近日工商銀行、波音公司、迪拜環(huán)球港務(wù)集團(tuán)等巨頭因未能及時(shí)修復(fù)暴露資產(chǎn)的高危漏洞或錯(cuò)誤配置而接連遭遇勒索軟件攻擊，再次凸顯了攻擊面管理（ASM）的重要性。

根據(jù)Sevco最新發(fā)布的《2023年企業(yè)攻擊面調(diào)查報(bào)告》11%的企業(yè)IT資產(chǎn)缺少端點(diǎn)保護(hù)，15%的IT資產(chǎn)未被企業(yè)補(bǔ)丁管理解決方案覆蓋，31%的IT資產(chǎn)未被企業(yè)漏洞管理系統(tǒng)覆蓋。中小企業(yè)的情況更糟，未使用托管安全服務(wù)的中小企業(yè)中，21%的IT資產(chǎn)缺少端點(diǎn)保護(hù)。

攻擊面管理是加強(qiáng)主動(dòng)防御能力的關(guān)鍵所在，但對(duì)于大多數(shù)企業(yè)（尤其是中小企業(yè)）來(lái)說(shuō)，隨著數(shù)字化和云計(jì)算應(yīng)用的不斷深入，資產(chǎn)增長(zhǎng)、遷移、變動(dòng)加劇，提高攻擊面可見(jiàn)性變得越來(lái)越有挑戰(zhàn)性。雪上加霜的是，很多企業(yè)安全團(tuán)隊(duì)往往缺乏足夠的人才和預(yù)算實(shí)施成熟的商業(yè)攻擊面管理解決方案。

為了幫助缺乏足夠資源的企業(yè)提高攻擊面管理能力，本文我們將介紹“DIY”攻擊面管理方案的工具和方法。

如何修補(bǔ)和強(qiáng)化未知資產(chǎn)？

今天，企業(yè)的資產(chǎn)規(guī)模不斷擴(kuò)大，除經(jīng)營(yíng)實(shí)體外，還蔓延到云和第三方托管設(shè)施。不同規(guī)模的企業(yè)資產(chǎn)，例如域名、子域名和企業(yè)IP地址范圍內(nèi)的資產(chǎn)數(shù)量動(dòng)輒數(shù)千、數(shù)十萬(wàn)甚至數(shù)百萬(wàn)不等。

臨時(shí)的錯(cuò)誤配置或暴露可能隨時(shí)出現(xiàn)，雖然可以很快修復(fù)，但檢測(cè)難度很大。因此，攻擊面管理工具必須有極高的可擴(kuò)展性和速度，才能平衡可接受的準(zhǔn)確性損失水平，縮短查找資產(chǎn)和檢測(cè)短暫風(fēng)險(xiǎn)的時(shí)間。對(duì)于數(shù)百萬(wàn)資產(chǎn)規(guī)模的攻擊面，傳統(tǒng)的慢速掃描已經(jīng)過(guò)時(shí)了。

攻擊面管理可以看作是一種遞歸發(fā)現(xiàn)練習(xí)，不斷地以新知識(shí)（信息）為基礎(chǔ)來(lái)識(shí)別更多的資產(chǎn)和組織環(huán)境。通常只需一個(gè)初始域名或“種子數(shù)據(jù)點(diǎn)”即可開(kāi)始。

用于發(fā)現(xiàn)資產(chǎn)的許多數(shù)據(jù)源可以完全被動(dòng)地運(yùn)行，且無(wú)需與目標(biāo)組織的基礎(chǔ)設(shè)施交互。

在執(zhí)行基本的資產(chǎn)發(fā)現(xiàn)任務(wù)時(shí)，企業(yè)安全團(tuán)隊(duì)需要回答一些初始問(wèn)題：

外部攻擊者如何觀察我的企業(yè)？例如歷史收購(gòu)、垂直行業(yè)、歷史事件等，以及：

• 我的企業(yè)控制多少個(gè)域名？
• 我的企業(yè)有多少個(gè)子域名？
• 我的企業(yè)有多少個(gè)網(wǎng)段？
• 資產(chǎn)分布在哪些云提供商上？
• 在已發(fā)現(xiàn)的資產(chǎn)中，有多少擁有活躍的DNS記錄？
• 在發(fā)現(xiàn)的資產(chǎn)中，有多少擁有開(kāi)放端口/可定位服務(wù)？
• 其中有多少資產(chǎn)已登記在資產(chǎn)清單中？

安全團(tuán)隊(duì)可以通過(guò)無(wú)數(shù)途徑來(lái)獲取企業(yè)的攻擊面信息，可謂“條條大道通羅馬”，這也意味著企業(yè)完全可以DIY自己的攻擊面管理用例。

如何用開(kāi)源工具DIY攻擊面管理方案

攻擊面管理如今已經(jīng)從“小眾”網(wǎng)絡(luò)安全市場(chǎng)迅速成長(zhǎng)為大多數(shù)企業(yè)安全策略的“剛需”和重要組成部分。用戶市場(chǎng)關(guān)注度的飆升推動(dòng)了攻擊面識(shí)別方法和技術(shù)的創(chuàng)新和研究。大量的開(kāi)源工具套件已被開(kāi)發(fā)出來(lái)，可通過(guò)SaaS平臺(tái)甚至第三方專業(yè)人士提供攻擊面管理服務(wù)。

企業(yè)可以使用開(kāi)源命令行工具快速深入了解其攻擊面的全貌，這些工具可用于搭建簡(jiǎn)單、可重復(fù)和可擴(kuò)展的攻擊面管理工作流程，幫助識(shí)別資產(chǎn)邊界變化。

如果企業(yè)無(wú)法獲得商業(yè)攻擊面管理供應(yīng)商的支持，那么利用開(kāi)源工具自行搭建這些工作流程和方案也可以支持許多安全用例，其效果和競(jìng)爭(zhēng)力甚至不比某些付費(fèi)工具差。

以下是企業(yè)可以使用流行開(kāi)源工具輕松創(chuàng)建的安全用例：

• 發(fā)現(xiàn)與企業(yè)主域名關(guān)聯(lián)的子域名：使用開(kāi)源工具（例如Project Discovery的subfinder）可以從各種被動(dòng)數(shù)據(jù)源（例如證書(shū)透明度）獲取信息，以識(shí)別與域關(guān)聯(lián)的歷史和當(dāng)前子域。
• 通過(guò)活動(dòng)DNS記錄識(shí)別企業(yè)的全部資產(chǎn)：使用開(kāi)源工具（例如Project Discovery中的dnsx或ZMap Project中的zdns）可以深入了解各種查詢類型中具有當(dāng)前DNS記錄的資產(chǎn)。此外，通過(guò)當(dāng)前A/AAAA/CNAME記錄識(shí)別資產(chǎn)可以使組織確定資產(chǎn)的優(yōu)先級(jí)，以進(jìn)行額外審查和進(jìn)一步豐富。
• 識(shí)別企業(yè)所有活躍的Web應(yīng)用程序：使用Project Discovery中的httpx或ZMap Project中的zgrab2等開(kāi)源工具可以識(shí)別Web應(yīng)用程序及其關(guān)聯(lián)的Web框架并對(duì)其進(jìn)行指紋識(shí)別。此外，創(chuàng)建包含常見(jiàn)標(biāo)頭信息（例如HTTP服務(wù)器、HTTP標(biāo)題、圖標(biāo)哈希值）的易于閱讀的CSV/JSON文件并存儲(chǔ)Web應(yīng)用程序響應(yīng)，可以輕松識(shí)別某些攻擊技術(shù)以響應(yīng)新披露的漏洞。
• 識(shí)別常見(jiàn)的文件泄露和錯(cuò)誤配置：使用Project Discovery中的nuclei等開(kāi)源工具，企業(yè)可以快速評(píng)估其面向公眾的Web應(yīng)用程序是否存在常見(jiàn)的錯(cuò)誤配置和高風(fēng)險(xiǎn)文件泄露（例如配置文件）。確保根據(jù)可接受的風(fēng)險(xiǎn)級(jí)別適當(dāng)?shù)貙彶槁┒茨０濉Ｓ行┞┒蠢檬乔秩胄缘?，可能?huì)留下痕跡。

上述用例未必是識(shí)別某些特定資產(chǎn)類型的最全面或最有效的方法，但足以幫助企業(yè)輕松建立一個(gè)初始的可重復(fù)機(jī)制，用來(lái)發(fā)現(xiàn)企業(yè)資產(chǎn)邊界的盲區(qū)，確定需要改進(jìn)的地方。

最后，大多數(shù)企業(yè)經(jīng)常在第三方網(wǎng)站和代碼托管平臺(tái)（例如GitHub）上存放重要資產(chǎn)，這些網(wǎng)站和代碼托管平臺(tái)可能會(huì)無(wú)意中公開(kāi)暴露敏感信息。如果機(jī)密信息掃描儀沒(méi)有及時(shí)發(fā)現(xiàn)和標(biāo)記這些敏感信息，將導(dǎo)致憑證和敏感信息的長(zhǎng)期暴露。

企業(yè)可以使用GitHub事件API開(kāi)源工具實(shí)時(shí)監(jiān)控可歸因于其主域名的公共GitHub提交，從而保持領(lǐng)先一步。雖然這不是檢測(cè)企業(yè)機(jī)密信息泄露的完整方法，但與GitHub預(yù)提交掛鉤和更廣泛的安全策略結(jié)合使用時(shí)，可以顯著縮短修復(fù)信息漏點(diǎn)的時(shí)間并改善整體安全狀況。

總之，大量收集企業(yè)資產(chǎn)相關(guān)信息只是一個(gè)起點(diǎn)，企業(yè)應(yīng)該建立持續(xù)的監(jiān)控和評(píng)估機(jī)制，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)，及時(shí)發(fā)現(xiàn)和響應(yīng)安全事件，定期評(píng)估安全策略的有效性，并根據(jù)評(píng)估結(jié)果進(jìn)行調(diào)整優(yōu)化。