攻击面发现:如何识别组织的攻击面
关键要点
- 攻击面发现是一个过程,包括根据可见性级别对资产类型进行分类,然后使用软件(如发现工具、外部攻击面管理工具等)来解决可见性差距并识别漏洞。
- 攻击面发现是强大安全态势的基础要素,也是暴露管理的关键第一步。
- 您的攻击面包括数字、物理和人为要素。
- 一旦识别出攻击面,您可以根据组织的风险偏好评估漏洞并确定优先级,从而有效集中修复工作。
攻击面发现的重要性
就像雨后草坪一样,如果不加控制,您的攻击面会迅速增长。攻击面规模的增加伴随着网络安全风险的增加。虽然风险无法完全消除(因为攻击面始终在演变),但您可以管理它,使整体风险水平与您的风险偏好保持一致。
管理网络安全风险始于识别组织的攻击面。更具体地说,您必须识别潜伏在表面之下的内容——暴露您环境的端点、漏洞和其他攻击向量。
主流安全框架一致认为攻击面发现对于强大安全态势至关重要。例如,美国国家标准与技术研究院网络安全框架(NIST CSF)1.1版的第一个功能是"识别",NIST指出:“识别功能中的活动是有效使用框架的基础。“同样,CIS Controls v8包含以下控制措施:
- 控制1——企业资产的清单和控制
- 控制2——软件资产的清单和控制
- 控制7——持续漏洞管理
简而言之,您无法防御您不知道拥有的资产。但是如何弄清楚您拥有什么?
如何开始攻击面发现?
攻击面发现要求您从攻击者的角度审视组织,以找到可利用的资产和相关漏洞。
您的攻击面有三个组成部分:数字攻击面、物理攻击面和人为攻击面。在这里,我们将主要关注发现您的数字攻击面,尽管我们也会简要讨论其他两个方面。
您的数字攻击面包括传统IT资产——硬件(如端点和服务器)以及软件应用程序——以及外部面向互联网的资产,如Web应用程序、IP、域名、SSL证书和云服务。
您的第一步是核算数字攻击面的每个元素并识别可见性差距。您可以将每个元素分类为:
- 已知已知:您知道是攻击面一部分的网络资产。
- 已知未知:您知道是攻击面一部分但可能没有可见性和/或未受管理的网络资产。
- 未知未知:可能是也可能不是攻击面一部分的网络资产——您不知道。
- 不适用:您100%确定不是攻击面一部分的网络资产。
为了更全面地了解攻击面元素,请使用我们可编辑的攻击面清单进行检查。
用于发现和管理攻击面的工具
对资产类型进行分类后的下一步是找出哪些工具或方法可以让您缩小可见性差距,将已知未知和未知未知转化为已知已知。
在攻击面管理的广泛范畴下有更具体的解决方案——网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)和数字风险保护服务(DRPS)。这些工具汇总发现结果以更轻松地识别漏洞,有些还具有对这些漏洞进行优先级排序和修复的功能,使您能够快速根据攻击面洞察采取行动并降低风险。
但在ASM解决方案出现之前,组织就需要发现和管理其数字攻击面。许多组织已经利用——并继续利用——其他方法来实现这一目标。
| 方法 | 描述 | 优点 | 缺点 |
|---|---|---|---|
| 资产发现工具 | 查找并清点连接到网络的硬件和软件资产。 | 已在大多数组织中部署。比电子表格更好。 | 可能存在盲点,如影子IT、第三方系统和业务线应用程序。 |
| 漏洞和攻击模拟(BAS) | 自动测试威胁向量,以更深入了解安全态势漏洞并验证安全控制。 | 生成关于安全差距的报告,并根据风险确定修复优先级。 | 仅关注已知攻击。不提供修复。 |
| 云安全态势管理(CSPM) | 了解云配置的变化。 | 提供对云配置的实时可见性。 | 不显示配置何时偏离合规性或新兴威胁的潜在影响。 |
| 配置管理数据库(CMDB) | 跟踪对系统所做的更改。 | 已在大多数组织中部署。 | 不显示配置何时偏离合规性或新兴威胁的潜在影响。 |
| 自建方法 | 结合电子表格、脚本和手动流程来管理攻击面。 | 从纯成本角度来看便宜或免费(忽略分析师工时)。 | 耗时且容易出错。不可扩展或实时。 |
| IT资产管理(ITAM) | 通过完整生命周期跟踪和监控资产。 | 已在大多数组织中部署。比电子表格更好。 | 仅涵盖已知和受管资产,而忽略攻击面的未知或未受管方面。 |
| 渗透测试(例如,自动化渗透测试工具和渗透测试即服务) | 通过模拟网络攻击识别网络和应用程序中的漏洞。 | 提供安全态势和相关预算优先级的示例。 | 仅关注网络杀伤链的第一阶段:侦察。此外,结果通常是时间点的,且仅与执行模拟的渗透测试人员一样好。 |
| 红队测试 | 通过对网络、应用程序、物理保障措施和员工进行网络攻击模拟,提供组织网络安全态势的全面图景。 | 通过关注网络杀伤链的其他阶段超越渗透测试。还超越数字攻击面,涉及物理和人为攻击面。 | 结果通常是时间点的,且仅与执行模拟的渗透测试人员一样好。 |
| 威胁情报 | 访问有关威胁和其他网络安全问题的信息。 | 为安全专家提供有关威胁和漏洞的情报。 | 面向具有高度成熟安全运营的组织,包括熟练人员和广泛资源。 |
| 漏洞管理工具(例如,扫描器) | 识别和管理基础架构和应用程序中的漏洞。 | 已在大多数组织中部署。 | 对未知资产没有可见性。数据量庞大。 |
虽然这些方法不提供专用ASM解决方案的所有功能,但它们在组织的IT和安全实践中仍然扮演重要角色。
事实上,CAASM工具离不开来自资产发现、ITAM、漏洞管理和/或补丁管理工具的数据。同样,EASM补充了上面列出的威胁情报和安全测试服务。
如何识别组织的物理攻击面?
组织物理攻击面的第一个主要组成部分与数字攻击面重叠。这被称为端点攻击面,主要由连接到网络的所有端点组成:台式计算机、笔记本电脑、移动设备和物联网设备。您用于发现数字攻击面的工具和技术也适用于此处。
物理攻击面的第二个主要组成部分是办公室、数据中心和其他设施。同样,用于识别数字攻击面的技术也与物理攻击面重叠。在这种情况下,这就是红队测试中的物理渗透测试组件。
如何识别组织的人为攻击面?
识别人为攻击面从查看组织结构图开始。任何与组织相关、可以访问敏感信息——或阻止他人访问该信息的人——都会对人为攻击面做出贡献。这不仅包括全职员工,还包括兼职员工、董事会成员、承包商、合作伙伴、供应商、临时工等。
红队测试是一种用于识别数字和物理攻击面元素的做法,也可用于识别人为攻击面的一个主要组成部分:员工对社会工程学的敏感性。
不正确的用户权限分配是人为攻击面的另一个主要贡献者。审查对人为攻击面有贡献的人员可以访问的系统和数据,以及他们拥有的访问级别,是识别该攻击面部分的另一种方法。
我已识别组织的攻击面。接下来怎么办?
发现攻击面是通往最终目标的第一步:修复对组织构成最大风险的漏洞。整体来看,此过程称为暴露管理。
正如我们已经讨论的,攻击面发现是安全战略的基础之一——如果您不知道它的存在,就无法保护它。暴露管理增加了另一个基础支柱,即确定风险偏好。这定义了组织在追求目标时愿意承担的风险量。(您可以使用此可编辑模板制定风险偏好声明。)
解决了这两个基础元素后,您可以评估在攻击面中发现的漏洞,确定它们对组织构成的风险量,以及它们是否在风险偏好范围内(我们在客观网络安全风险评估指南中深入介绍了此过程)。
超出风险偏好的漏洞是您修复的优先事项,使您能够将精力集中在影响最大的地方。
常见问题解答
什么是攻击面? 您的攻击面是所有可用于访问IT环境以发起网络攻击的潜在入口点。
攻击面有哪些部分? 您的攻击面包括数字攻击面(传统IT资产和外部面向互联网的资产)、物理攻击面(硬件和设施)和人为攻击面。
Ivanti是否销售帮助发现和管理攻击面的产品? 是的,Ivanti Neurons for Discovery、Ivanti Neurons for Risk-Based Vulnerability Management、Ivanti Neurons for External Attack Surface Management和Ivanti Neurons for Application Security Posture Management都可以在发现和管理攻击面中发挥作用。
关于Chris Goettl
Chris Goettl是Ivanti安全产品的产品管理副总裁。Chris在IT领域拥有超过15年的经验,他支持并为Ivanti客户实施安全解决方案,并指导Ivanti安全产品的安全战略和愿景。他还是一名安全布道者,在全球安全活动中发表演讲,就现代网络威胁以及如何有效对抗它们提供指导。Chris主持每月一次的网络研讨会,重点关注补丁星期二和安全漏洞,并经常撰写有关安全主题的博客。您可以在著名的安全新闻来源(如SC Magazine、Redmond Magazine、ComputerWorld、ThreatPost、Help Net Security等)中找到Chris的署名和评论。