外部攻击面管理(EASM)选购指南:如何守护您的互联网资产安全

本文详细介绍了外部攻击面管理(EASM)的概念、工作原理及其核心价值。文章深入剖析了EASM产品的关键特性,包括资产发现、安全分析和支持功能,并为企业如何根据自身规模和安全需求选择合适的EASM产品提供了系统性的决策框架。

什么是EASM?

攻击者不断扫描组织的IT系统(硬件、软件、服务和云资产),寻找可用于获取访问权限或窃取数据的弱点。所有潜在的访问点总和被称为“攻击面”,而攻击面管理(ASM)是识别、监控和减少组织所有数字和物理资产漏洞的过程。

外部攻击面管理(EASM)是ASM的一个子集,专注于保护可从互联网访问的在线资产。EASM产品可自动发现您的外部攻击面,帮助您了解风险,并在必要时确定应采取的措施。与“内部”漏洞扫描的成本和专业要求相比,EASM产品为大多数用户提供了进入ASM领域的更低门槛。

由于EASM产品从外部视角扫描您的在线存在,它们为网络防御者呈现了从攻击者视角看到的攻击面视图。这包括可能专门针对您的攻击者,以及那些扫描整个互联网以寻找漏洞进行无差别攻击的攻击者。EASM产品通过确保您对在线系统拥有与潜在攻击者相同(或更好)的可见性,来帮助维持“防御者优势”。

EASM产品可以是快速了解整体外部攻击面并持续监控新风险的有效方式。负责维护多个互联网可访问服务的组织应考虑采用EASM产品,作为其漏洞管理制度的一部分,尤其是在这些服务的中断会影响业务或客户的情况下。

内部与外部ASM

EASM类别中的一些工具提供结合外部和内部的监控,有时称为“网络资产攻击面管理”(CAASM)或简称ASM。提供内部和外部攻击面的整体视图可能需要将软件代理部署到网络中,或与云供应商集成。这可能包括与您现有的端点检测与响应(EDR)能力集成,以丰富从外部视角收集的数据。

注意:本指南侧重于无需额外部署或集成的EASM产品,尽管许多产品会提供这些选项。如果您的需求是关注内部风险,请参阅NCSC关于漏洞扫描工具和服务的单独指南。

EASM产品如何工作?

EASM产品的工作原理是连接到提供的(或由产品发现的)域名和IP地址。这些连接通常是轻量级的,发送和接收识别技术和服务所需的最少数据量。这可能包括尝试连接到资产上的多个不同端口(有时称为端口扫描)以识别服务器上运行的所有不同服务。它还可能包括模拟典型用户与您的在线服务交互的活动,例如浏览网页。

有些EASM产品是独立产品,而有些则将EASM功能集成到现有平台中。虽然EASM产品的具体功能会有所不同(如下所述),但它们都执行以下功能:

  • 发现 – 发现和编目构成您外部攻击面的资产。
  • 评估 – 分析已发现的资产,以识别配置错误、弱点或漏洞。
  • 监控 – 持续重新评估资产以发现变化和新出现的风险。
  • 优先级排序 – 帮助您了解哪些风险需要首先关注。

在几乎所有情况下,使用EASM产品不会增加您在线服务的风险。如果您的服务暴露在互联网上,它们每天已经被各种互联网范围的扫描服务、研究人员以及全球潜在恶意行为者扫描。任何由EASM产品从外部视角进行的扫描和分析,攻击者同样可以进行。采用EASM产品可确保您了解您的哪些服务可以从外部看到和攻击,从而使您能够优先安排防御。

使用EASM产品的好处

虽然可以手动监控外部攻击面,但EASM产品将一系列功能集成到自动化服务中,处理维护不断更新视图的实际挑战,并且通常提供易于使用的界面。如果您尚未维护详尽的资产登记册(包括软件版本、生命周期跟踪和风险评估),EASM产品可以帮助您快速开始。

EASM产品将在您的漏洞管理流程中提供支持,特别是在识别资产和快速发现漏洞方面。EASM产品可以识别您攻击面中比需要修补的特定软件漏洞更广泛的弱点,例如MITRE通用漏洞枚举(CVE)数据库中列出的漏洞。这可能包括不应通过互联网访问的暴露服务、DNS配置错误和电子邮件安全弱点。所有这些问题,包括软件漏洞,都是您攻击面中的脆弱点。因此,EASM产品通常将发现称为“问题”或“风险”而不是漏洞,尽管这也可能包括软件漏洞。

EASM产品提供持续监控和自动资产发现,通常每天刷新。这种定期监控机制为您提供最新信息,并通过减少漏洞暴露与发现之间的时间,并最终缓解漏洞,是实现成功漏洞管理的关键。

最后,EASM产品提供整个攻击面的可见性,使您能够识别特定于您组织的异常情况。这可能包括指向遗留供应商的旧配置、本应停用的服务,或本应仅供内部使用的暴露服务。通过这种方式,EASM产品可以支持满足并监控您业务和安全策略的合规性。要充分利用EASM,您应旨在将产品提供的技术见解与您对业务运营方式的独特洞察相结合。

EASM产品的功能

不同EASM产品的用户体验和功能差异很大,因为开发者已根据不同行业使用不同技术的不同客户需求定制了解决方案。话虽如此,EASM功能可分为以下三类。

可见性与洞察 提供攻击面可见性的功能,用户可以直接访问或查询以识别异常。

  • 资产发现:自动发现和查看在线资产,主要是由您组织拥有或关联的域名(包括子域)和IP地址。
  • 技术识别:查看您组织使用的技术以及可能的具体型号或版本,如Web服务器软件、防火墙或SaaS产品。
  • 服务识别:查看暴露的服务,如SSH、FTP、数据库或Web服务器。
  • DNS配置:查看所有域资产的DNS记录和配置。
  • 网络存在:更深入地查看任何暴露的网站,包括解析网页、识别技术或截屏。
  • 证书:查看您组织使用的TLS证书,包括供应商、过期监控和额外分析。
  • 供应商识别:查看您组织所依赖的技术供应商,包括软件供应商、云服务、ISP、邮件提供商。

安全分析 协助分析攻击面、识别需要处理的风险或问题的功能(通常附带修复建议和解释性参考)。

  • 软件安全:识别未修补或不支持的过时软件、特定的易受攻击的错误配置或其他已知问题。
  • 电子邮件安全:检查反欺骗控制,如SPF、DMARC和MTA-STS。
  • Web安全:检查Web服务器配置、安全HTTP标头的使用、外部依赖。
  • DNS安全:识别易受接管的域,例如悬空CNAME或其他弱DNS配置。
  • 暴露服务:识别不应暴露在互联网上的服务,如数据库,或缺乏所需身份验证或其他弱配置的服务。
  • 漏洞评估:通过使用已知漏洞的良性变体进行测试,检查系统是否容易受到特定漏洞的攻击。
  • 威胁情报:识别与已知资产相关的威胁情报或违规证据。

支持功能 支持进一步探索攻击面、理解风险和确定行动优先级的附加功能。

  • 工作流功能:改进工作流的功能,例如向问题添加评论、标记同事、设置状态字段或将问题分组为行动。
  • 仪表板和视图:提供多种方式查看收集的攻击面信息,允许用户探索数据并识别异常。
  • 历史和趋势:随时间跟踪风险和指标,或能够回顾特定日期的攻击面状态,以便轻松比较和跟踪改进。
  • 汇总报告功能:生成可下载的报告,概述攻击面,包括规模、使用中的技术、最高风险和趋势分析。
  • 原始数据导出:导出安全问题列表,例如CSV格式。
  • 第三方集成(输出):集成包括流入SIEM工具的数据流,或能够在外部分工作流工具中自动创建工单。
  • 第三方集成(输入):集成以向EASM工具提供数据,例如从资产数据库、云清单或其他供应商自动加载信息。这可以丰富工具中的数据,并显著提高资产发现的覆盖率。
  • 可配置的优先级排序:根据您组织自身的风险承受能力调整分配给特定问题的严重性或优先级评级的能力。
  • 分层组织访问控制:建立父子关系,其中一个组织可以查看多个其他组织的数据,但它们无法看到彼此的数据(适用于子公司或为多个客户提供安全服务的组织)。

如何选择EASM产品

选择适合您组织的EASM产品取决于许多因素,包括:

  • 组织的规模和性质
  • 您现有的记录保存和对在线资产的了解
  • 您当前的监控或漏洞扫描水平
  • 您当前面临的安全挑战

没有“一刀切”的解决方案。选择EASM产品是关于确定哪种产品最能满足您组织的特定需求。您还应注意,随着组织的发展,对您而言“最佳”的EASM产品可能会随时间而变化。

本节提供了一系列问题,供您自问(以及您正在接触的任何潜在EASM供应商),以帮助您选择最合适的产品。

  1. 您希望实现什么目标?
  2. 攻击面是如何被发现的?
  3. 谁将访问该工具或需要查看信息?
  4. 您将如何与该工具交互?
  5. 您将如何对已识别的风险进行优先级排序?
  6. 数据需要多及时?
  7. 您是否还需要漏洞评估?

1. 您希望实现什么目标? 考虑您当前面临的安全挑战,以及外部监控如何能支持您。考虑上述概述的不同EASM功能和特性。您可能有任何数量的优先事项,可能包括:

  • 查看您整个攻击面的映射
  • 建立数字资产的准确记录
  • 满足合规性要求的特定监控
  • 确保部署了电子邮件反欺骗控制
  • 在已知存在多重风险的领域优先提供支持

您使用EASM产品的目标越具体,您就越有可能选择适合您的产品。尽管每个组织都是独特的,但我们在下面列出了一些说明典型需求的场景。

  • 示例A:小型企业 组织A是一家没有内部技术支持的小型企业。他们拥有自己的域名,并运行一些网站、电子邮件和第三方之前开发的在线服务。 组织A希望专注于确保其在线资产不易受攻击,这可能是由于维护不足未能保持软件更新。他们需要一个能提供清晰易懂的风险建议和可操作信息的EASM产品,告诉他们需要做什么。
  • 示例B:中小企业 组织B拥有许多多年来创建的子域,用于托管各种Web服务,其中许多已不存在。该组织知道并非所有子域都已被正确停用,可能留下一些容易被网络犯罪分子接管的子域。 组织B希望专注于识别和移除这些旧的子域。他们需要一个在发现子域和检测多种域易受接管场景方面表现良好的EASM产品。
  • 示例C:大型企业 组织C拥有大型IP地址空间,在整个业务中托管许多不同的服务。他们意识到在整个资产中存在着旧的和易受攻击的软件和服务,而安全团队并不知情。 组织C希望专注于识别大量IP地址中已弃用的易受攻击服务。他们需要一个能够支持大型IP范围、擅长服务识别并提供风险导出以便与其他团队共享的EASM产品。

2. 攻击面是如何被发现的? EASM产品的一个基本特性是持续自动发现您的攻击面。发现通常会融合许多技术和非技术数据源,包括DNS和证书信息等公共信息。 EASM产品可能提供额外的API连接器与供应商(如云提供商)集成,以提供更好的资产覆盖。您应该考虑需要哪些集成(如果有的话)以从监控中获得最大价值。 有效的自动发现将在呈现之前验证发现或进行“置信度评分”,并允许您排除任何超出范围的发现。

3. 谁将访问该工具或需要查看信息? 考虑谁需要访问来自EASM产品的信息。不同的用户可能需要访问不同的信息。考虑谁需要了解错误配置或漏洞,以及将采取什么行动。如果您要将信息发送给第三方IT供应商或安全公司,请考虑您可能需要哪些导出功能。 同样,考虑谁需要了解有关已发现攻击面的信息,包括IP地址、域名(包括子域)、证书、网站、服务以及任何其他外部发现的项。不同的工具将以不同的方式显示这些信息。您应考虑是否打算将数据导出到现有工具中,或者是否受益于EASM工具内的附加功能以就地查看和分析数据。 大多数EASM产品都有导出功能,可以提供不同类型的文件,供无法直接访问EASM工具的人共享。如果您打算将信息发送到外部,请要求查看您正在考虑的供应商的示例输出。这可能包括:

  • 单个问题的详细信息(通常导出为PDF文件),用于发送给同事或第三方,以便他们可以采取补救措施解决问题。
  • 为董事会层面理解设计的概述,通常带有图表和指标。
  • 完整的问题列表(包括类型、严重性和实例),通常导出为CSV文件,可以在Excel和其他常用工具中打开。

4. 您将如何与该工具交互? 大多数EASM产品提供可通过Web浏览器访问的界面。有些可以提供与您现有工作流或工单系统的集成。思考您想如何使用EASM工具。您希望它向您推送信息吗,例如通过电子邮件警报?还是您只想在您选择时登录并查看信息? 许多额外的EASM平台功能只有在您登录Web界面时才能访问。对于经验较少的用户,推荐使用这种方式。对于已建立安全监控的组织,请考虑从EASM产品到您现有SIEM工具的馈送是否有帮助,并检查与EASM提供商的兼容性。 您对自己业务策略和背景有最好的理解。询问任何潜在的EASM供应商,他们为您提供了哪些工具和功能来导航EASM数据。考虑您如何识别可能不会自动被标记为风险,但对您的业务来说不可接受的问题或异常。

5. 您将如何对已识别的风险进行优先级排序? EASM产品通常会识别大量问题,其严重性范围很广。考虑您将如何对这些风险进行优先级排序,并决定首先采取哪些行动。您可能希望基于以下因素进行优先级排序:

  • 问题在攻击面中的位置
  • 被利用的可能性
  • 可能发生的影响

您的EASM产品应帮助您专注于对您组织最重要的事项,并优先安排您的行动。这可能包括:

  • 提供任何已发现攻击面和所有发现的清晰来源证明
  • 纳入威胁情报,或使用CISA的已知被利用漏洞(KEV)目录标注CVE漏洞
  • 提供准确的发现,并清楚标记任何置信度低的发现
  • 允许移除误报
  • 能够接受或忽略特定的风险实例或风险类型
  • 工作流功能或外部工作流集成
  • 与供应商(如云提供商、证书颁发机构或DNS提供商)集成,以帮助快速确定需要采取行动的地方

6. 数据需要多及时? EASM产品的一个主要好处是监控的持续性。这有多新取决于底层扫描数据及后续分析的频率。数据越新,以下所需时间就越少:

  • 识别和解决风险
  • 减少组织暴露的时间
  • 验证您的行动是否已解决问题

考虑数据的及时性对您有多重要。这可能包括每小时、每天或每周更新。请注意,更新频率对于工具内的所有类型检查可能并不相同,因此请务必向潜在的EASM供应商询问您的具体要求。有些产品还提供按需扫描,以便在您解决问题后立即检查。

注意:理解攻击面中的弱点需要关于组织使用的不同软件和服务的最新知识、对当前漏洞类型的认识以及对攻击者使用技术的理解。至关重要的是,您选择的EASM供应商要及时了解新的攻击类型和风险,迅速响应新的优先威胁,并不断更新其检测能力和平台特性。

7. 您是否还需要漏洞评估? EASM产品可以在您的系统可能受到分配了CVE编号的已知漏洞影响时警告您。这通常通过确定您使用的技术版本,并与已知易受攻击的版本进行交叉检查来实现。这些警告会告诉您您的软件是否已过时并需要修补。 漏洞评估或漏洞扫描是通过使用精心设计的非恶意载荷进行验证,检查实时系统是否确实容易受到特定漏洞攻击的做法。 一些EASM产品可以与漏洞扫描工具集成,或提供漏洞评估作为附加功能。由于增加了扫描的潜在影响和法律要求,这通常需要额外的配置和权限。 考虑您是否需要将漏洞评估作为EASM产品的一部分。在启用此类功能之前,您应该了解您的组织将如何应对可能触发其他安全软件(如入侵检测系统)的扫描。询问任何潜在的EASM供应商,您将如何能够快速识别他们的流量,以便您的安全团队不会浪费时间将扫描作为潜在攻击进行调查。

注意:如果您选择不使用EASM产品的漏洞扫描,您仍可能收到来自互联网上扫描器和无差别攻击者的此类流量。

设计良好的EASM产品会负责任地进行扫描。它们限制了扫描对服务的影响,无论是在带宽还是侵入性方面,并允许用户调整容忍度。特别是对于漏洞扫描,流量应易于识别为源自EASM产品,包括提供源IP并在可行的地方标记流量(例如在HTTP User Agents中)。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次