攻击面管理(Attack Surface Management)是包含、传输或处理敏感数据的外部数字资产的持续发现、清点、分类、优先级排序和安全监控。2018年,Gartner 倡导企业安全负责人开始监控并严格管理攻击面,并将攻击面管理纳入网络安全风险管理计划的一部分,这也是企业向主动安全转变的开始。
什么是攻击面?
要了解攻击面管理,首先要定义攻击面(Attack Surface)。攻击面是可以从 Internet 访问并处理或存储企业数据的所有硬件、软件、SaaS 服务和云资产。企业的攻击面包括:
- 已知资产:库存和管理的资产,比如公司网站、服务器以及在上面运行的依赖项
- 未知资产:影子 IT(Shadow IT)或孤立的 IT 基础设施,这些基础设施超出了企业安全团队的权限,比如被遗忘的开发网站或营销网站
- 恶意资产:由恶意软件、 域名仿冒域名或冒充企业域名的网站或移动应用程序等恶意攻击者构建的恶意基础设施 。
- 供应商:企业的攻击面不仅限于企业本身,第三方和第四方供应商同样会引入重大安全风险。即使是小型供应商也可能导致 大量数据泄露。
攻击面趋势
云配置错误
云计算是数据存储的未来。Gartner 预测,将有超过60%的企业将使用云管理产品。而由于云错误配置导致云泄露,会对企业云服务造成一定影响。这类问题容易被修复,但时常被企业忽视,有时甚至会导致大规模数据泄露。
第三方风险
随着企业对开发效率的需求大幅提升,许多企业将核心运营外包给第三方供应商,这也造成企业的攻击面扩大。SecureLink Ponemon Institute 2021年的调查发现,超过50%的受访者表示他们所在的企业经历过第三方数据泄露。这也说明,仅仅保护企业内部攻击面是不够的。企业需要准确评估供应商的风险敞口(Exposure),对供应商进行尽职调查以避免数据泄露。
为什么减小攻击面不是一个可靠的解决方案?
企业常常通过控制以下内容来提高信息安全性:
运行的代码量
不受信任的用户可用的入口点,比如访问控制、基于角色的访问控制(Role-Based Access Control, RBAC)和最小权限原则
运行的面向 Internet 的 Web 应用程序、移动应用程序和服务的数量
虽然这确实减少了组织的攻击面,但并不能避免安全控制(Security Control)失效的情况发生。如果攻击者先于企业发现的面向 Internet 的资产中的漏洞,他们仍然可以通过安装恶意软件和勒索软件或制造数据泄露事故,来给企业造成损失。
为什么攻击面管理很重要?
攻击面管理重要性来自于其能够帮助企业预防和减轻来自以下方面的风险:
- 传统、物联网和影子 IT 资产
- 网络钓鱼和数据泄露等人为错误和遗漏
- 易受攻击和过时的软件
- 未知的开源软件 (OSS)
- 对企业所在行业的大规模攻击
- 对企业进行有针对性的网络攻击
- 知识产权侵权
- 从并购活动中继承的 IT
- 供应商管理资产
攻击面管理解决方案的工作原理
现代攻击面管理应遵循五个步骤:
1. 资产发现
任何攻击面管理解决方案的初始阶段都是发现所有包含或处理企业的敏感数据(如个人身份信息、商业机密等)且面向 Internet 的数字资产。
这些资产可以由企业以及第三方(如云提供商、IaaS 和 SaaS、业务合作伙伴、供应商或外部承包商)拥有或运营。 以下攻击面管理解决方案识别和扫描的数字资产列表:
- Web 应用程序、服务和 API
- 移动应用程序及其后端
- 云存储和网络设备
- 域名、SSL 证书和 IP 地址
- 物联网和连接设备
- 公共代码存储库,例如 GitHub、BitBucket 和 Gitlab
- 电子邮件服务器
2. 库存和分类
在发现资产之后,企业就可以开始数字资产清单和分类(IT 资产清单)流程。 在这个步骤中,企业可以根据以下内容对资产进行标记和调度:
类型
技术特性和性能
业务关键性
合规要求
所有者
3. 风险评分和安全评级
风险评分和安全评级可快速识别影响每项资产的安全问题,以及它们是否暴露了可能导致数据泄露或其他网络攻击的信息。
安全评级是对企业安全状况进行基于数据的、客观的且动态的衡量。与渗透测试、安全调查问卷或现场访问等传统风险评估技术不同,安全评级源自客观的、外部可验证的信息。
4. 持续的安全监控
持续的安全监控是攻击管理解决方案最重要的功能之一。复杂的网络攻击技术每天在更新,新的技术也不断出现,零日漏洞越久未被发现和修补,构成的威胁损害就越大。有效的攻击面管理需要24/7全天候监控企业资产,以发现新发现的安全漏洞、弱点、错误配置和合规性问题。
5. 恶意资产和事件监控
上述步骤能够帮助发现企业及其第三方供应商运营的已知和未知资产。在当代网络环境中,恶意行为者常常通过部署恶意资产进行攻击:
- 鱼叉式网络钓鱼(Spear Phishing)网站
- 电子邮件诈骗
- OPSEC(Operation Security)故障
- 勒索软件
- 域名抢注或仿冒域名
上述网络攻击暴露了企业的敏感数据,而这些数据在最初的入侵后的很长时间仍然在 Internet 上可见。如果信息持续暴露在外,这些数据可能会在未来的攻击中被进一步利用。 因此攻击面管理解决方案需要包含对网络钓鱼网站、与企业相关的虚假移动应用程序和虚假社交媒体等恶意资产和事件的持续跟踪和监控。