外部攻击面管理(EASM)采购指南
什么是EASM?
攻击者持续扫描组织的IT系统(硬件、软件、服务和云资产),寻找可利用的弱点来获取访问权限或窃取数据。所有潜在访问点的总和被称为"攻击面",攻击面管理(ASM)是识别、监控和减少组织数字和物理资产中漏洞的过程。
外部攻击面管理(EASM)是ASM的一个子集,专注于保护可从互联网访问的在线资产。EASM产品提供外部攻击面的自动发现,帮助您了解风险并在必要时采取行动。
EASM产品的工作原理
EASM产品通过连接到提供的域和IP地址(或由产品发现)来工作。这些连接通常是轻量级的,发送和接收识别技术和服务所需的最少数据量。这包括:
- 尝试连接到多个不同端口上的资产(有时称为端口扫描)
- 模拟典型用户与在线服务的交互活动
- 识别服务器上运行的所有不同服务
EASM产品的优势
- 自动化资产发现:自动发现和可视化在线资产
- 持续监控:通常每日刷新,提供最新信息
- 全面可见性:提供整个攻击面的可见性
- 风险识别:识别比特定软件漏洞更广泛的弱点
EASM产品功能特性
可见性和洞察
- 资产发现:自动发现域名和IP地址
- 技术识别:识别使用的技术和具体版本
- 服务识别:识别暴露的服务如SSH、FTP、数据库
- DNS配置:查看所有域资产的DNS记录和配置
- 证书监控:监控TLS证书的使用情况
安全分析
- 软件安全:识别未修补或过时的软件
- 电子邮件安全:检查反欺骗控制
- Web安全:检查Web服务器配置
- 漏洞评估:检查系统是否易受特定漏洞攻击
支持功能
- 工作流功能:添加评论、标记同事、设置状态字段
- 仪表板和视图:提供多种查看攻击面信息的方式
- 第三方集成:与SIEM工具和工作流工具集成
如何选择EASM产品
关键考虑因素
- 明确目标:确定您希望通过EASM实现什么
- 攻击面发现方式:了解产品如何发现攻击面
- 用户访问需求:确定谁需要访问工具和信息
- 交互方式:考虑如何与工具交互
- 风险优先级:制定风险优先级排序策略
- 数据时效性:确定所需数据的更新频率
- 漏洞评估需求:评估是否需要漏洞评估功能
典型使用场景
小型企业:关注资产漏洞和可操作建议 中小企业:专注于识别和移除旧的子域 大型企业:在大规模IP地址范围内识别废弃的易受攻击服务
技术实施要点
EASM产品通过混合技术和非技术数据源进行发现,包括DNS和证书信息等公共信息。有效的自动发现在呈现前会验证或"置信度评分"发现结果,并允许排除超出范围的发现。
选择EASM产品时,应考虑产品的扫描频率、数据准确性、误报处理能力以及与现有系统的集成能力。