攻击面管理(ASM)是维护对不断变化的网络环境的可见性的过程,以便安全团队可以修补漏洞并防御新出现的威胁. 那么,an是什么 攻击表面? 这是你的整个网络, on- premise和off, 以及攻击者可能进入的潜在弱点.
Forrester将攻击面管理定义为不断发现的过程, 识别, 盘点, 并评估实体的IT资产的风险. 基于以上的一切, 我们可以放心地假设,这是安全团队经常难以解决的问题. 在一个环境中,有限的可见性意味着您不知道可能损害组织和业务的所有事情.
如果能见度有限, 请记住,应用程序开发中的任何类型的过程都可能由于 缺乏可观测性 例如代码在生产环境中的行为. 简单地说, 对攻击面的有限可见性使得业务操作和安全性的许多方面都不可靠.
安全组织可以通过管理漏洞来监视和管理攻击面, 定期测试web应用程序, 自动化 军事反应,并获得最新的可视性 indicators-of-compromise(国际石油公司). 没有一种正确的方法来管理整个攻击面, 特别是在大型企业组织中. 但, 通过增加能见度, 安全团队可以开始定制操作并搜索特定于其环境的解决方案.
攻击面管理很重要,因为它提供了可见性, 上下文, 和 prioritization needed to address vulnerabilities before they can be exploited by attackers; it’s critical for teams who want a deeper underst和ing of their key risk areas. 攻击面管理还有助于制定IT, 安全人员, 领导层也知道哪些地区容易受到攻击, 因此组织可以找到最小化风险的方法.
这个过程的各个方面——比如漏洞评估和渗透测试——是团队可以利用的最佳实践,以获得攻击面可能发生破坏的可见性和背景. 这种全面的攻击面分析策略可以提高对技术和流程相关风险的认识.
外部攻击面管理(EASM) 识别面向公共互联网的内部业务资产并监控漏洞的过程是否存在, 公共云配置错误, 暴露的凭证, 或其他可能被攻击者利用的外部信息和流程. No inventory of these assets will be perfect; the goal being to obtain as close a snapshot as possible to help evaluate 云安全态势.
如上所述,错误配置可能在您的脆弱性中扮演重要角色. 正确配置任何云环境在保护其免受各种威胁方面都起着关键作用, 无论是蓄意攻击还是无意的错误.
EASM解决方案越来越关注于识别可能成为组织攻击面一部分的恶意外部资产. 他们应该能接入威胁信息,激活 威胁狩猎 因此,从业者可以了解坏人在野外做什么,以及它如何渗入内部环境.
他们还应该能够利用来自后边界攻击面的外部威胁情报,以适当地检测和优先考虑风险和威胁, 从最近的网络端点到周围的深和 黑暗的网络. 这样做的额外好处是降低了整体信噪比.
围绕外部攻击面映射的挑战有很多, 但这并不意味着没有合适的SOC解决方案. 不管这个团队是在一个地方还是分散在世界各地, 全球分布的劳动力必须确保其现代攻击面. 让我们来看看这些挑战中的几个亮点:
在云中维护大量操作的短暂性意味着没有像“过去”那样只有本地部署的定义边界. 这个范围是不断变化和扩大的, 因此,托管和容纳组织云的分布式IT生态系统所面临的挑战是,很难监控和保护位于防火墙和其他保护本地网络的协议之外的国家或全球边界.
当试图监控和绘制攻击面以发现潜在威胁时,传统上孤立的团队之间的协作可能是一个挑战, 特别是当这些团队可以在地理上分布时, 这是否意味着远程工作者的网络, 区域办事处, 或者跨国公司总部. 这些天, 人们更加关注能够提供共享视图和通用语言的解决方案,这些解决方案可以将那些传统上孤立的团队聚集在一起,朝着威胁预防的共同目标工作.
已知和未知资产之间不断加入网络, 你的攻击面每天都在增长和变化. 大多数情况下,这是因为公司的增长,这是一件好事. 然而, 任何值得他们的才能的SOC都希望确保扩展的边界尽可能安全. 自动化操作当然可以减少保护不断扩大的攻击面所需的时间, 允许开发人员和安全分析人员更紧密地协作并确定漏洞的优先级.
这包括广泛的扫描,以发现可能特别容易受到威胁的系统和/或资产. 这些类型的资产可以是应用程序构建中的任何内容, 个人资产进入公司网络, 到供应链合作伙伴的硬件/软件. 最后一点特别令人关切, 因为现有的大多数公司都利用多个供应商的服务, 每个人都利用他们自己的多个供应商的服务——等等等等.
这种复杂性和对众多合作伙伴网络的依赖,凸显了超越发现的必要性, 加速扫描和实时领域的可见性. 威胁行为者的入侵手段越来越快, 安全组织必须跟上开发时间持续缩短的步伐.
定期测试——不同类型的测试——是确保应用程序和系统得到适当保护的可靠方法. 从那里,你可以决定需要采取什么行动来加强周边.
了解潜在风险或威胁的背景非常重要. 数据蔓延和复杂性可能导致难以处理的攻击面,给安全运营(SecOps)团队带来重大挑战,这些团队希望以不断增长的速度充分了解威胁并管理漏洞.
情境化威胁情报可以帮助您深入了解技术堆栈的每一层,以便您可以有效地确定优先级并应对风险和威胁. 这不仅仅意味着情报反馈,还意味着理解公众可访问性, 存在漏洞, 资源是否与业务关键型应用程序相关联, 和更多的. 漏洞具有一定程度的风险,网络上的每个资产也是如此. 因此, 制定合适的策略,在最敏感的风险成为真正的威胁之前,优先考虑对其进行补救,这一点至关重要.
在一个安全组织中可能出现的安全问题的绝对数量, 不管是在SOC还是其他地方, 不一定是团队阻止威胁和修补漏洞的能力的指示器. 现代攻击面包括内部部署环境和云环境. 这种蔓延包括这样的场景 身份和访问管理(IAM) 当每个资源和服务被分配角色时,处理数百万个不同身份的团队. 每个角色都有自己的可利用权限和特权.
去年, 88%的组织报告说他们计划增加在, 除此之外, 改进警报上下文和优先级. 像风险分析和工作流框架这样的自动化过程可以大大降低评估哪些事件最需要及时补救的复杂性和艰巨性.
实现并持续执行内部遵从性和法规是至关重要的, 如果适用的话——尽可能缩小攻击面的标准.
严格遵守遵从性策略可以在较小的攻击面中加快响应时间. 通过尽可能多的自动化, 当攻击或破坏发生时,你可以减小爆炸半径. 将安全向左转移是这些标准如何创造更快响应文化的一个例子. 这意味着在构建时和部署后通过持续的模板扫描,将安全性更早地集成到应用程序开发/部署过程中.
随着网络的发展,攻击面也在扩大. 对于攻击者来说,这是一个很大的空间,可以找到进入并最大限度地利用它. 与, 如上所述, 上下文威胁情报和优先级, 随着时间的推移,你可能会表现得像个攻击者, 保持领先一步,在问题被利用之前解决问题. 自动补救在快速处理一个又一个潜在威胁的能力中起着关键作用.