什么是攻击面管理 (ASM) 生命周期?
攻击面管理是对组织的数字资产和易受网络攻击的切入点进行识别、评估和保护的系统过程。与其他网络安全方法不同,攻击面管理解决方案从攻击者的角度主动考虑安全风险。
攻击面管理生命周期有利于采取更积极的战术,在数字攻击面寻找漏洞,以增强整体安全态势。这种生命周期方法至关重要,因为它提供了一个动态框架,帮助安全小组主动检测和降低网络风险。
网络攻击的 6 个阶段
在深入探讨攻击面管理生命周期的细节之前,有必要了解威胁参与者如何评估和利用组织的风险基础。对网络攻击六个阶段的了解为四个生命周期步骤提供了背景,以及它们如何在不同阶段挫败攻击者。
- 侦察--研究、识别和选择能够让他们实现目标的目标(例如本地部署的数字资产、面向 Internet 的资产、云环境中的数据或其他具有面向公众入口点的外部攻击面)。
- 武器化和运载:确定采用哪些方法投放恶意有效载荷(如勒索软件)。
- 利用--针对易受攻击的应用程序或系统部署漏洞利用程序,利用初始入口进入组织。
- 安装-安装恶意软件以执行进一步操作,如保持访问权限、持久性和权限升级。
- 指挥和控制-建立一个指挥通道,在受感染设备及其基础设施之间来回通信和传递信息(例如,共享监控信息、远程控制系统或执行数据入侵)。
- 目标行动--根据动机采取行动以实现目标。
攻击面管理生命周期的 4 个阶段
攻击面管理生命周期包括四个步骤或阶段,安全小组按照这四个步骤或阶段来保护数字攻击服务。它是一个持续的风险评估流程,旨在促进漏洞管理,加强组织网络安全。
攻击面管理生命周期的前瞻性方法有助于识别整个资产库存,尤其是那些高风险资产和未知资产,以便安全小组对问题进行补救,提高安全等级。
第 1 阶段:资产发现和分类
攻击面管理解决方案利用自动资产发现工具和技术识别并映射系统和应用程序。这些设备包括属于第三方、面向外部的云基地、远程和本地部署的端点,以及用户的设备(即自带设备或 BYOD)。专门的外部攻击面管理(EASM)有时用于发现多云环境中的第三方数字资产。
攻击面管理解决方案善于克服发现未经授权或未知资产的挑战。ASM 经常利用许多与潜在攻击者相同的先进侦察技术。这些系统可以持续扫描数字资产,经常实时识别数字资产。
数字资产一经识别,就会被编入一份详细的清单,其中包括硬件、软件、应用程序、数据存储设备以及所有面向 Internet 的资产。清单根据关键性、敏感性和潜在风险暴露程度进行分类。持续监控和定期更新清单对于确保攻击面管理流程持续有效至关重要。
第 2 阶段:风险评估和脆弱性管理
有了对所有资产的清晰了解,组织就可以进行 全面的风险评估 ,识别潜在的攻击载体,如过时的软件、配置错误或不安全的端点。
使用几种不同的方法来分析和评估已识别资产的严重性。这些方法包括自动漏洞扫描、渗透测试(笔测试)、配置审计、软件构成分析和威胁情报集成。这使安全小组能够了解网络风险因素,如软件缺陷、配置错误和已知漏洞。
攻击面管理解决方案使用威胁建模来分析攻击载体,以评估其成为攻击目标的可能性和潜在影响。威胁建模可帮助安全小组缩小特定系统的威胁范围,并确定威胁的优先级。这为他们提供了洞察力,节省了时间,并能快速修复重点威胁。
攻击管理解决方案提供的信息和上下文优先级排序可指导安全小组确定最佳修复方法,从而改进漏洞管理。
安全小组可以使用风险评估和上下文数据,根据可利用性、影响和以前的攻击等优先级标准来规划网络风险补救措施。这一点很重要,因为发现的漏洞往往多于可用于快速修复的资源。
第 3 阶段:实施可测量的补救措施
对攻击面的映射和上下文分析可用于指导修复工作。根据优先级,采用自动和手动攻击面管理策略。攻击面管理解决方案可帮助安全小组确定修复风险的工作流程,并提供可将某些任务自动化的工具,如:攻击面管理解决方案可帮助安全小组确定修复风险的工作流程,并提供可将某些任务自动化的工具,如:攻击面管理解决方案可帮助安全小组确定修复风险的工作流程,并提供可将某些任务自动化的工具,如:攻击面管理解决方案可帮助安全小组确定修复风险的工作流程,并提供可将某些任务自动化的工具:
- 配置更新
- 实施数据加密
- 安装补丁和更新
- 持续的资产识别和相关风险评估
- 补救控制
- 退役孤儿域名
- 扫描第三方资产,查找风险和弱点
- 系统调试
在修复过程中,会使用几种手动策略来发现自动工具可能会遗漏的问题。这些策略包括
- 由技术娴熟的安全小组进行专家分析,深入挖掘复杂的威胁
- 以人为主导的取证分析,以了解数据泄露的性质和影响
- 对系统、政策和程序进行人工审核和审查
- 定期人工渗透测试
此外,补救还可涉及更广泛的措施。这些措施包括实施 最低权限访问、 多因素身份验证(MFA),以及培训和宣传计划,以加强遵守安全惯例的重要性。
数字攻击面修复工作由几个不同的团队执行,包括
- 安全小组负责风险和漏洞管理。
- IT 运营团队--对受影响的系统进行更新。
- 开发团队--在构建、更新和维护数字资产时,将有关攻击向量的见解纳入软件开发生命周期(SDLC)。
第 4 阶段:持续改进和调整
攻击面管理是一个持续的过程。应持续重复上述详细步骤,以确保及早发现环境中可能引入新攻击载体和不断演变的攻击者战术的变化。
支持持续监控新漏洞和新威胁的攻击面管理工具有
- 配置管理工具--根据预定义的安全策略,检测并纠正网络设备和系统中的配置错误。
- 入侵检测 和 预防系统 (IDPS)--持续监控可疑活动,可自动阻止潜在威胁或发出警报。
- 补丁管理系统--自动检测过时的软件,并应用必要的补丁和更新来弥补安全漏洞。
- 安全信息和事件管理系统(SIEM)--汇集和分析来自不同来源的数据,根据已识别的威胁自动发出警报和响应流程。
- 漏洞扫描仪--扫描系统和应用程序的已知漏洞,定期提供更新和警报。
持续监控可实现攻击面管理,实时检测和评估新的漏洞和攻击载体。这些警报为安全小组提供了所需的信息,使他们能够立即采取有效的补救措施。此外,还可以对环境进行调整,以便更好地防御不断演变的威胁和零时差威胁。
补充 ASM 生命周期的策略
攻击面管理(ASM)生命周期对强大的网络安全态势至关重要。不过,必须认识到,仅靠 ASM 还不足以完全保护组织。
以下是一些可用于补充 ASM 生命周期并进一步加强安全性的策略:
减少攻击面(ASR)
减少攻击面(ASR)是攻击面管理过程中的一个重要组成部分,它涉及实施策略,最大限度地减少攻击者的潜在进入点数量。
主要策略包括要求在授予访问权限前进行多种形式的验证(如多因素身份验证),及时更新软件和系统的最新补丁(如补丁管理),以及将用户访问权限限制在其角色所严格需要的范围内(如最低权限原则,PoLP)。
网络攻击面管理(CASM)
网络攻击面管理与现有数据源集成,为组织提供持续更新的、统一的整个攻击面视图。这使安全小组能够深入了解其资产库存,并根据上下文数据确定修复的优先次序。
CASM 通过对这些资产的全面可见性、持续监控和管理,解决了系统盲点和合规性问题。这些功能可确保符合安全政策和合规性标准。
外部攻击面管理(EASM)
外部攻击面管理(EASM)可识别和保护组织面向 Internet 的资产,预防来自内部网络外部的网络威胁。该流程可识别所有面向公众的系统、服务和端点,包括网站、网络应用程序、服务器和基于云的资源。
EASM 还对这些外部资产进行分析,查找威胁参与者可能利用的弱点、配置错误或过时组件。这种对面向互联网的攻击面的持续监控,使安全小组能够发现新出现的风险。
数字风险保护服务(DRPS)
数字风险保护服务是专门的网络安全解决方案,侧重于识别、监控和减轻传统安全边界之外的数字风险。它包括威胁情报、品牌保护、数据泄露检测、欺诈和网络钓鱼检测以及声誉监控。有了 DRPS,安全小组可以将网络风险漏洞管理扩展到内部网络之外。
ASM 生命周期要应对的挑战
应对基于云的攻击载体
攻击面管理生命周期可应对许多挑战,尤其是管理跨越复杂多云环境的基于云的攻击载体。它提供的工具和流程可帮助安全小组全面了解云环境。
这样就能更彻底地识别和管理多云和混合云服务模式(包括 SaaS、IaaS 和 PaaS)中的资产。
IoT 和远程工作人员的注意事项
攻击面管理解决方案可解决 IoT 和远程工作人员的问题。远程工作人员和 IoT 设备都助长了周界和攻击面的扩大。
攻击管理生命周期可帮助安全小组监控这些分布式用户和设备。它还有助于管理安全保护措施,降低其风险。这包括管理端点安全,以及持续监控和更新整个庞大的 IoT 和远程工作者环境中的安全措施。
不断变化的威胁格局
按照攻击面管理生命周期的各个阶段,可以加快对不断演变和新出现的威胁的检测和应对。持续监控可提供洞察力,识别当前的漏洞并预测未来的威胁。这样就能采取积极主动的网络安全方法,让安全小组始终走在威胁的前面。
这些能力得到了有关新兴威胁、攻击模式和威胁参与者的威胁情报的支持。它还利用了道德黑客,他们提供了与自动系统不同的视角。他们模拟的网络攻击能在威胁参与者利用之前找到攻击载体。
攻击面管理生命周期常见问题解答
