國外九種攻擊面發現和管理工具
網絡資產攻擊面管理 (CAASM) 或外部攻擊面管理 (EASM) 解決方案旨在量化攻擊面并將其最小化和強化。CAASM 工具的目標是在保持關鍵業務服務的同時,盡可能少地向對手提供有關業務安全狀況的信息。
如果您曾經看過一部搶劫電影,那么執行本世紀配樂的第一步就是包圍該地點:觀察安全措施、測量響應時間并繪制逃生路線。這個過程類似于攻擊和保護企業 IT 資源:獲取 Internet 上公開可見資源的知識,了解技術堆棧的構成,并找到漏洞和弱點。
攻擊面管理的基礎知識
攻擊面是整個公司資源(也稱為資產),可以通過某種形式從 Internet 訪問。這可能是本地托管的應用程序,端口通過公司防火墻打開,托管在云中的 SaaS 應用程序,或任何數量的公開存在的云托管資源。攻擊面包括開放端口和協議、使用的 SSL 和加密標準、托管的應用程序,甚至托管應用程序的服務器平臺。
構成攻擊面的單元稱為資產。它們是 IP 地址或域名,再加上構成應用程序或服務的技術棧。
漏洞是配置缺陷或未打補丁的軟件,它們為惡意用戶的攻擊敞開大門以破壞一個或多個系統。
雖然攻擊面管理主要集中在面向公眾的互聯網上的資產,但企業數據中心或云網絡范圍內的資產如果沒有得到適當的監控和管理,也會使企業面臨風險。由于外部實體無法使用這些資產,因此監控它們的能力需要軟件代理或監控服務能夠進入您的網絡。
從公司網絡內部來看,服務器和應用程序通常有一個軟肋。任何監控工具都必須評估范圍更廣的服務,并且在許多情況下,以匿名用戶和經過網絡身份驗證的用戶身份測試服務。
用于攻擊面發現和管理的 CAASM和EASM工具
定期掃描網絡不再足以維持強化的攻擊面。持續監控新資產和配置偏差對于確保企業資源和客戶數據的安全至關重要。
需要識別新資產并將其納入監控解決方案,因為這些資產可能是品牌攻擊或影子 IT 的一部分。配置漂移可能是良性的,是設計變更的一部分,但也有可能是人為錯誤或攻擊早期階段的結果。及早識別這些變化可以讓網絡安全團隊做出適當的反應并減輕任何進一步的損害。
這里有 9 個國外的工具,可以作為我們的理解和參考。
Axonius 網絡資產攻擊面管理
Axonius 提供了一個強大的CAASM套件,它涵蓋了監控攻擊面的所有關鍵因素。Axonius 從資產清單開始,該清單會自動更新,并根據內部數據源和 Axonius 可以訪問的用戶網絡外部資源的上下文進行充實。它還可以根據PCI或HIPAA等策略集的安全控制執行監控,識別等同于違反策略的配置或漏洞,允許用戶采取措施解決問題。
CrowdStrike Falcon Surface
CrowdStrike Falcon Surface EASM從對手的角度提供了一個視圖,提供了暴露資產和潛在攻擊向量的實時地圖。CrowdStrike 的資產清單還提供隨時間變化的歷史記錄,提供配置漂移的即時詳細信息。通過內部和外部數據流開發的上下文,可以對業務風險進行優先排序。可以通過基于集成的警報和操作(通知 Slack 通道,在 Jira 或 ServiceNow 中創建票證,或觸發用戶帳戶或系統上的操作)自動采取補救措施,或者基于劇本的補救可以引導管理員通過強化系統配置或應用系統更新。
CyCognito 攻擊面管理
CyCognito 的CAASM產品提供對資產的持續監控和清點,無論它們位于本地、云端、第三方還是通過子公司。可以添加所有權和資產之間的關系等業務背景,以促進分類過程并幫助確定風險響應的優先級。這種上下文和智能優先級排序(評估諸如易于利用和資產分類之類的事情)有助于將重點放在網絡中最關鍵的風險上。CyCognito 還跟蹤資產的配置漂移,支持查看變更歷史并識別企業基礎架構的新風險。
Informer
Informer 帶來了EASM功能,可以跨 Web 應用程序、API 和面向公眾的業務 IT 堆棧的其他方面自動發現資產。這些資產會受到持續監控,實時確定任何風險的優先級。Informer 提供附加服務來執行手動風險驗證甚至滲透測試。Informer 基于工作流的響應系統通過與現有的票務和通信應用程序集成,有助于將多個團隊納入事件響應。一旦 Informer 識別出的威脅得到緩解,就可以立即啟動重新測試以驗證配置更改或系統更新是否已完全消除風險。
JupiterOne 網絡資產攻擊面管理
JupiterOne 將其 CAASM解決方案稱為一種將網絡資產數據無縫聚合到統一視圖中的方法。在適當的地方自動添加上下文,并且可以定義和優化資產關系以增強漏洞分析和事件響應。自定義查詢允許網絡安全團隊回答復雜的問題,同時可以使用交互式可視化地圖瀏覽資產清單,從而能夠評估事件范圍和確定響應的優先級。您可以通過集成來利用您對安全工具的現有投資,將 JupiterOne 轉變為您企業安全狀況的整體集中視圖。
Microsoft Defender 外部攻擊面管理
微軟正在企業安全領域悄然發揮領導作用,利用他們在云方面的投資為客戶提供價值,其 Defender 品牌下的 EASM 產品也不例外。Microsoft Defender EASM提供非托管資產和資源的發現,包括影子 IT 部署的資產和資源以及駐留在其他云平臺中的資產。一旦確定了資產和資源,Defender EASM 就會探測技術堆棧每一層的漏洞,包括底層平臺、應用程序框架、Web 應用程序、組件和核心代碼。
Microsoft Defender EASM 使 IT 人員能夠在發現漏洞時實時對漏洞進行分類和優先級排序,從而快速修復新發現資源中的漏洞。這是 Microsoft,Defender EASM 與其他以安全為重點的 Microsoft 解決方案緊密集成,例如 Microsoft 365 Defender、Defender for Cloud 和 Sentinel。
Rapid7 InsightVM
Rapid7 建立了一項業務,使企業 IT 能夠識別企業資源中的漏洞。事實證明,系統掃描和數據分析的基礎方面在攻擊面管理和InsightVM中很有用在此基礎上構建,帶來可與上述任何其他解決方案相媲美的強大功能。Rapid7 在行業中的地位如此之高,以至于他們不僅從 Mitre CVE(常見漏洞和披露)評分中提取漏洞優先級,他們還是 CVE 編號權威機構,能夠識別和評估新發現的漏洞。InsightVM 監控公司資產的變化,無論是新部署的資產還是具有新漏洞或配置更改的資產。Rapid7 還將他們的分析和儀表板印章與 InsightVM 一起使用,允許用戶查看具有實時智能的實時儀表板或使用他們的查詢工具深入研究漏洞細節。
SOCRadar AttackMapper
SOCRadar 試圖通過AttackMapper為用戶提供攻擊者的資產視圖,這是他們為 SOC 團隊提供的工具套件的一部分。AttackMapper 實時對資產執行動態監控,識別新的或更改的資產并分析這些更改以查找潛在漏洞。SOCRadar 將他們的發現與已知的漏洞攻擊方法相關聯,以便為決策制定和分類過程提供背景信息。AttackMapper 不僅僅監控端點和軟件漏洞,因為 SSL 弱點和證書過期,甚至 DNS 記錄和配置也是公平的游戲。AttackMapper 甚至可以識別網站篡改,以保護品牌聲譽。
Tenable.asm
Tenable 多年來一直提供用于識別漏洞的工具,他們當前的工具套件很好地滿足了現代 IT 安全專家的需求。Tenable.asm是他們的 EASM 模塊,與 Tenable 的漏洞管理工具完全集成。Tenable.asm 提供資產和漏洞詳細信息的上下文,不僅來自技術方面,還提供完全確定響應優先級所需的業務級上下文。一旦將上下文添加到資產和漏洞數據中,用戶就可以查詢和過濾 200 多個元數據字段,從而快速深入了解對業務至關重要的資產和資源。
