载

29. 闲话等级保护：什么是网络安全等级保护工作的内涵？
30. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
31. 闲话等级保护：测评师能力要求思维导图
    
32. 闲话等级保护：应急响应计划规范思维导图
    
33. 闲话等级保护：浅谈应急响应与保障
    
34. 闲话等级保护：如何做好网络总体安全规划
    
35. 闲话等级保护：如何做好网络安全设计与实施
    
36. 闲话等级保护：要做好网络安全运行与维护
    
37. 闲话等级保护：人员离岗管理的参考实践

38. 信息安全服务与信息系统生命周期的对应关系

39. >>>工控安全<<<
40. 工业控制系统安全：信息安全防护指南
41. 工业控制系统安全：工控系统信息安全分级规范思维导图
42. 工业控制系统安全：DCS防护要求思维导图
43. 工业控制系统安全：DCS管理要求思维导图
44. 工业控制系统安全：DCS评估指南思维导图
45. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
46. 工业控制安全：工业控制系统风险评估实施指南思维导图
47. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
48. >>>数据安全<<<

49. 数据治理和数据安全

50. 数据安全风险评估清单

51. 成功执行数据安全风险评估的3个步骤

52. 美国关键信息基础设施数据泄露的成本

53. 备份：网络和数据安全的最后一道防线

54. 数据安全：数据安全能力成熟度模型

55. 数据安全知识：什么是数据保护以及数据保护为何重要？

56. 信息安全技术：健康医疗数据安全指南思维导图

57. 金融数据安全：数据安全分级指南思维导图

58. 金融数据安全：数据生命周期安全规范思维导图
    

59. 
    

60. >>>供应链安全<<<

61. 美国政府为客户发布软件供应链安全指南
    

62. OpenSSF 采用微软内置的供应链安全框架
    

63. 供应链安全指南：了解组织为何应关注供应链网络安全
    

64. 供应链安全指南：确定组织中的关键参与者和评估风险
    

65. 供应链安全指南：了解关心的内容并确定其优先级

66. 供应链安全指南：为方法创建关键组件

67. 供应链安全指南：将方法整合到现有供应商合同中

68. 供应链安全指南：将方法应用于新的供应商关系

69. 供应链安全指南：建立基础，持续改进。

70. 思维导图：ICT供应链安全风险管理指南思维导图
    

71. 英国的供应链网络安全评估

72. >>>其他<<<

73. 网络安全十大安全漏洞

74. 安全从组织内部人员开始

75. VMware 发布9.8分高危漏洞补丁

76. 影响2022 年网络安全的五个故事

77. 2023年的4大网络风险以及如何应对

78. 网络安全知识：物流业的网络安全

79. 网络安全知识：什么是AAA（认证、授权和记账）？
80. 全球数十家网络安全公司宣布裁员
    CISO会成为优秀的管理层成员的价值和意义
81. 网络安全裁员对网络安全招聘的影响
82. 分析显示：98% 的公司的供应链关系已被破
83. 网络安全预算逐年增加违规问题不降反增

原文始发于微信公众号（河南等级保护测评）：网络洞察 2023 | 攻击面管理