攻击面管理 (ASM) 可以持续发现、分析、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击媒介。
与其他网络安全领域不同,ASM 完全从黑客的角度(而不是从防御者的角度)运行。 它可以识别目标,并根据其暴露给恶意攻击者的可能性来评估风险。 ASM 所采用的方法和资源大多与黑客相同,并且许多 ASM 任务和技术都是由熟悉网络犯罪分子行为并擅长模仿其行为的“道德黑客”所设计和执行的。
外部攻击面管理 (EASM) 是一种相对较新的 ASM 技术,有时可以与 ASM 互换使用。 但 EASM 特别关注组织的外部或面向互联网的 IT 资产(有时称为组织的数字攻击面)中出现的漏洞和风险。 ASM 还可以解决组织的物理和社会工程攻击面中的漏洞,例如恶意内部人员或最终用户在防范网络钓鱼诈骗方面接受的培训不足。
新冠病毒疫情加速了云采用、数字化转型和远程工作的扩展,加之普通公司每天都有新资产涌入网络,其数字足迹和攻击面变得更广、更分散,也更加变化多端。
根据 Randori 的《2022 年攻击面管理状态》(链接位于 ibm.com 外部)报告,67% 的组织承受的攻击面在过去 12 个月内有所扩大,69% 的组织在同一时期都遭受到未知或管理不善的互联网资产带来的危害(Randori 是 IBM 公司的子公司)。 Gartner 的行业分析师(链接位于 ibm.com 外部)将攻击面扩大列为 2022 年 CISO 在安全和风险管理方面亟需处理的头等要务。
传统的资产发现、风险评估和漏洞管理流程是在企业网络较为稳定和集中时开发的,现已无法跟上当今网络中新漏洞和攻击媒介的发展速度。 例如,渗透测试可以测试已知资产中的可疑漏洞,但却无法帮助安全团队识别每天新出现的网络风险和漏洞。
而 ASM 的持续工作流程和黑客视角则让安全团队和安全运营中心 (SOC) 能够在面对不断扩大和不断变化的攻击面时建立主动的安全态势。 ASM 解决方案可以实时显示新出现的漏洞和攻击媒介。 它们可以利用传统风险评估和漏洞管理工具与流程中的信息,在分析和确定漏洞优先级时提供更详细的背景。 它们还可以与威胁检测和响应技术相集成,包括安全信息和事件管理 (SIEM)、终端检测与响应 (EDR) 或扩展检测和响应 (XDR),在整个企业范围内进一步缓解威胁并加快威胁响应速度。
ASM 由四个核心流程组成:资产发现、分类和优先级排序、修复以及监控。 同样,由于数字攻击面的规模和形态不断变化,这些过程是持续进行的,ASM 解决方案会尽可能地自动执行这些流程。 其目标是确保安全团队始终拥有漏洞资产的完整且最新的清单,并更快地应对给组织带来最大风险的漏洞和威胁。
资产发现
资产发现可自动持续扫描并识别面向互联网的硬件、软件和云资产,这些资产可能会被黑客或网络犯罪分子用作攻击组织的切入点。 这些资产包括
分类、分析和优先级排序
一旦识别出资产,就会对其进行分类和漏洞分析,并按“可攻击性”进行优先级排序,可攻击性本质上是衡量黑客对它们发起攻击的可能性的客观指标。
资产按照身份、IP 地址、所有权以及与 IT 基础架构中其他资产的关系入库。 根据出现漏洞的可能性、原因(例如,配置错误、编码错误、缺少补丁)以及黑客可能通过这些漏洞发起的攻击类型(例如,窃取敏感数据,传播勒索软件或其他恶意软件),对它们进行分析。
接下来,按照优先级修复漏洞。 确定优先级是一项风险评估工作。通常情况下,会根据以下方面对每个漏洞进行安全评级或风险评分;
修复
通常按优先级顺序修复漏洞。 这包括:
修复还包括实施更广泛的跨资产措施来修复漏洞,例如实施最小特权访问策略或多因子认证 (MFA)。
监控
由于每次部署新资产或以新方式部署现有资产时,组织中攻击面的安全风险都会发生变化,因此要持续监视和扫描在库的网络资产和网络本身以发现漏洞。 持续监控使 ASM 能够实时检测和评估新的漏洞和攻击媒介,并提醒安全团队注意需要立即关注的任何新漏洞。