主页 topics 什么是攻击面管理? 什么是攻击面管理?
攻击面管理可帮助组织发现网络攻击漏洞、确定其优先级并修复这些漏洞。
坐在办公桌前使用笔记本电脑的人
什么是攻击面管理?

攻击面管理 (ASM) 可以持续发现、分析、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击媒介。

与其他网络安全领域不同,ASM 完全从黑客的角度(而不是从防御者的角度)运行。 它可以识别目标,并根据其暴露给恶意攻击者的可能性来评估风险。 ASM 所采用的方法和资源大多与黑客相同,并且许多 ASM 任务和技术都是由熟悉网络犯罪分子行为并擅长模仿其行为的“道德黑客”所设计和执行的。

外部攻击面管理 (EASM) 是一种相对较新的 ASM 技术,有时可以与 ASM 互换使用。 但 EASM 特别关注组织的外部或面向互联网的 IT 资产(有时称为组织的数字攻击面)中出现的漏洞和风险。 ASM 还可以解决组织的物理和社会工程攻击面中的漏洞,例如恶意内部人员或最终用户在防范网络钓鱼诈骗方面接受的培训不足。
组织为何要转而采用攻击面管理

新冠病毒疫情加速了云采用、数字化转型和远程工作的扩展,加之普通公司每天都有新资产涌入网络,其数字足迹和攻击面变得更广、更分散,也更加变化多端。

根据 Randori 的《2022 年攻击面管理状态》(链接位于 ibm.com 外部)报告,67% 的组织承受的攻击面在过去 12 个月内有所扩大,69% 的组织在同一时期都遭受到未知或管理不善的互联网资产带来的危害(Randori 是 IBM 公司的子公司)。 Gartner 的行业分析师(链接位于 ibm.com 外部)将攻击面扩大列为 2022 年 CISO 在安全和风险管理方面亟需处理的头等要务。

传统的资产发现、风险评估和漏洞管理流程是在企业网络较为稳定和集中时开发的,现已无法跟上当今网络中新漏洞和攻击媒介的发展速度。 例如,渗透测试可以测试已知资产中的可疑漏洞,但却无法帮助安全团队识别每天新出现的网络风险和漏洞。

而 ASM 的持续工作流程和黑客视角则让安全团队和安全运营中心 (SOC) 能够在面对不断扩大和不断变化的攻击面时建立主动的安全态势。 ASM 解决方案可以实时显示新出现的漏洞和攻击媒介。 它们可以利用传统风险评估和漏洞管理工具与流程中的信息,在分析和确定漏洞优先级时提供更详细的背景。 它们还可以与威胁检测和响应技术相集成,包括安全信息和事件管理 (SIEM)终端检测与响应 (EDR) 或扩展检测和响应 (XDR),在整个企业范围内进一步缓解威胁并加快威胁响应速度。
ASM 如何工作

ASM 由四个核心流程组成:资产发现、分类和优先级排序、修复以及监控。 同样,由于数字攻击面的规模和形态不断变化,这些过程是持续进行的,ASM 解决方案会尽可能地自动执行这些流程。 其目标是确保安全团队始终拥有漏洞资产的完整且最新的清单,并更快地应对给组织带来最大风险的漏洞和威胁。

资产发现

资产发现可自动持续扫描并识别面向互联网的硬件、软件和云资产,这些资产可能会被黑客或网络犯罪分子用作攻击组织的切入点。 这些资产包括

  • 已知资产 - 组织了解并积极管理的所有 IT 基础架构和资源,包括路由器、服务器、公司发行或私有的设备(PC、笔记本电脑、移动设备)、IoT 设备、用户目录、本地和云端部署的应用程序、网站和专有数据库。

  • 未知资产 - 在 IT 或安全团队不知情的情况下使用网络资源且“不在库”的资产。 影子 IT,即在没有官方管理批准和/或监督的情况下部署在网络上的硬件或软件,是最常见的一种未知资产。 下载到用户计算机的免费字体、通过组织网络使用的个人网站或云应用程序,以及用于访问企业信息的非托管个人移动设备等都属于影子 IT。 孤立 IT,即尚未正确停用的不再使用的旧软件、网站和设备,是另一种常见的未知资产。

  • 第三方或供应商资产 - 纳入组织 IT 基础架构或数字供应链但非组织所有的资产。 这些包括软件即服务 (SaaS) 应用程序、API、公有云或组织网站中使用的第三方服务。

  • 附属资产 - 属于组织子公司网络的任何已知、未知或第三方资产。 合并或收购后,这些资产可能不会立即引起上级组织的 IT 和安全团队的注意。

  • 恶意或流氓资产 - 威胁行为者为目标公司创建或从中窃取的资产。 这可能包括冒充公司品牌的网络钓鱼网站,或者数据泄露后在暗网上共享的被盗敏感数据。

分类、分析和优先级排序

一旦识别出资产,就会对其进行分类和漏洞分析,并按“可攻击性”进行优先级排序,可攻击性本质上是衡量黑客对它们发起攻击的可能性的客观指标。

资产按照身份、IP 地址、所有权以及与 IT 基础架构中其他资产的关系入库。 根据出现漏洞的可能性、原因(例如,配置错误、编码错误、缺少补丁)以及黑客可能通过这些漏洞发起的攻击类型(例如,窃取敏感数据,传播勒索软件或其他恶意软件),对它们进行分析。 

接下来,按照优先级修复漏洞。 确定优先级是一项风险评估工作。通常情况下,会根据以下方面对每个漏洞进行安全评级或风险评分;

  • 分类和分析期间收集的信息;

  • 来自威胁情报源(专有和开源)、安全评级服务、暗网和其他来源的数据,涉及黑客对漏洞的可见性、漏洞利用难易程度以及漏洞的利用方式等;

  • 组织自身的漏洞管理和安全风险评估活动的结果。 其中包含“红队测试”这类活动,它本质上是从黑客的角度进行渗透测试(通常由内部或第三方道德黑客执行)。 红队成员不会测试已知或可疑的漏洞,而是测试黑客可能利用的所有资产。

修复

通常按优先级顺序修复漏洞。 这包括:

  • 对相关资产应用适当的安全控制措施 - 例如,应用软件或操作系统补丁,调试应用程序代码,实施增强的数据加密

  • 控制以前未知的资产 - 为以前不受管理的 IT 设置安全标准,安全地淘汰孤立 IT,消除流氓资产,将子公司资产集成到组织的网络安全战略、策略和工作流程中。

修复还包括实施更广泛的跨资产措施来修复漏洞,例如实施最小特权访问策略或多因子认证 (MFA)

监控

由于每次部署新资产或以新方式部署现有资产时,组织中攻击面的安全风险都会发生变化,因此要持续监视和扫描在库的网络资产和网络本身以发现漏洞。 持续监控使 ASM 能够实时检测和评估新的漏洞和攻击媒介,并提醒安全团队注意需要立即关注的任何新漏洞。
相关解决方案
IBM Security Randori Recon

管理数字足迹的扩展,并通过减少误报实现目标,从而快速提高组织的网络业务连续性。

探索 Randori Recon
IBM Security QRadar® XDR Connect

连接您的工具,实现安全运营中心 (SOC) 自动化,并为最重要的任务腾出时间。

探索 QRadar XDR Connect
漏洞管理服务

采用漏洞管理计划,识别可能暴露最关键资产的漏洞,对其划分优先级并管理修复措施

探索漏洞管理服务
资源 什么是攻击面?

组织的攻击面就是其网络安全漏洞的总和。

 什么是内部威胁?

当有权访问公司资产的用户有意或无意地破坏这些资产时,就会出现内部威胁。

 什么是零信任?

零信任方法要求所有用户 - 无论是在网络外部还是网络内部,都必须经过身份验证、授权和持续验证,才能获得并保持对应用程序和数据的访问权限

 什么是恶意软件?

恶意软件是为了损坏或破坏计算机或网络,或提供对计算机、网络或数据的未经授权的访问而编写的软件代码。

 什么是云安全?

用于保护云计算环境和工作负载的指南。

 什么是数据安全性?

数据安全性是指在整个生命周期内保护数字信息免遭窃取、损坏或未经授权访问的做法。
采取下一步行动

组织在查找和修复受管组织资产上的已知漏洞方面已做得很好。 但是,随着混合云模型的快速采用和对远程员工队伍的永久支持,安全团队越来越难以管理企业攻击面的不断扩展。IBM Security Randori Recon 使用准确的持续发现流程来发现影子 IT,并通过基于对抗性诱惑的相关事实调查结果来快速实现目标。 通过集成现有安全生态系统,简化的工作流程可提高您的整体灾备能力。

探索 Randori Recon