[[410324]]

持續蔓延的疫情以及數字化云端轉型為網絡安全帶來了許多新挑戰：攻擊面增長，IT復雜化、影子化等等。2018 年，Gartner敦促安全領導者開始著手減少、監控和管理他們的攻擊面，作為整體網絡安全風險管理計劃的一部分。如今，攻擊面管理正在成為CIO、CTO、CISO和安全團隊的首要任務。

何為攻擊面?

您的攻擊面是指可以通過Internet訪問的用于處理或存儲您的數據的所有硬件、軟件、SaaS 和云資產。也可以將其視為網絡犯罪分子可以用來操縱網絡或系統以提取數據的攻擊向量總數。您的攻擊面包括：

• 已知資產：庫存和管理的資產，例如您的公司網站、服務器以及在它們上面運行的依賴項;
• 未知資產：例如影子IT或孤立的IT基礎設施，這些基礎設施超出了您安全團隊的權限范圍，例如被遺忘的開發網站或營銷網站;
• 流氓資產：由威脅行為者啟動的惡意基礎設施，例如惡意軟件、域名搶注或冒充您域名的網站或移動應用程序等;
• 供應商：您的攻擊面不僅限于您的組織，第三方和第四方供應商同樣會引入重大的第三方風險和第四方風險。即便是小型供應商也可能導致大規模數據泄露，例如最終導致Target泄露超過1.1億消費者信用卡和個人數據的HVAC供應商。

不幸的是，每天都有數以百萬計的此類資產出現在Internet上，并且完全超出了防火墻和端點保護服務的范圍。攻擊面有時候也稱為外部攻擊面或數字攻擊面。

何為攻擊面管理?

攻擊面管理(ASM)是對存儲、傳輸或處理敏感數據的外部數字資產的持續發現、盤點、分類、優先級排序和安全監控。

攻擊面管理非常重要，因為它有助于預防和減少源自以下方面的風險：

• 遺留、物聯網和影子IT資產;
• 網絡釣魚和數據泄露等人為錯誤和疏忽;
• 易受攻擊和過時的軟件;
• 未知的開源軟件(OSS);
• 針對貴組織的有針對性網絡攻擊;
• 針對您所屬行業的大規模攻擊;
• 侵犯知識產權;
• 從并購活動中繼承的IT資產;
• 供應商管理資產;

及時識別數字資產是強大威脅情報的基本組成部分，可以大大降低數據泄露的風險。要知道，攻擊者發起網絡攻擊所需要的只是您組織中的一個薄弱環節。

攻擊面管理優秀實踐

云計算解決方案、遠程和在家工作系統以及聯網設備的急劇增加，無疑會帶來更大的攻擊面，從而進一步增加安全風險。而減少漏洞數量的最佳方法就是建立適當的企業攻擊面管理程序。

正確有效的攻擊面管理需要分析操作以發現潛在漏洞并了解具體情況。這些信息有助于企業組織制定計劃，但成功與否還要取決于在組織的網絡、系統、渠道和接觸點中如何執行該計劃。

以下是構建企業攻擊面管理程序時需要考慮的一些最佳實踐，遵循下述建議可以最大限度地減少漏洞，并降低威脅行為者危害組織網絡和設備的機會。

1. 繪制攻擊面

要部署適當的防御，您必須了解暴露了哪些數字資產、攻擊者最有可能入侵網絡的位置以及需要部署哪些保護措施。因此，提高攻擊面的可見性并構建對攻擊漏洞的有力呈現至關重要。要查找的漏洞類型包括較舊且安全性較低的計算機或服務器、未打補丁的系統、過時的應用程序和暴露的物聯網設備等。

預測建模有助于創建對可能發生的事件及其風險的真實描述，進一步加強防御和主動措施。一旦您了解了風險，您就可以對事件或違規之前、期間和之后會發生的情況進行建模。您可以預計會造成怎樣的經濟損失?事件會對企業聲譽造成多大損害?您會丟失商業情報、商業機密或更多信息嗎?

SANS新興安全趨勢主管John Pescatore稱：

成功的攻擊面繪制策略非常簡單：了解您要保護的內容(準確的資產清單);監控這些資產中的漏洞;并使用威脅情報來了解攻擊者如何利用這些漏洞攻擊這些資產。這三個階段中的每個階段都需要配置具備熟練安全技術的員工，才能跟上這三個領域的變化速度。

2. 最小化漏洞

一旦組織繪制完成他們的攻擊面，就可以立即采取行動減輕最重要的漏洞和潛在攻擊媒介帶來的風險，然后再繼續執行較低優先級的任務。在可能的情況下使資產離線并加強內部和外部網絡是值得關注的兩個關鍵領域。

如今，市場上大多數網絡平臺供應商都提供工具來幫助最小化攻擊面。例如，微軟的攻擊面減少(ASR)規則可以幫助用戶阻止攻擊者常用的進程和可執行文件。

不過值得注意的是，大多數違規都是由人為錯誤造成的。因此，針對員工建立安全意識和培訓是減少漏洞的另一個關鍵方面。您有哪些政策可以幫助他們掌握個人和工作安全?他們了解自己需要做什么嗎?他們應該使用哪些安全實踐?以及一旦遭到攻擊將如何影響他們和整個業務?

并非所有漏洞都需要解決，有些漏洞無論如何都會持續存在?？煽康木W絡安全策略需要包括識別最相關來源的方法，挑選出更有可能被利用的來源。這些都是應該減輕和監控的漏洞。

如今，大多數企業允許的訪問權限已經超出了員工和承包商所需的訪問權限。執行最小訪問權限原則可以確保即使帳戶遭到破壞也不會造成中斷或重大損害。企業組織可以先對關鍵系統的訪問權限進行分析，然后將每個人和設備的訪問權限限制在他們絕對需要的資產上。

3. 建立強大的安全實踐和政策

嚴格遵循一些久經考驗的最佳安全實踐將大大減少您的攻擊面。這包括實施入侵檢測解決方案、定期進行風險評估以及制定明確有效的政策。以下是一些需要考慮的做法：

• 使用強大的身份驗證協議和訪問控制進行健康的帳戶管理;
• 建立一致的修補和更新策略;
• 維護和測試關鍵數據的備份;
• 對您的網絡進行分段，以在發生破壞時將損害降至最低;
• 監控和淘汰舊設備、機器和服務;
• 在任何可行的地方使用加密;
• 建立或限制您的BYOD政策和計劃;

4. 建立安全監控和測試協議

隨著IT基礎設施的變化以及威脅行為者的不斷發展，強大的網絡安全計劃同樣需要進行不斷地調整。這就需要持續監控和定期測試，后者通常可以通過第三方滲透測試服務實現。

監控通常通過自動化系統完成，如安全信息和事件管理軟件(SIEM)。它將主機系統和應用程序生成的日志數據收集到網絡和安全設備(例如防火墻和防病毒過濾器)，然后，SIEM 軟件會識別、分類和分析事件，并對其進行分析。

滲透測試能夠提供公正的第三方反饋，幫助您更好地了解漏洞。在此過程中，滲透測試人員會進行旨在揭示關鍵漏洞的模擬攻擊。測試應涉及企業網絡和BYOD的核心元素以及供應商正在使用的第三方設備。要知道，移動設備約占企業數據交互的60%。

5. 強化您的電子郵件系統

網絡釣魚是攻擊者入侵您網絡的常見方式。然而，一些組織尚未完全部署旨在限制員工收到的惡意電子郵件數量的電子郵件協議。這些協議包括：

• 發件人策略框架(SPF)可防止對合法電子郵件返回地址進行欺騙;
• 域密鑰識別郵件(DKIM)可以確保目標電子郵件系統信任從自定義域發送的出站郵件;
• 基于域的消息身份驗證、報告和一致性(DMARC)允許您設置有關如何處理由SPF或DKIM識別的失敗或欺騙電子郵件的規則;

雖然大多數企業并未能將所有協議落地，但是國際健康保險公司Aetna做到了。這也幫助該公司減少了軟件漏洞，同時縮短了公司上市時間。

6. 了解合規性

所有組織都應該制定政策和程序來研究、確定以及理解內部和政府標準。目標是確保所有安全策略都能符合合規要求，同時對各種攻擊和違規類型都有適當的響應計劃。

這可能需要建立一個工作組和戰略，以便在新政策和法規生效時對其進行審查。毫無疑問，合規性對于現代網絡安全策略非常重要，但這并不一定意味著它應該是優先事項。根據Pescatore的說法：

合規性往往是第一位的，但幾乎100%發生信用卡信息泄露的公司都符合PCI合規性。然而，它們卻并不安全。

他認為網絡安全戰略應該首先評估風險并部署流程或控制措施來保護公司及其客戶。然后，企業應該制作各種合規制度(例如HIPAA 或PCI)所需的文件，以顯示您的策略是如何合規的。

7. 聘請審計員

在評估企業攻擊面時，即使是最好的安全團隊有時也需要新的視角。聘請安全審計員和分析師可以幫助您發現可能會被忽視的攻擊媒介和漏洞。

他們還可以協助制定事件管理計劃，以應對潛在的違規和攻擊。太多的組織沒有為網絡安全攻擊做好準備，因為他們缺乏其他方制衡力量來衡量他們的政策是否存在缺陷。

Smart Billions首席技術官Jason Mitchell表示：

在嘗試客觀地確定安全風險時，擁有一個外部的、公正的觀點可能非常有益。使用獨立的監控流程來幫助識別風險行為和威脅，以免它們淪為端點上的問題，尤其是新的數字資產、新加入的供應商以及遠程員工。

領先的攻擊面管理企業

1. UpGuard

UpGuard BreachSight可以監控組織的70多種安全控制，提供簡單、易于理解的網絡安全評級，并自動檢測S3存儲桶、Rsync服務器、GitHub存儲庫等中泄露的憑據和數據。

而對于供應商信息安全控制的評估，UpGuard Vendor Risk可以通過自動化供應商問卷調查和提供供應商問卷模板，最大限度地減少組織評估相關和第三方信息安全控制的時間。

UpGuard 與其他供應商之間的主要區別在于，它們在防止數據泄露方面具有非常權威的專業知識。這一點可以從《紐約時報》、《華爾街日報》、彭博社、《華盛頓郵報》、《福布斯》、路透社和 TechCrunch 等刊物上得到印證。

2. Expanse

總部位于舊金山的Expanse公司成立于2012年，是一家攻擊面管理的安全初創公司，開發旨在監控攻擊面的解決方案，以便進行風險評估和緩解威脅。以日前發生的SolarWinds漏洞事件為例，Expanse能夠為企業提供掃描整個互聯網上公開暴露服務器的功能，并分析出站行為以檢測入侵。

Expanse解決方案平臺包括一個用于發現和監控互聯網資產的儀表盤、監控可疑網絡活動和分析流量模式的軟件，還提供了一系列API和工具，用于與現有IT基礎設施進行整合?？梢哉f，Expanse的數據提供了一個從外部觀察企業的視角，代表了攻擊者在探尋薄弱點時看到的景象。

2020年11月，Palo Alto公司以8億美元收購Expanse公司，Expanse聯合創始人Tim Junio和Matt Kraning也在交易完成后加入Palo Alto Networks團隊。

迄今為止，Expanse公司已經獲得了1.36億美元的資金。之前的投資者包括TPG、IVP和New Enterprise Associates。

3. RiskIQ

RiskIQ是數字威脅管理的領導者，提供最全面的發現、情報和緩解與組織數字呈現相關的威脅。RiskIQ使企業能夠獲得對網絡、社交媒體和移動設備的統一洞察和控制力。其平臺結合了先進的互聯網數據偵察和分析能力，以加快調查、了解攻擊面、評估風險并針對數字威脅采取行動。使用RiskIQ社區版，所有安全分析師都可以在協作在線環境中免費訪問其解決方案，以實現有組織的網絡防御。

4. Elevate Security

Elevate Security 是人類攻擊面管理的領導者，由兩位前Salesforce安全主管于2017年創立。 2021年5月，Elevate Security推出了一個突破性的新平臺，該平臺解決了網絡安全最大的棘手問題之一 ——人為錯誤——對整個組織的員工風險進行智能、定制和自動響應。

Elevate Security 平臺提供了一個智能、定制和自動化的平臺，該平臺可以獲取組織的全部安全數據，以獲得對人類風險的基準可見性，使客戶能夠主動定制安全控制并圍繞風險最高的員工創建“安全網”。

憑借來自 Elevate Security 平臺的洞察力和控制，CISO 能夠更好地支持企業內的高增長計劃，同時保護和防御人類攻擊面。

5. Censys

Censys是持續攻擊面管理的領先供應商，于2013年在密歇根州安娜堡成立，旨在為組織提供世界上最全面的全球網絡和設備實時視圖。

2020年，Censys開發出了一種新的掃描引擎，能夠洞察比任何其他網絡安全公司多出44%的互聯網。新架構為Censys攻擊面管理客戶提供快速可操作的發現、列舉風險和補救建議，以防止攻擊者和違規行為。

FireEye，谷歌，北約、瑞士武裝部隊，美國國土安全部等客戶以及超過25%的《財富》500強企業都依賴該公司的互聯網范圍的持續可見性平臺來發現和預防網絡安全威脅。Censys還因其具有改變網絡安全行業潛力的開創性技術，被CB Insights評為“2019 年網絡防御者”。

本文翻譯自：https://www.upguard.com/blog/attack-surface-management如若轉載，請注明原文地址。