近日,Gartner发布《攻击面管理创新洞察》,展现了企业攻击面的发展现状,指出了企业进行攻击面管理的必要性。信息安全团队负责识别和管理跨内部和外部数字资产的攻击面。通过攻击面管理的产品和技术可以提高安全防御能力,并提高风险态势感知能力。
主要发现
随着技术环境的复杂及分散化,无论是在本地还是在云中,并且涉及容器、物联网和网络物理系统,企业攻击面管理的工作压力越来越大;
SaaS 应用程序和供应链逐渐形成了新型的攻击面;
对于每个企业来讲,需要提高针对内部任何安全体系漏洞可见性,这样才能建立和维持强大的安全态势感知能力。大多数企业缺乏发现、控制风险的有效能力;
随着面向公众的数字资产的扩展以及云基础设施和应用程序的使用增加,企业 IT 变得更加分散,因此需要新的方法来可视化和优先管理组织的攻击面。安全和风险管理领导者可以将资产和风险上下文聚合到一个平台中,通过数据融合分析,提高对攻击面的管理能力。
建议
负责管理企业攻击面的安全和风险管理领导者应该:
通过加大投资以更好地了解企业攻击面的情况并持续动态监控,调整其安全计划以应对新技术和业务计划带来的威胁;
创建攻击面管理 (ASM) 流程以实施技术并确定风险的优先级。前期应该重点通过技术手段提高攻击面的可视化程度;
将提供攻击面评估 (ASA) 功能的工具和服务与最重要的攻击面用例相匹配。ASA资产覆盖范围会更加广泛。
战略规划假设
通过实施网络资产攻击面管理能力,将提高风险控制的资产覆盖率;
到 2026 年,与网络资产攻击面管理、外部攻击面管理和数字风险保护服务提供的相关能力中,70%将成为企业网络安全能力的重要组成部分 。
介绍
ASM涉及人员、流程、技术和服务的组合,用于持续发现、盘点和管理组织的资产。这些资产既可以是内部的,也可以是外部的,它们会带来数字风险。这种可见性有助于减少可能被恶意威胁参与者利用的风险。ASA 涉及可用于实现 ASM 的一组工具和服务。
本研究仅关注暴露面管理的第一个支柱:ASM。ASM 的要素由三个主要能力支持:网络资产攻击面管理 (CAASM)、外部攻击面管理 (EASM) 和数字风险保护服务 (DRPS),分别以“内部“、“外部”和“数字风险”,在图 1 的第一个支柱中均有体现。暴露面管理的每个支柱都包括目标并解答用户的具体问题。
图 1:暴露面管理的组成部分
上述技术能力可以帮助企业了解自身攻击面,例如,提供攻击者的攻击入口、优先考虑攻击者发现的问题以及受影响的资产。就是说,鉴于近期企业环境和威胁形势的变化,传统的安全技术存在能力差距。例如,漏洞评估 (VA) 仅提供对组织指定扫描工具应扫描的内容(例如 IP 地址)的可见性。ASA 提供了更全面的组织资产清单和可视化界面,包括未知资产。一些 ASA 技术可以缩小能力差距,甚至可以弥补VA的短板。
新兴、创新市场和成熟市场都有 ASA 技术。这些技术可帮助企业评估更多的攻击面,并优先考虑影响受控和非受控数字资产的风险。
大多数 ASA 工具分为两大类功能:
可见性:提供一种方法来提高对“管理范围内”资产的可视化管理水平,让安全和风险管理领导者提高风险认知;
优先级:提供风险评分能力,让组织重点关注风险较高的问题。
ASA 功能与其他安全技术的功能互补或重叠,例如:VA、入侵和攻击模拟 (BAS)。
描述
攻击面管理涉及三个新兴的技术创新领域:
网络资产攻击面管理 (CAASM) 专注于使安全团队能够解决持续存在的资产可见性和漏洞挑战。它使企业能够通过与现有工具的 API 集成查看所有资产(内部和外部),查询合并的数据,识别安全控制中的漏洞范围和差距,并修复问题。
外部攻击面管理 (EASM) 使用部署的流程、技术和托管服务来发现面向互联网的企业资产、系统和相关漏洞,例如可能被利用的服务器、凭据、公共云服务错误配置和第三方合作伙伴软件代码漏洞。
数字风险保护服务 (DRPS) 通过技术和服务的组合提供,以保护关键数字资产和数据免受外部威胁。这些解决方案提供对开放网络、社交媒体、暗网和深层网络资源的可见性,以识别对关键资产的潜在威胁,并提供有关攻击者及其恶意活动的策略和流程的上下文信息。
然而,这三项技术存在部分能力重叠,因此可能会增加一些理解困难。 EASM 更加注重技术和运营,支持从事 VA、渗透测试和威胁搜寻等活动的安全运营专业人员。相比之下,DRPS 主要支持更多以业务为中心的活动,例如企业数字风险评估、合规性和品牌保护。EASM 和 DRPS 之间的另一个重要区别是后者通常提供服务覆盖。 EASM 主要关注外部资产(并积极扫描),而 CAASM 关注内部资产。此外,对于 CAASM,发现功能主要通过与现有工具的 API 集成(被动)来工作,而 EASM 使用一系列来源和方法来扫描互联网。 EASM 还专注于发现面向外部的资产,而CAASM 则依赖于其他已部署的技术作为上下文,并富化从这些技术中提取的数据,以提供组织资产库存的整体视图 。
此外,CAASM 可以清洗融合重复或不一致的数据,并自动执行修复步骤以更新数据,例如来自配置管理数据库 (CMDB) 的数据。CAASM 从来都不是记录来源,而是来自其他来源的数据的聚合器。EASM 是一个记录源,并输入 CAASM 以增加可见性(参见图 2)。
下图是三种技术覆盖的主要用例。
图 2:CAASM、EASM 和 DRPS 支持的常见用例
优点及用途
提高资产可见性使组织能够避免盲点和不受管理的资产(例如“影子 IT”),从而改善其安全状况并实现更全面的风险管理;
了解针对资产的潜在攻击路径有助于组织确定安全控制部署和配置的优先级。反过来,这有助于减少对可能被利用的互联网和公共领域的不必要暴露面;
更准确、更新、更全面的资产和安全控制报告可实现更快的审计合规性报告;
更容易采集数据,对影子 IT 资产、安装的第三方系统、缺乏治理和控制的业务线应用程序的可见性更好。安全团队需要了解这些事情,而 IT 团队可能不需要;
获得可操作的情报和有意义的指标,可以随着时间的推移进行跟踪。这些证明了将 ASM 纳入网络安全计划的价值。
风险
- ASA 工具主要由小型供应商提供。在中短期内,这些供应商可能会受到并购,并影响被投资情况;
ASA 功能主要是开源功能的集合,进入市场门槛很低。大型安全平台供应商(例如扩展检测和响应 [XDR])提供商可能会构建或获取功能,以为购买其更大的网络安全工具生态系统的组织提供更强大的 ASA 功能;
每种 ASA 技术都可能是孤立的,并且可能会在由受过培训的人员进行配置、管理和维护方面产生额外的开销;
ASA 技术的能力与其他互补市场的能力越来越重叠,例如威胁情报、端点保护平台、BAS 和 VA 市场。拥有提供明显相似可见性和风险评估相邻产品的企业,可能难以证明添加 ASA 技术的成本的合理性;
与其他工具的集成可能会受到技术限制(例如缺少 API)或由于产品的技术限制或无法协调资产信息中的冲突和重叠而导致的不完整可见性;
ASA 技术通过来自其他记录系统(例如 CMDB)的聚合和协调流程来提高资产可见性,但不能从根本上解决数据质量和颗粒度不细的源头问题。需要企业对技术进行投资,安全团队必须与源系统所有者合作修复记录系统。
采用率
Gartner 预测只有不到 10% 的组织采用了一种或多种 ASA 技术来解决其攻击面管理问题。大部分人依靠部分或手动 ASM 流程来评估其资产和相关风险。
建议
- 进行企业攻击面差距分析,以检测IT管理和安全管理中的潜在盲点。这是改进任何安全计划的基础,尤其在当下网络和安全环境越来越复杂的情况下;
ASA 技术和供应商正在迅速成熟,很可能在未来三到五年内整合成更大的供应商。评估相关的技术和市场发展,以便在安全能力和投入成本上进行权衡;
由于 ASA 技术通常是易于部署和配置,因此与其他处于生命周期早期的安全技术相比,相对容易更换。应该迅速采购解决方案,着眼于在需要时快速退役或更换;
评估关键风险驱动因素,以了解应优先考虑的相应技术。一般来讲,企业应该在 CAASM 之前安装和管理 EASM 和/或 DRPS,因为EASM和 DRPS输出资产数据是CAASM的数据基础。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
