外部攻击面管理(EASM)选购指南:守护您的数字资产安全

本文详细阐述了外部攻击面管理(EASM)的核心概念、工作原理、产品优势与关键功能,并为企业如何根据自身规模和安全需求选择合适的EASM解决方案提供了一套完整的评估框架和决策路径。

外部攻击面管理(EASM)选购指南

一份为您的组织选择合适EASM产品、并考量所需安全特性的指南。

什么是EASM?

攻击者持续扫描组织的IT系统(硬件、软件、服务和云资产),寻找可利用的弱点以获取访问权限或窃取数据。所有潜在的访问点总和被称为“攻击面”,而攻击面管理(ASM)是识别、监控和减少组织全部数字与物理资产漏洞的过程。

外部攻击面管理(EASM)是ASM的一个子集,专注于保护可从互联网访问的在线资产。EASM产品提供对您外部攻击面的自动化发现,帮助您了解风险,并在必要时采取行动。与“内部”漏洞扫描的成本和专业知识相比,EASM产品为大多数用户提供了进入ASM领域更低的门槛。

由于EASM产品从外部视角扫描您的在线存在,它们为网络防御者提供了从攻击者视角看到的攻击面视图。这包括可能专门针对您的攻击者,以及那些扫描整个互联网以无差别利用漏洞的攻击者。EASM产品通过确保您与潜在攻击者拥有相同(或更好)的对在线系统的可见性,有助于维持“防御者优势”。

EASM产品可以作为一种有效方式,快速建立对整体外部攻击面的理解,并持续监控新的风险。对于负责维护多个可通过互联网访问的服务作为其漏洞管理机制一部分的组织,特别是那些服务中断会影响业务或客户的组织,应考虑使用EASM产品。

内部与外部ASM

EASM类别中的一些工具提供结合外部和内部的监控,有时称为“网络资产攻击面管理”(CAASM)或直接称为ASM。提供内部和外部攻击面的整体视图可能需要将软件代理部署到网络中,或与云供应商集成。这可以包括与您现有的端点检测与响应(EDR)能力集成,以丰富从外部视角收集的数据。

注意: 本指南侧重于无需额外部署或集成的EASM产品,尽管许多产品会提供这些选项。如果您的需求侧重于内部风险,应参考NCSC关于漏洞扫描工具和服务的单独指南。

EASM产品如何工作?

EASM产品通过连接到提供的(或由产品发现的)域名和IP地址来工作。这些连接通常是轻量级的,发送和接收识别技术和服务所需的最少数据量。这可能包括尝试在多个不同端口上连接资产(有时称为端口扫描)以识别服务器上运行的所有不同服务。它还可以包括模拟典型用户如何与您的在线服务交互的活动,例如浏览网页。

一些EASM产品是独立产品,而另一些则将EASM功能集成到现有平台中。虽然EASM产品的具体功能会有所不同(如下所述),但它们都执行以下功能:

  • 攻击面发现与识别
  • 持续监控与变化检测
  • 风险评估与优先级排序

在几乎所有情况下,使用EASM产品不会增加您在线服务的风险。如果您的服务暴露在互联网上,它们每天已经被各种全网扫描服务、研究人员以及全球潜在的恶意行为者扫描。任何由EASM产品从外部视角进行的扫描和分析,攻击者同样可以进行。采用EASM产品可确保您知道您的哪些服务可以被外部看到和攻击,从而使您能够优先安排防御措施。

使用EASM产品的好处

虽然可以手动监控您的外部攻击面,但EASM产品将一系列功能整合到一个自动化服务中,处理保持不断更新视图的实际挑战,并通常提供易于使用的界面。如果您尚未维护详细的资产登记册(包括软件版本、生命周期跟踪和风险评估),EASM产品可以帮助您快速上手。

EASM产品将支持您的漏洞管理流程,特别是在识别资产和快速发现漏洞方面。EASM产品可以识别您攻击面中比特定需要修补的软件漏洞(例如MITRE通用漏洞枚举[CVE]数据库中列出的)更广泛范围的弱点。这可能包括不应通过互联网访问的暴露服务、DNS错误配置和电子邮件安全弱点。所有这些问题,包括软件漏洞,都是您攻击面中的薄弱点。因此,EASM产品通常将发现项称为“问题”或“风险”而非漏洞,尽管这也可能包括软件漏洞。

EASM产品提供持续的监控和自动化资产发现,通常每天刷新。这种定期监控机制为您提供最新信息,并通过缩短暴露与发现之间的时间,最终缩短漏洞缓解时间,是成功进行漏洞管理的关键。

最后,EASM产品提供了对整个攻击面的可见性,这使您能够识别特定于您组织的异常情况。这可能包括指向遗留供应商的旧配置、本应停用的服务,或本应仅为内部使用的暴露服务。通过这种方式,EASM产品可以支持达到并监控您的业务和安全策略的合规性。为了充分利用EASM,您应努力将产品提供的技术见解与您对业务运营方式的独特见解结合起来。

EASM产品的功能

不同EASM产品的用户体验和功能差异很大,因为开发人员已针对不同行业使用不同技术的不同客户定制了他们的解决方案。尽管如此,EASM功能可分为以下三类。

可见性与洞察

提供攻击面可见性的功能,用户可以直接访问或查询以识别异常。

  • 资产发现: 自动发现和可视化在线资产,主要是由您的组织拥有或关联的域名(包括子域名)和IP地址。
  • 技术识别: 可视化您的组织使用的技术,并在可能的情况下识别具体型号或版本,例如Web服务器软件、防火墙或SaaS产品。
  • 服务识别: 可视化暴露的服务,如SSH、FTP、数据库或Web服务器。
  • DNS配置: 可视化所有域资产的DNS记录和配置。
  • 网络存在: 对任何暴露网站的深入查看,包括解析网页、识别技术或截图。
  • 证书: 可视化您的组织正在使用的TLS证书,包括供应商、到期监控和额外分析。
  • 供应商识别: 可视化您的组织所依赖的技术供应商,包括软件供应商、云服务、ISP、邮件提供商。

安全分析

协助分析攻击面、识别需要处理的风险或问题(通常附带修复建议和解释性参考)的功能。

  • 软件安全: 识别未修补或不支持的过时软件、特定的易受攻击的错误配置或其他已知问题。
  • 电子邮件安全: 检查反欺骗控制,如SPF、DMARC和MTA-STS。
  • Web安全: 检查Web服务器配置、安全HTTP标头的使用、外部依赖。
  • DNS安全: 识别易受接管攻击的域名,例如悬空CNAME记录或其他薄弱的DNS配置。
  • 暴露服务: 识别暴露在互联网上本不应暴露的服务,例如数据库,或缺乏所需身份验证的服务或其他薄弱配置。
  • 漏洞评估: 通过使用已知漏洞利用的无害变体进行测试,检查系统是否易受特定漏洞攻击。
  • 威胁情报: 识别与已知资产相关的相关威胁情报或违规证据。

支持功能

支持进一步探索攻击面、理解风险和确定行动优先级的附加功能。

  • 工作流功能: 改进工作流程的功能,例如向问题添加评论、标记同事、设置状态字段或将问题分组到行动中。
  • 仪表板与视图: 提供多种方式查看收集的攻击面信息,允许用户探索数据并识别异常。
  • 历史与趋势: 随时间跟踪风险和指标,或能够查看特定日期的攻击面状态,以便轻松进行比较和跟踪改进。
  • 摘要报告功能: 生成可下载的报告,概述攻击面,包括规模、使用中的技术、最高风险和趋势分析。
  • 原始数据导出: 导出安全问题的列表,例如CSV格式。
  • 第三方集成(输出): 集成,包括将数据流输入SIEM工具,或能够自动在外部工作流工具中创建工单。
  • 第三方集成(输入): 集成,以向EASM工具提供数据,例如自动从资产数据库、云清单或其他供应商加载信息。这可以丰富工具中的数据,并显著提高资产发现达到的覆盖范围。
  • 可配置的优先级排序: 能够根据您组织自身的风险承受能力调整分配给特定问题的严重性或优先级评级。
  • 分层组织访问控制: 设置父子关系,其中一个组织可以跨其他几个组织查看数据,但它们不能看到彼此的数据(对于子公司或为多个客户提供安全服务的机构有用)。

如何选择EASM产品

选择适合您组织的EASM取决于许多因素,包括:

  • 您组织的规模和性质
  • 您现有的记录保存和对在线资产的了解
  • 您当前的监控或漏洞扫描水平
  • 您当前面临的安全挑战

没有“一刀切”的解决方案。选择EASM产品是关于确定哪种产品最能满足您组织的特定需求。您还应注意,对您“最好”的EASM可能会随着组织的发展而随时间变化。

本节提供了一系列问题,供您自问(以及您正在接触的任何潜在EASM供应商),以帮助您选择最合适的产品。

  1. 您试图实现什么目标?
  2. 攻击面是如何被发现的?
  3. 谁将访问该工具或需要查看信息?
  4. 您将如何与工具交互?
  5. 您将如何确定已识别风险的优先级?
  6. 数据需要多新鲜?
  7. 您是否还需要漏洞评估?

1. 您试图实现什么目标?

思考您当前面临的安全挑战,以及外部监控如何支持您。考虑上述概述的不同EASM功能和特性。您可能有任何数量的优先事项,可能包括:

  • 查看整个攻击面被映射出来
  • 建立准确的数字资产记录
  • 满足合规性要求的特定监控
  • 确保部署了电子邮件反欺骗控制
  • 在已知存在多重风险的地方优先提供支持

您使用EASM产品的目标越具体,您就越有可能选择适合您的产品。尽管每个组织都是独特的,但我们在下面列出了一些说明典型需求的场景。

示例A:小型企业 组织A是一家没有内部技术支持的小型企业。他们拥有自己的域名,并运行一些网站、电子邮件和在线服务,这些服务是之前由第三方开发的。 组织A希望专注于确保其在线资产不易受攻击,可能是由于缺乏维护未能保持软件更新。他们需要一个能提供清晰易懂的风险建议和可操作信息的EASM产品,告诉他们需要做什么。

示例B:中小型企业(SME) 组织B拥有许多子域名,这些子域名多年来创建用于托管各种Web服务,其中许多已不再存在。该组织知道并非所有子域名都已被正确停用,可能留下一些易受网络犯罪分子接管的漏洞。 组织B希望专注于识别并移除这些旧的子域名。他们需要一个在发现子域名和检测域名易受接管攻击的多种不同场景方面表现出色的EASM产品。

示例C:大型企业 组织C拥有一个大型IP地址空间,在整个业务中托管许多不同的服务。他们意识到整个资产中存在着老旧且易受攻击的软件和服务,而安全团队并不知情。 组织C希望专注于在大量IP地址中识别已弃用的易受攻击服务。他们需要一个能够支持大范围IP、擅长服务识别并提供风险导出以与其他团队共享的EASM产品。

2. 攻击面是如何被发现的?

EASM产品的一个基本特性是对您攻击面的持续自动化发现。发现通常会融合许多技术和非技术数据源,包括公共信息,如DNS和证书信息。 EASM产品可能提供额外的API连接器以与供应商(如云提供商)集成,从而提供更好的资产覆盖。您应该考虑需要哪些集成(如果有),以便从监控中获得最大价值。 有效的自动化发现在呈现之前会验证发现或给出“置信度评分”,并允许您排除任何超出范围的发现。

3. 谁将访问该工具或需要查看信息?

考虑谁需要访问EASM产品的信息。不同的用户可能需要访问不同的信息。考虑谁需要知道错误配置或漏洞,以及将采取什么行动。如果您将把信息发送给第三方IT供应商或安全公司,请考虑您可能需要哪些导出功能。 同样,考虑谁需要知道已发现的攻击面信息,包括IP地址、域名(包括子域名)、证书、网站、服务以及任何其他外部发现的项。不同的工具将以不同的方式显示这些信息。您应该考虑是否打算将数据导出到现有工具中,或者是否受益于EASM工具内额外的就地查看和分析数据的功能。 大多数EASM产品具有导出功能,可以提供不同类型的文件,以便与无法直接访问EASM工具的人共享。如果您期望将信息发送到外部,请要求查看您正在考虑的供应商的示例输出。这可能包括:

  • 关于单个问题的详细信息(通常导出为PDF文件),用于发送给同事或第三方,以便他们可以采取补救措施解决问题。
  • 为董事会层级理解设计的概述,通常带有图表和指标。
  • 问题的完整列表(包括类型、严重性和实例),通常导出为CSV文件,可在Excel和其他常用工具中打开。

4. 您将如何与工具交互?

大多数EASM产品提供一个可通过Web浏览器访问的界面。有些可以提供与您现有工作流或工单系统的集成。思考您希望如何使用EASM工具。您希望它将信息推送给您吗,例如通过电子邮件警报?或者您只希望在您选择时登录并查看信息? 许多额外的EASM平台功能只有在您登录Web界面时才能访问。对于经验较少的用户,推荐这种使用产品的方式。对于已建立安全监控的组织,请考虑从EASM产品到您现有SIEM工具的馈送是否有帮助,并检查与EASM提供商的兼容性。 您最了解自己的业务策略和上下文。询问任何潜在的EASM供应商,他们为您提供了哪些工具和功能来导航EASM数据。考虑您如何识别可能不会自动被标记为风险,但对您的业务来说是不可接受的问题或异常情况。

5. 您将如何确定已识别风险的优先级?

EASM产品通常会识别大量问题,其严重性范围很广。考虑您将如何确定这些风险的优先级并决定首先采取哪些行动。您可能希望根据以下因素确定优先级:

  • 问题在攻击面中的位置
  • 被利用的可能性
  • 可能发生的影响

您的EASM产品应帮助您专注于对您组织最重要的事项,并确定行动的优先级。这可能包括:

  • 提供任何已发现攻击面和所有发现项的清晰来源证明。
  • 纳入威胁情报,或使用来自CISA的已知被利用漏洞[KEV]目录注释CVE漏洞。
  • 提供准确的发现,并清楚标记任何置信度低的发现。
  • 允许移除误报。
  • 能够接受或忽略特定的风险实例或风险类型。
  • 工作流功能或外部工作流集成。
  • 与供应商(如云提供商、证书颁发机构或DNS提供商)的集成,以帮助快速识别需要采取行动的地方。

6. 数据需要多新鲜?

EASM产品的一个主要好处是监控的持续性。数据的更新程度取决于底层扫描数据及后续分析的频率。数据越新,所需时间越短:

  • 识别和解决风险
  • 减少您组织暴露的时间
  • 验证您的行动是否已解决问题

考虑数据的及时性对您有多重要。这可能包括每小时、每天或每周更新。请注意,更新频率可能并非工具内所有类型的检查都相同,因此务必向潜在的EASM供应商询问您的特定需求。一些产品还提供按需扫描,以立即检查您是否已解决问题。

注意: 理解攻击面中的弱点需要最新的关于组织使用的不同软件和服务的知识、对当前漏洞类型的了解以及对攻击者所用技术的理解。至关重要的是,您选择的EASM供应商能跟上新攻击类型和风险的步伐,快速响应新的优先威胁,并持续更新其检测能力和平台功能。

7. 您是否还需要漏洞评估?

EASM产品可以警告您,如果您的系统可能受到已分配CVE编号的已知漏洞的影响。这通常通过确定您正在使用的技术版本,并将其与已知易受攻击的版本进行交叉检查来实现。这些警告将告诉您您的软件是否已过时需要打补丁。 漏洞评估或漏洞扫描是通过使用精心设计的非恶意有效载荷进行验证,检查实时系统是否确实易受特定漏洞攻击的做法。 一些EASM产品可以与漏洞扫描工具集成,或提供漏洞评估作为附加功能。由于这会增加扫描的潜在影响和法律要求,通常需要额外的配置和权限。 考虑您是否需要将漏洞评估作为EASM产品的一部分。在启用此类功能之前,您应了解您的组织将如何响应可能触发其他安全软件(如入侵检测系统)的扫描。询问任何潜在的EASM供应商,您将如何能够快速识别他们的流量,以便您的安全团队不会浪费时间将扫描作为潜在攻击进行调查。

注意: 如果您选择不使用EASM产品的漏洞扫描,您仍然可能收到来自互联网各地扫描器和无差别攻击者的此类流量。

设计良好的EASM产品在扫描方面是负责任的。它们限制对扫描服务的影响(在带宽和入侵方面),并允许用户调整容忍度。特别是对于漏洞扫描,流量应易于识别为源自EASM产品,包括提供源IP地址并在可行的地方标记流量(例如在HTTP用户代理中)。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次