攻击面管理（ASM）策略的主要组件

最后更新于2024年10月8日星期二20:31:20 GMT

在本博客系列的第一部分, 我们研究了一些核心挑战，这些挑战推动了对新方法的需求 攻击面管理. 在第二篇博客中，我将探讨ASM的一些关键技术方法，以及我们需要了解的一些核心资产类型. 我们可以打破 攻击表面 分为两个关键视角（或广义网络位置）, 每一个都涵盖了混合环境(云, 本地):

• 外部(EASM) -面向公众，暴露于互联网的网络资产
• 内部-私有网络可访问的网络资产

外部(EASM)

今天，大多数可用的ASM解决方案都集中在 外部攻击面管理（EASM） 哪一个提供了攻击者对组织的视角，即由外而内的视角. 事实上，对于组织和一些分析公司来说，将EASM称为ASM是很常见的. 然而, 虽然这很重要, 它只是一个小的, 以及大多数组织中攻击面的部分视图.

EASM试图通过收集有关组织暴露的互联网的遥测信息来了解组织的外部攻击面, 面向公众资产. 这种遥测来自不同的数据源，例如漏洞 & 端口扫描，系统指纹，域名搜索，TLS证书分析等. 它提供了有价值的见解，了解攻击者将瞄准的唾手可得的目标. 核心EASM功能相当于将漏洞扫描程序指向已知的外部IP地址范围.然而, 除非你的外部环境是你的主要业务, 这种可见性本身是不够的，并且使组织的可见性受到限制, 攻击面部分视图.

内部

内部攻击面通常是组织数字足迹的最大部分. 攻击者经常通过身份在组织中获得立足点, ransomware, 以及供应链攻击, 在许多其他攻击媒介中. 组织需要了解其内部攻击面，以获得对其数字资产的真正洞察，并能够通过了解其最脆弱和业务关键系统的连接方式来降低风险, 监控, 和保护.

今天, 采用ASM方法的大多数组织都手动地将来自各种来源的电子表格中的资产信息关联起来，以将业务上下文与部署在这些资产上的安全控制相结合，这样他们就可以回答有关其安全工具覆盖范围的基本问题 & 部署差距，并度量它们的遵从性.

这些电子表格中的数据源通常包括它们的目录服务，如Active directory, 结合常见安全控制（如EDR或漏洞扫描）的输出.. 这一手工过程不仅耗时，而且信息往往在第二天早上就过时了.

组织需要一个更可伸缩的解决方案来解决这个问题, 是什么导致了CAASM解决方案的发展来应对这一挑战..

介绍了一种新的攻击面和暴露管理方法CAASM

在过去的几年里，出现了一种解决攻击面发现的方法 & 以可扩展的整体方式解决可见性问题. 这是一个很长的首字母缩写，代表 网络资产攻击面管理（CAASM）.

CAASM是安全团队对资产管理的承担，但它远不止于此. 它通过跨组织的安全和It工具聚合和关联资产信息来解决内部可见性问题, 提供更清晰的信息, 更准确地了解组织的攻击面. CAASM的基础是在不同类型的资产之间构建关系的关联引擎和数据模型, 控制, 曝光和更多.  该技术能够提供资产的最佳表示，并具有来自IT和安全工具的完整上下文. 它使It成为可能, SecOps, DevOps, 和CloudOps团队通过打破工具蔓延和数据孤岛来使用相同的信息, 提高能见度, 沟通, 优先级, 以及风险补救.

CAASM解决方案通过从IT获取数据来工作, 业务应用程序, 和安全工具，通过简单的API集成，连续地从每个工具中提取资产数据, 通过聚合识别唯一的资产, 去重复和相关. 通过打破数据孤岛和工具部署差距，这为您的数字资产提供了最佳图景.  从环境中获取的数据越多，攻击面就会变得越准确.

如今，这些解决方案仍在不断发展，将身份视为资产, 创建软件清单, 并将SaaS应用程序映射为攻击面的一部分. 在寻求整体攻击面解决方案时, 您应该确保它包含以下关键功能以获得最佳可见性：

• 外部攻击面管理
• 内部攻击面管理
• 统一数据关联引擎
• 云资源感知
• 身份
• 软件目录

驱动攻击面可见性的关键资产类型

NIST对资产有一个定义 这是非常广泛的，但对本文来说已经足够了：

“对利益相关者有价值的项目……资产的价值是由利益相关者在考虑整个系统生命周期中的损失问题时确定的. 这些问题包括但不限于业务或使命问题.

基于这个定义, 我们将进一步缩小范围，专注于对理解攻击面最有价值的网络资产类型. 让我们从最基本的开始：机器.

传统资产（机器）

通常简称为“资产”,这些主要包括员工和业务应用程序计算设备,  例如工作站和服务器. 由于数字基础设施的快速发展, 这个定义正在迅速扩展到包括虚拟机等基础设施, 容器, 对象存储, 或者在攻击面管理解决方案中创建新的资产类别. 重要的是要确保您对组织中的网络资产具有可视性, 不管它们是怎么定义的.

身份

身份是新的边界, 正如一些人所说, 它们是企业的宝贵资产，因为它们允许访问企业的资源. 身份数据与其他资产一样面临着同样的数据孤岛问题. 您公司的电子邮件地址, 例如, 通常用于验证和访问许多不同的业务服务和应用程序. 如果我们能把来自活动目录的数据关联起来, Okta, 谷歌套件, Office 365, KnowBe4安全培训, 我们可以提供安全和 我 团队不仅对组织内部的身份具有可见性, 但关键挑战也在身份攻击面, 例如禁用了MFA但也具有对关键服务的管理员访问权限的身份.

身份发现和攻击面管理的一个常见挑战是，安全团队试图使用威胁数据来映射它. 检测规则与身份源在准确性上存在显著差异. 例如，活动启用的服务帐户可能会被 SIEM/XDR 由于缺乏最近的日志活动，因此将其从报告中排除. 通过将身份作为资产进行盘点, 我们可以直接从数据源的API收集服务帐户的状态. 来自源的身份遥测数据(e.g. Okta， AD)和威胁数据(e.可以利用SIEM/XDR)更准确地描述环境状态.

软件目录

随着供应链攻击的增加以及未经批准或过时软件的增加, 对软件的可见性已经成为理解攻击面的关键部分. 盘点在资产上安装和运行的所有软件, 结合了漏洞扫描软件周围的安全环境, NGAV 和 威胁情报, 为团队提供理解和度量未批准或未授权代码所带来的风险的最佳可见性. 软件清单有助于回答以下问题：

• 我的哪些机器运行的软件有新的高风险漏洞?
• 哪些机器正在运行旧软件或过时的软件?
• 在我的环境中，我们应该优先修复的最易受攻击的软件是什么?
• 我是否过度使用了应用程序许可?

其他类型的“软件相邻”资产包括SaaS应用程序和web应用程序.

现在我们已经确定了要在攻击面中监视的三种主要业务资产类型, 在下一篇博客中，我们将探讨ASM解决方案如何在您的环境中发现资产，以及需要注意哪些事项，以确保您拥有最佳的发现功能，从而不会错过大部分攻击面.