众所周知,被动的网络防御已经沦为一种渐渐失效的安全策略,攻击面管理 (ASM) 是向进攻性或主动式安全方式转变的开始。企业开始意识到,他们可以看到外部远远超出自己边界的情况,尽早洞察内部威胁,并采取适当措施来缓解威胁和降低风险。
主动安全策略意味着防御方(企业)必须像攻击者一样看到整个攻击面,这样做将使企业能够使用持续测试来确定补救措施的优先级并验证防御的有效性,从而比潜在的攻击者领先一步。但是,大多数企业在考虑安全性时通常不会占据这一有利位置,并且还没有寻求诸如外部攻击面管理 (EASM) 之类的策略来保护自身的安全。
不过,EASM 已经在企业的主动安全保护实践中发挥了关键作用,并且必然会在网络安全的未来发挥价值。以下是企业如何更好地了解攻击面管理的演变以及他们可以为未来的安全建设做准备的几种方式。
当今的攻击面管理
目前,不断增长的暴露面和攻击面使得企业保护关键资产和基础设施变得复杂。影子资产成为是一个常见又重要的问题,许多企业已经受到未知、未管理或管理不善的面向互联网的资产的危害。
这种对管理网络风险的深切担忧已经上升到企业领导层的最高层。由于网络攻击导致的业务风险增加,高管和公司董事会越来越多地要求更深入地了解其组织的安全风险。此外,他们还要求通过实时数据分析和更好的项目管理来提供精准的指标。
如今,大多数安全团队采用手动的、多线程的类似 ASM 的流程,通过提供一系列面向外部资产和风险概况的情报来帮助他们管理风险。EASM 解决方案从攻击者的角度,以连续和自主的方式探测企业的可发现攻击面,帮助企业评估攻击的可能性及其弱点的影响。
虽然 ASM 流程对企业的整体安全状况已经做出了重大改进,但 EASM 解决方案仍然可以而且应该做很多事情来提高效率和易用性。
尽管当今的 EASM 解决方案提供了许多与资产洞察相关的能力,但它们无法让企业实时做出更好的基于风险的决策,从而让企业避免遭受直接的攻击威胁和第三方风险影响。EASM 解决方案也并非旨在全面管理数字业务风险。
关于 EASM 的未来预测
EASM 解决方案将成为大型企业的重要安全投资。Gartner 在其 《2022 年安全运营入门》中阐述了这一点;“要取得成功,安全与风险管理领导者必须更好地了解不断扩大的攻击面。”
那么,企业领导者应该对他们在攻击面管理方面的投资有什么期望呢?
预测1:EASM 将整合更多的数字业务风险能力,以提高其价值和投资回报率。
企业越来越受到可见性的困扰,淹没在海量的威胁情报中。这意味着他们难以发现、分类、优先排序和管理面向互联网的资产,这使他们容易受到攻击并且无法主动保护资产的安全。
随着攻击面的扩大,企业无法将其工作局限在识别、发现和监控方面,还必须通过增加持续的测试和验证来改进他们的安全管理。
为了使 EASM 解决方案更有效并减少团队需要管理的工具数量,应该将 EASM 与漏洞管理和威胁情报相结合,这种更全面的方法可通过单一解决方案解决业务和 IT 风险。
当安全厂商将威胁情报和漏洞管理集成到 EASM 解决方案中时,除了使企业内的业务线能够根据业务价值分配风险评分之外,价值还会呈指数级增长。然后,IT 安全部门、风险经理和业务负责人可以联合起来做出基于风险的决策。
预测2:EASM 将走向自动化,从而节省时间、金钱和精力。
EASM 解决方案应该能让企业轻松应对。由于各业务团队已经身处海量数据资产中,因此 EASM 解决方案在未来将旨在为安全团队的工作流程增加价值,而不是增加他们必须筛选的数据量,通过改进的自动化方式将能够达成这一点。
自动化有助于实现清晰和明确,它能够回答诸如“这些数据有多准确?”、以及“我的缓解措施是否精准?”这样的问题。
然而,太多的企业仍然依赖电子表格来管理他们的攻击面。手动更新可能一年才进行一次,每次需要 40 到 80 小时来编制一份并不完整的攻击面清单。当然,攻击者几乎不需要那么长时间就能找到暴露的资产并对其进行破坏。攻防双方识别攻击面所需的时间和覆盖度差异将给企业带来风险。
随着 EASM 解决方案的成熟,自动化呈现 360 度攻击面视图将安全人员从繁琐的工作中解放出来。这样的解决方案将有助于通过可攻击的内容确定弱点的优先级,然后安全人员可以专注于降低业务风险,从而使业务获得更大收益。
面向未来做出更有效的安全防护
安全419了解到,在国内,EASM 尚处于起步阶段,首家专注于 EASM 领域的安全厂商零零信安推出了00SEC-ASM攻击面管理系统,通过将组织机构与其不断发展的数字足迹进行映射、与漏洞情报数据进行关联, 并持续发现业务数据和代码泄露、组织机构和人员信息的泄露、以及对供应链的攻击面进行检测, 通过对全球开放网络和非公开网络的数千个情报源、数百亿量级数据、本组织自身业务上下文等进行大量数据采集和弱点优先级分析, 为组织机构输出攻击面情报,以提供给本组织更高级别的主动防御。
Log4j等影响深远的漏洞事件已经向安全团队展示了他们对外部 IT 资产知之甚少。如果我们要从攻击者发现和利用此漏洞以及其他漏洞的频率和速度方面学到一些教训,那么便是企业应该在攻击面管理、漏洞优先级评估等方面做出积极主动的实践。