網(wǎng)絡(luò)資產(chǎn)攻擊面管理 (CAASM) 或外部攻擊面管理 (EASM) 解決方案旨在量化攻擊面并將其最小化和強(qiáng)化。CAASM 工具的目標(biāo)是在保持關(guān)鍵業(yè)務(wù)服務(wù)的同時(shí),盡可能少地向?qū)κ痔峁┯嘘P(guān)業(yè)務(wù)安全狀況的信息。
如果您曾經(jīng)看過一部搶劫電影,那么執(zhí)行本世紀(jì)配樂的第一步就是包圍該地點(diǎn):觀察安全措施、測量響應(yīng)時(shí)間并繪制逃生路線。這個(gè)過程類似于攻擊和保護(hù)企業(yè) IT 資源:獲取 Internet 上公開可見資源的知識,了解技術(shù)堆棧的構(gòu)成,并找到漏洞和弱點(diǎn)。
攻擊面管理的基礎(chǔ)知識攻擊面是整個(gè)公司資源(也稱為資產(chǎn)),可以通過某種形式從 Internet 訪問。這可能是本地托管的應(yīng)用程序,端口通過公司防火墻打開,托管在云中的 SaaS 應(yīng)用程序,或任何數(shù)量的公開存在的云托管資源。攻擊面包括開放端口和協(xié)議、使用的 SSL 和加密標(biāo)準(zhǔn)、托管的應(yīng)用程序,甚至托管應(yīng)用程序的服務(wù)器平臺。
(資料圖片僅供參考)
構(gòu)成攻擊面的單元稱為資產(chǎn)。它們是 IP 地址或域名,再加上構(gòu)成應(yīng)用程序或服務(wù)的技術(shù)棧。
漏洞是配置缺陷或未打補(bǔ)丁的軟件,它們?yōu)閻阂庥脩舻墓舫ㄩ_大門以破壞一個(gè)或多個(gè)系統(tǒng)。
雖然攻擊面管理主要集中在面向公眾的互聯(lián)網(wǎng)上的資產(chǎn),但企業(yè)數(shù)據(jù)中心或云網(wǎng)絡(luò)范圍內(nèi)的資產(chǎn)如果沒有得到適當(dāng)?shù)谋O(jiān)控和管理,也會(huì)使企業(yè)面臨風(fēng)險(xiǎn)。由于外部實(shí)體無法使用這些資產(chǎn),因此監(jiān)控它們的能力需要軟件代理或監(jiān)控服務(wù)能夠進(jìn)入您的網(wǎng)絡(luò)。
從公司網(wǎng)絡(luò)內(nèi)部來看,服務(wù)器和應(yīng)用程序通常有一個(gè)軟肋。任何監(jiān)控工具都必須評估范圍更廣的服務(wù),并且在許多情況下,以匿名用戶和經(jīng)過網(wǎng)絡(luò)身份驗(yàn)證的用戶身份測試服務(wù)。
用于攻擊面發(fā)現(xiàn)和管理的 CAASM和EASM工具定期掃描網(wǎng)絡(luò)不再足以維持強(qiáng)化的攻擊面。持續(xù)監(jiān)控新資產(chǎn)和配置偏差對于確保企業(yè)資源和客戶數(shù)據(jù)的安全至關(guān)重要。
需要識別新資產(chǎn)并將其納入監(jiān)控解決方案,因?yàn)檫@些資產(chǎn)可能是品牌攻擊或影子 IT 的一部分。配置漂移可能是良性的,是設(shè)計(jì)變更的一部分,但也有可能是人為錯(cuò)誤或攻擊早期階段的結(jié)果。及早識別這些變化可以讓網(wǎng)絡(luò)安全團(tuán)隊(duì)做出適當(dāng)?shù)姆磻?yīng)并減輕任何進(jìn)一步的損害。
這里有 9 個(gè)國外的工具,可以作為我們的理解和參考。
Axonius 網(wǎng)絡(luò)資產(chǎn)攻擊面管理Axonius 提供了一個(gè)強(qiáng)大的CAASM套件,它涵蓋了監(jiān)控攻擊面的所有關(guān)鍵因素。Axonius 從資產(chǎn)清單開始,該清單會(huì)自動(dòng)更新,并根據(jù)內(nèi)部數(shù)據(jù)源和 Axonius 可以訪問的用戶網(wǎng)絡(luò)外部資源的上下文進(jìn)行充實(shí)。它還可以根據(jù)PCI或HIPAA等策略集的安全控制執(zhí)行監(jiān)控,識別等同于違反策略的配置或漏洞,允許用戶采取措施解決問題。
CrowdStrike Falcon SurfaceCrowdStrike Falcon Surface EASM從對手的角度提供了一個(gè)視圖,提供了暴露資產(chǎn)和潛在攻擊向量的實(shí)時(shí)地圖。CrowdStrike 的資產(chǎn)清單還提供隨時(shí)間變化的歷史記錄,提供配置漂移的即時(shí)詳細(xì)信息。通過內(nèi)部和外部數(shù)據(jù)流開發(fā)的上下文,可以對業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序。可以通過基于集成的警報(bào)和操作(通知 Slack 通道,在 Jira 或 ServiceNow 中創(chuàng)建票證,或觸發(fā)用戶帳戶或系統(tǒng)上的操作)自動(dòng)采取補(bǔ)救措施,或者基于劇本的補(bǔ)救可以引導(dǎo)管理員通過強(qiáng)化系統(tǒng)配置或應(yīng)用系統(tǒng)更新。
CyCognito 攻擊面管理CyCognito 的CAASM產(chǎn)品提供對資產(chǎn)的持續(xù)監(jiān)控和清點(diǎn),無論它們位于本地、云端、第三方還是通過子公司。可以添加所有權(quán)和資產(chǎn)之間的關(guān)系等業(yè)務(wù)背景,以促進(jìn)分類過程并幫助確定風(fēng)險(xiǎn)響應(yīng)的優(yōu)先級。這種上下文和智能優(yōu)先級排序(評估諸如易于利用和資產(chǎn)分類之類的事情)有助于將重點(diǎn)放在網(wǎng)絡(luò)中最關(guān)鍵的風(fēng)險(xiǎn)上。CyCognito 還跟蹤資產(chǎn)的配置漂移,支持查看變更歷史并識別企業(yè)基礎(chǔ)架構(gòu)的新風(fēng)險(xiǎn)。
InformerInformer 帶來了EASM功能,可以跨 Web 應(yīng)用程序、API 和面向公眾的業(yè)務(wù) IT 堆棧的其他方面自動(dòng)發(fā)現(xiàn)資產(chǎn)。這些資產(chǎn)會(huì)受到持續(xù)監(jiān)控,實(shí)時(shí)確定任何風(fēng)險(xiǎn)的優(yōu)先級。Informer 提供附加服務(wù)來執(zhí)行手動(dòng)風(fēng)險(xiǎn)驗(yàn)證甚至滲透測試。Informer 基于工作流的響應(yīng)系統(tǒng)通過與現(xiàn)有的票務(wù)和通信應(yīng)用程序集成,有助于將多個(gè)團(tuán)隊(duì)納入事件響應(yīng)。一旦 Informer 識別出的威脅得到緩解,就可以立即啟動(dòng)重新測試以驗(yàn)證配置更改或系統(tǒng)更新是否已完全消除風(fēng)險(xiǎn)。
JupiterOne 網(wǎng)絡(luò)資產(chǎn)攻擊面管理JupiterOne 將其CAASM解決方案稱為一種將網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)無縫聚合到統(tǒng)一視圖中的方法。在適當(dāng)?shù)牡胤阶詣?dòng)添加上下文,并且可以定義和優(yōu)化資產(chǎn)關(guān)系以增強(qiáng)漏洞分析和事件響應(yīng)。自定義查詢允許網(wǎng)絡(luò)安全團(tuán)隊(duì)回答復(fù)雜的問題,同時(shí)可以使用交互式可視化地圖瀏覽資產(chǎn)清單,從而能夠評估事件范圍和確定響應(yīng)的優(yōu)先級。您可以通過集成來利用您對安全工具的現(xiàn)有投資,將 JupiterOne 轉(zhuǎn)變?yōu)槟髽I(yè)安全狀況的整體集中視圖。
Microsoft Defender 外部攻擊面管理微軟正在企業(yè)安全領(lǐng)域悄然發(fā)揮領(lǐng)導(dǎo)作用,利用他們在云方面的投資為客戶提供價(jià)值,其 Defender 品牌下的 EASM 產(chǎn)品也不例外。Microsoft Defender EASM提供非托管資產(chǎn)和資源的發(fā)現(xiàn),包括影子 IT 部署的資產(chǎn)和資源以及駐留在其他云平臺中的資產(chǎn)。一旦確定了資產(chǎn)和資源,Defender EASM 就會(huì)探測技術(shù)堆棧每一層的漏洞,包括底層平臺、應(yīng)用程序框架、Web 應(yīng)用程序、組件和核心代碼。
Microsoft Defender EASM 使 IT 人員能夠在發(fā)現(xiàn)漏洞時(shí)實(shí)時(shí)對漏洞進(jìn)行分類和優(yōu)先級排序,從而快速修復(fù)新發(fā)現(xiàn)資源中的漏洞。這是 Microsoft,Defender EASM 與其他以安全為重點(diǎn)的 Microsoft 解決方案緊密集成,例如 Microsoft 365 Defender、Defender for Cloud 和 Sentinel。
Rapid7 InsightVMRapid7 建立了一項(xiàng)業(yè)務(wù),使企業(yè) IT 能夠識別企業(yè)資源中的漏洞。事實(shí)證明,系統(tǒng)掃描和數(shù)據(jù)分析的基礎(chǔ)方面在攻擊面管理和InsightVM中很有用在此基礎(chǔ)上構(gòu)建,帶來可與上述任何其他解決方案相媲美的強(qiáng)大功能。Rapid7 在行業(yè)中的地位如此之高,以至于他們不僅從 Mitre CVE(常見漏洞和披露)評分中提取漏洞優(yōu)先級,他們還是 CVE 編號權(quán)威機(jī)構(gòu),能夠識別和評估新發(fā)現(xiàn)的漏洞。InsightVM 監(jiān)控公司資產(chǎn)的變化,無論是新部署的資產(chǎn)還是具有新漏洞或配置更改的資產(chǎn)。Rapid7 還將他們的分析和儀表板印章與 InsightVM 一起使用,允許用戶查看具有實(shí)時(shí)智能的實(shí)時(shí)儀表板或使用他們的查詢工具深入研究漏洞細(xì)節(jié)。
SOCRadar AttackMapperSOCRadar 試圖通過AttackMapper為用戶提供攻擊者的資產(chǎn)視圖,這是他們?yōu)?SOC 團(tuán)隊(duì)提供的工具套件的一部分。AttackMapper 實(shí)時(shí)對資產(chǎn)執(zhí)行動(dòng)態(tài)監(jiān)控,識別新的或更改的資產(chǎn)并分析這些更改以查找潛在漏洞。SOCRadar 將他們的發(fā)現(xiàn)與已知的漏洞攻擊方法相關(guān)聯(lián),以便為決策制定和分類過程提供背景信息。AttackMapper 不僅僅監(jiān)控端點(diǎn)和軟件漏洞,因?yàn)?SSL 弱點(diǎn)和證書過期,甚至 DNS 記錄和配置也是公平的游戲。AttackMapper 甚至可以識別網(wǎng)站篡改,以保護(hù)品牌聲譽(yù)。
Tenable.asmTenable 多年來一直提供用于識別漏洞的工具,他們當(dāng)前的工具套件很好地滿足了現(xiàn)代 IT 安全專家的需求。Tenable.asm是他們的 EASM 模塊,與 Tenable 的漏洞管理工具完全集成。Tenable.asm 提供資產(chǎn)和漏洞詳細(xì)信息的上下文,不僅來自技術(shù)方面,還提供完全確定響應(yīng)優(yōu)先級所需的業(yè)務(wù)級上下文。一旦將上下文添加到資產(chǎn)和漏洞數(shù)據(jù)中,用戶就可以查詢和過濾 200 多個(gè)元數(shù)據(jù)字段,從而快速深入了解對業(yè)務(wù)至關(guān)重要的資產(chǎn)和資源。
標(biāo)簽:
