攻击面管理如何预防网络攻击？

云设施的广泛采用、组织网络的迅速发展，以及工作方式转向远程，直接导致了组织攻击面大幅扩展，连接架构中盲点增多。

攻击面扩展，加之监控分散，带来了人们不愿见到的结果：成功的网络攻击显著增加。除了臭名昭著的勒索软件，攻击也涵盖一系列其他类型。主要问题是，网络攻击者利用无人监控的盲点来破坏组织的基础设施，将攻击纵向升级或横向迁移，以谋取有价值的信息。

发现攻击是问题所在。大多数组织快速发展，但追踪所有变化内容的能力尚未跟上。要迎头赶上而对所有过去和现有资产进行编目，这一任务常被认为徒劳无益，十分复杂且耗费资源。

然而，鉴于被成功入侵的潜在代价，以及网络攻击者识别和使用暴露资产的能力增强，任何资产不受监控都可能导致灾难性后果。

这也就是攻击面管理 (ASM) 等新兴技术的用武之地。

什么是攻击面？

攻击面是指所有通过互联网访问处理或存储数据的硬件、软件、SaaS 和云资产，也可以将其视为可被网络犯罪分子利用来操纵网络或系统以提取数据的攻击向总和。攻击面包括：

• 已知资产：库存和管理的资产，例如公司网站、服务器以及依赖它们运行的内容；
• 未知资产：例如影子IT或孤立的IT基础设施，这些基础设施超出了安全团队的权限范围，例如被遗忘的开发网站或营销网站；
• 流氓资产：由威胁行为者启动的恶意基础设施，例如恶意软件、域名抢注或冒充域名的网站或移动应用程序等；
• 供应商：攻击面不仅限于组织自身，第三方和第四方供应商同样会引入重大的第三方风险和第四方风险。即便是小型供应商也可能导致大规模数据泄露。

什么是攻击面管理 (ASM) ？

ASM 是一种挖掘互联网数据集和证书数据库，或模拟攻击者侦察手段的技术。这两种方式都旨在对排查过程中发现的组织资产进行全面分析，亦包括扫描域、子域、IP、端口、影子 IT 等来排查面向互联网的资产，然后对其进行分析以找出漏洞和安全隐患。

高级ASM包括针对每个暴露的安全隐患提供可行解决建议，例如清理未使用和不必要的资产以减少攻击面，或对个人提出警告，告知其电子邮件地址随时可被用于网络钓鱼攻击。

ASM 亦包括就开放源情报 (OSINT) 进行报告，这些情报包括公开在社交媒体，甚至视频、网络研讨会、公开演讲和会议等材料上的个人信息，可能会被用于社会工程攻击或网络钓鱼活动。

攻击面管理非常重要，它有助于预防和减轻来自以下的风险：

• 遗留、物联网和影子IT资产；
• 网络钓鱼和数据泄露等人为错误和疏忽；
• 易受攻击和过时的软件；
• 未知的开源软件（OSS）；
• 针对组织的有针对性网络攻击；
• 针对所属行业的大规模攻击；
• 侵犯知识产权；
• 从并购活动中继承的IT资产；
• 供应商管理资产。

总而言之，ASM 的目标是确保所有暴露的资产都处于监控状态，并消除任何可能被攻击者利用来打入企业系统的盲点。

谁将需要 ASM ？

在关于“2021年网络安全有效性状态”的网络研讨会上，“网络布道师”大卫·克莱因(David Klein)恰好谈到了Cymulate用户采用ASM前未予以关注的发现。在采用ASM之前，他们未意识到，这一群体当中:

• 80% 没有反欺诈SPF 邮件记录
• 77% 网站缺乏保护
• 60% 有暴露的账户、基础设施和管理服务
• 58% 邮件帐户曾被黑客入侵
• 37% 使用外部托管的 Java
• 26% 没有为域名配置DMARC记录
• 23% SSL证书与主机名不匹配

人们一旦认识到这些安全漏洞其实就可以将之弥补，但在此之前，对这类暴露漏洞如此一无所知才真正令人担忧。

本分析中的 ASM 用户来自大量垂直行业、所属多种地区和组织规模。这也表明，任何拥有连网基础设施的组织都应将ASM纳入其网络安全基础设施，然后从这一举措中受益。

从哪可以获取ASM？

ASM技术虽然还很新，但其供应商数量正与日俱增。同样，考虑将ASM纳入一个先进平台而非独立产品效果更显著。

ASM解决方案的重点部分取决于与之关联的产品体系。因此，基于扩展扫描能力，与端点检测和响应(EDR)等响应式套件相关联的ASM解决方案更有可能，而纳入主动式平台(如扩展安全态势管理(XSPM))内部的ASM解决方案则更可能专注于利用扫描能力，对模拟网络攻击者的侦察手段和工具详细展开。

选择集成ASM有助于将涉及组织安全状况的数据集中在一个单一虚拟管理平台，从而降低安全运营中心(SOC)团队数据过载的风险。

研究机构Forrester在攻击面管理报告中列出ASM应用的几点建议：ASM不应仅被视为一种工具或能力，而应是工具赋能的一种规划，并且应当利用它将优先级相互冲突的团队凝聚起来。如果组织力求应用程序和基础设施的依赖关系映射达到预期状态，那么让ASM规划的目标更具可见性、进而提高可观察性，并将之视为达到这个预期状态的关键手段，就可以统一安全、技术、业务领导及团队成员，这是漏洞风险管理和内部补丁服务等级协议(SLA)肯定无法做到的。

攻击面管理对组织来说是性价比非常高的安全工作。有效收敛攻击面可以让组织在投入最低成本的情况下，最大程度降低对外暴露的安全风险。对于中大型网络来说，可以通过自建或采购安全策略管理平台方式实现系统化、自动化的攻击面管理。

参考链接：https://thehackernews.com/2022/02/how-attack-surface-management-preempts.html