攻击面管理 ASM 技术详解和达成
发布时间:2022-06-25 13:12:01 所属栏目:安全 来源:互联网
导读:对于功能堆叠的刚性防御体系来说,立体化攻击就如同降维打击的存在。所以需要获得攻击者的视角,进行动态的主动防御。这就是攻击面管理诞生的初衷。继《2021安全运营技术成熟度曲线》之后,Gartner又在《新兴技术:外部攻击面管理关键洞察》中进行了一系列详
|
对于功能堆叠的刚性防御体系来说,立体化攻击就如同降维打击的存在。所以需要获得攻击者的视角,进行动态的主动防御。这就是攻击面管理诞生的初衷。继《2021安全运营技术成熟度曲线》之后,Gartner又在《新兴技术:外部攻击面管理关键洞察》中进行了一系列详细的描述: 资产的识别及清点:识别未知的(影子)数字资产(如网站、IP、域名、SSL证书和云服务),并实时维护资产列表; 漏洞修复及暴露面管控:将错误配置、开放端口和未修复漏洞根据紧急程度、严重性来进行风险等级分析以确定优先级; 云安全与治理:识别组织的公共资产,跨云供应商,以改善云安全和治理,EASM可以提供全面的云资产清单,补充现有的云安全工具; 数据泄漏检测:监测数据泄漏情况,如凭证泄漏或敏感数据; 子公司风险评估:进行公司数字资产可视化能力建设,以便更全面地了解和评估风险; 供应链/第三方风险评估:评估组织的供应链和第三方有关的脆弱性及可见性,以支持评估组织的暴露风险; 并购(M&A)风险评估:了解待并购公司数字资产和相关风险。 网络资产攻击面管理(CAASM)则倾向于以智能化的手段更高效的识别组织内部的资产和漏洞。CAASM是一种新兴的技术,专注于使安全团队能够解决持久的资产可见性和漏洞的挑战。它使组织能够通过API与现有工具的集成、对合并后的数据进行查询、识别安全控制中的漏洞和差距的范围,以及修复问题,来查看所有资产(包括内部和外部)的风险。(以上是Gartner的定义,从笔者的角度来看,这更像是一个更强大的、进行智能化拓展后的漏洞管理系统,也许未来漏洞管理系统的功能模型就将是CAASM。)需要特别指出的地方是,Gartner认为“攻击面管理能力可跨越到其他现有的安全领域,主要是数字风险保护服务(DRPS)”。甚至在2021年10月25日其发布的《Competitive Landscape: Digital Risk Protection Services》中预言:到2023年底,超过50%的DRPS供应商将增加EASM功能,作为其数字足迹功能的自然扩展。由于国内某些概念的误导,DRPS的技术纲要并没有正确的被传达,为了更有效的说明ASM应该包含的技术点,有必要对它进行技术点说明。Gartner:通过提供技术与服务,保护组织的关键数字资产和数据免受外部威胁。这些解决方案提供了对开放(表面)网络、社交媒体、暗网和深网的可视性,以识别关键资产的潜在威胁,并提供有关威胁参与者、其进行恶意活动的策略和流程的背景信息。 攻击面管理产品应具备以下功能: 1.攻击面管理(ASM)功能组 网络空间测绘(CAM) 网络空间测绘技术诞生已有10年历史,技术成熟,这里不再进行详细说明,需要说明的是,它必须从全互联网角度进行测绘,以保证不会遗漏组织的外部IT资产和影子资产。 组织架构和关联组织的识别 为了保证组织对应IT资产的全面和准确(尤其是对于影子资产),以及为子公司和有关联(M&A)的企业进行评估,必须优先进行组织架构的识别和映射。 数字足迹的映射 这个概念很好理解,就是要将相关组织、子公司、关联组织等与IT资产进行映射。但是从实践的角度出发,传统的网络空间测绘的引擎设计逻辑需要进行调整,以目前先进行盲测再使用关键字识别、icon识别和标签等方法,很难做到全面和准确的映射。 供应链的识别和风险暴露面 供应链攻击在最近一年对全球造成了很大影响,需要对组织使用的产品、第三方组件,供应商进行尽可能的探测、识别和风险暴露面的发现。2.威胁情报(TI)功能组这里提到的威胁情报,并非狭义上定义的“僵木蠕威胁情报”,而是更广义的,会对业务和数据造成直接影响的情报源的探测和主动情报收集。随着《数据安全法》和《个人信息保护法》的颁布和执行,该部分既涉及到组织自身的业务影响,也涉及到合法合规问题,所以本章仅列出内容,在下述章节详细讨论。这里特别说明的是,该部分必须包含“对暗网的可视性”。 业务数据和数字资产泄露情报 隐私数据泄露和内部人员数据泄露情报 3.漏洞优先级技术(VPT)功能组漏洞优先级技术(VPT)至少应该包含4个主要功能和一些辅助功能,具体包括: 全面、快速的资产发现能力 多类型扫描器调度和多维度漏洞评估 漏洞情报和智能优先级排序 漏洞全生命周期管理流程和自动编排 基于以上功能说明,对攻击面管理产品的定位和功能模型就很清晰了,其可以描述为: 攻击面管理系统(产品):将组织与其不断发展的外部和内部IT系统及数字足迹进行映射、与漏洞情报数据进行关联,并持续发现业务数据和代码泄露、组织和人员信息的泄露、以及对供应链的攻击面进行检测,通过对全球开放网络和非公开网络的情报源、组织自身业务上下文等进行大量数据采集和弱点优先级分析,为组织输出攻击面情报,以提供给组织更高级别的主动防御。 (编辑:天瑞地安资讯网_保定站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐