2022 年公开披露的数据泄露事件超过 4,100 起,暴露了约 220 亿条记录。犯罪分子可以使用窃取的数据进行身份盗用、金融欺诈或发起勒索软件攻击。虽然这些威胁迫在眉睫,但攻击面管理 (ASM)试图与它们作斗争。
ASM 是一种网络安全方法,可以持续监控组织的 IT 基础设施,以识别和修复潜在的攻击点。以下是它如何为组织带来优势。
什么是 ASM?
那么,攻击面管理到底是什么?就此而言,攻击面是什么?攻击面只是可能发生攻击的潜在数字门户的总和——所有可能的风险。
这些可能包括电子邮件服务器、物联网 (IoT) 设备、网络设备、合作伙伴、来自威胁行为者的隐藏代码以及许多其他在线“事物”。主动的网络攻击面管理计划始于了解具体案例。攻击面的完整清单中包含什么?在该评估中,需要正式估计风险并记录每项资产的潜在风险。
如何积极主动地使用 ASM
外部攻击面管理通常涉及减少入口点、访问和特权、运行代码、面向互联网的应用程序、应用程序和服务等。但是在你知道那里有什么之前你不能减少。首先,需要彻底发现、盘点、分类并为所有已知资产分配风险评分。
这还包括第三方拥有的资产,如承包商、供应商、合作伙伴、云提供商等。远程工作的增加会使 IT 资产库存和攻击面的减少变得复杂。但是利用远程工作的攻击的增加也表明需要重新关注 ASM。
记录和估计攻击面的一大好处是它可以对每项资产进行更清晰、更现实的成本效益分析。凭借无限的人员、时间和金钱,可以永远扩大攻击面,同时仍然保持安全。在现实世界中,这些都不是无限的。相反,可以通过缩小攻击面来提高防御能力,然后将资源应用于剩余的攻击面。
而且,它不仅仅是缩小表面。它还与精简和优化有关。
1. 将希望简化、分段您的网络并保持对端点的控制。
2.组合工具。
3. 删除不必要的访问。
4. 尽可能设置访问期限。
5. 跟进员工变动和离职情况,根据需要删除或更改访问权限。
6. 关注特权账户。
而且,所有这些行动都必须通过强大的分析来确定优先级。这其中的任何一部分都不是一次性事件。因为资产总是在不断变化,所以 ASM 是持续的——包括发现、库存、风险分析和所有其他。实时攻击面洞察力就是一切,ASM 可以提供帮助。
在最佳实践中工作
值得注意的是,一些 ASM 实际上只是安全方面的最佳实践——在这里,将看到熟悉的威胁建模、狩猎和关门。最奇特的部分是缩小攻击面。这涉及一些新的思考和探索可以删除、组合或更改的内容。这个过程本质上需要与外部经理、领导者和团队合作。
它还要求能够有说服力地谈论 ASM。对于每个利益相关者来说,这可能并不容易理解。但他们需要理解这一点,因为攻击面减少会要求他们以不同的方式做事。
如何获得攻击面管理的支持
作为此沟通过程的一部分,它有助于 ASM 不仅与安全有关——一个对其他部门的领导者来说似乎抽象和遥远的领域——而且与全球和国家标准有关。随着人们专注于自己紧迫的最后期限,改变每个人的工作方式以防万一发生攻击的想法可能会带来一场艰苦的战斗。然而,越来越多的企业需要遵守法规,因为其中很大一部分需要持续的 ASM。
ASM 的工艺需要人际交往能力——获得领导者的支持和管理层的帮助。而且,所有相关人员都必须组织起来。对数千、数十万或数百万资产的持续盘点和分析需要先进的工具和强大的组织系统。
攻击面管理心态
最重要的是,ASM 是一种心态,是工作场所文化的一部分。而且,因此攻击面管理问题——对安全专家来说如此重要,但对其他人来说却如此抽象——需要成为培训和日常工作的一部分。在远程工作时代更是如此,在这个时代,员工主要管理自己的网络和工具,每天都在做出决策,这些决策会影响触及同事的攻击面。
科技世界的发展通过更快的网络、混合云计算、物联网的发展以及让更多员工在家工作来改变和增强业务。但增长也大大增加了攻击面。因此,我们需要主动管理此攻击面以跟上步伐。
了解攻击面管理
以下是 ASM 中的一些关键术语:
-
攻击向量是威胁行为者用来获得对网络的未授权访问的漏洞或方法。这些漏洞包括恶意软件、病毒、电子邮件附件、弹出窗口、短信和社会工程等载体。
-
攻击面是威胁参与者可能在网络攻击中使用的攻击向量的总和。在任何组织中,所有连接互联网的硬件、软件和云资产都会增加攻击面。
-
影子 IT是在未经 IT 部门同意或不知情的情况下在公司网络上使用的任何软件、硬件或计算资源。影子 IT 通常使用易于利用的开源软件。
-
攻击者使用复杂的计算机程序和编程技术来瞄准攻击面中的漏洞,例如影子 IT 和弱密码。这些网络罪犯发起攻击以窃取敏感数据,例如帐户登录凭据和个人身份信息 (PII)。
为什么攻击面管理很重要?
安全团队可以使用 ASM 实践和工具通过以下方式预防风险:
-
减少盲点以全面了解 IT 基础架构并了解哪些云或本地资产暴露给攻击者。
-
消除影子 IT以删除未知的开源软件 (OSS)或未修补的遗留程序。
-
通过建立一种安全意识文化,让人们更加了解新出现的网络威胁,最大限度地减少人为错误。
-
优先考虑风险。可以熟悉威胁行为者使用的攻击模式和技术。
攻击面管理的工作原理
攻击面管理有四个核心流程:
-
资产发现是自动持续扫描威胁行为者可能攻击的入口点的过程。资产包括计算机、物联网设备、数据库、影子 IT 和第三方 SaaS 应用程序。在此步骤中,安全团队使用以下标准:
-
CVE(常见漏洞和暴露):已知计算机安全威胁的列表,可帮助团队跟踪、识别和管理潜在风险。
-
CWE (Common Weakness Enumeration):常见软件弱点的标准化名称和描述的集合。
-
-
分类和优先级排序是根据攻击者针对每项资产的可能性分配风险评分的过程。CVE 指的是实际漏洞,而 CWE 则侧重于可能导致这些漏洞的潜在弱点。分析后,团队可以对风险进行分类,并制定具有里程碑的行动计划来解决问题。
-
修复是解决漏洞的过程。您可以通过操作系统补丁、调试应用程序代码或更强的数据加密来解决问题。该团队还可以制定新的安全标准并消除来自第三方供应商的流氓资产。
-
监控是实时检测新漏洞和修复攻击向量的持续过程。攻击面不断变化,尤其是在部署新资产(或以新方式部署现有资产)时。
如何在攻击面管理中找到一份工作
从事攻击面管理工作的任何人都必须确保安全团队最全面地了解组织的攻击媒介,以便他们能够识别和应对对组织构成风险的威胁。
招聘公司寻找具有信息系统或安全支持背景和资格的人。最低期望通常包括以下内容:
-
强大的技术安全技能
-
强大的分析和解决问题的能力
-
网络威胁、防御和技术的工作知识
-
操作系统和网络技术的应用知识
-
精通脚本语言,如 Perl、Python 或 Shell Scripting
-
具有攻击面管理和攻击性安全身份技术的经验。
攻击面管理的下一步是什么?
网络资产攻击面管理 (CAASM) 是一种新兴技术,可呈现网络资产的统一视图。这项强大的技术可帮助网络安全团队了解所有系统并发现其环境中的安全漏洞。
没有万能的 ASM 工具——安全团队必须考虑他们公司的情况并找到适合他们需求的解决方案。
一些关键标准包括:
-
易于使用的仪表板
-
广泛的报告功能可提供可操作的见解
-
全面自动发现数字资产(包括未知资产,如影子 IT)
-
资产标记和自定义添加新资产的选项
-
持续运行,几乎没有用户交互
-
安全团队和其他部门的协作选项。
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
原文始发于微信公众号(祺印说信安):网络安全知识:什么是攻击面管理?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论