共计 2089 个字符,预计需要花费 6 分钟才能阅读完成。
攻击面治理(Attack Surface Management)是蕴含、传输或解决敏感数据的内部数字资产的继续发现、盘点、分类、优先级排序和安全监控。2018 年,Gartner 提倡企业平安负责人开始监控并严格管理攻击面,并将攻击面治理纳入网络安全风险管理打算的一部分,这也是企业向被动平安转变的开始。
什么是攻击面?
要理解攻击面治理,首先要定义攻击面(Attack Surface)。攻击面是能够从 Internet 拜访并解决或存储企业数据的所有硬件、软件、SaaS 服务和云资产。企业的攻击面包含:
- 已知资产:库存和治理的资产,比方公司网站、服务器以及在下面运行的依赖项
- 未知资产:影子 IT(Shadow IT)或孤立的 IT 基础设施,这些基础设施超出了企业平安团队的权限,比方被忘记的开发网站或营销网站
- 歹意资产:由恶意软件、域名仿冒域名或假冒企业域名的网站或挪动应用程序等歹意攻击者构建的歹意基础设施。
- 供应商:企业的攻击面不仅限于企业自身,第三方和第四方供应商同样会引入重大平安危险。即便是小型供应商也可能导致 大量数据泄露。
攻击面趋势
云配置谬误
云计算是数据存储的将来。Gartner 预测,将有超过 60% 的企业将应用云治理产品。而因为云谬误配置导致云泄露,会对企业云服务造成肯定影响。这类问题容易被修复,但时常被企业漠视,有时甚至会导致大规模数据泄露。
第三方危险
随着企业对开发效率的需要大幅晋升,许多企业将外围经营外包给第三方供应商,这也造成企业的攻击面扩充。SecureLink Ponemon Institute 2021 年的考察发现,超过 50% 的受访者示意他们所在的企业经验过第三方数据泄露。这也阐明,仅仅爱护企业外部攻击面是不够的。企业须要精确评估供应商的危险敞口(Exposure),对供应商进行渎职考察以防止数据泄露。
为什么减小攻击面不是一个牢靠的解决方案?
企业经常通过管制以下内容来进步信息安全性:
运行的代码量
不受信赖的用户可用的入口点,比方访问控制、基于角色的访问控制(Role-Based Access Control, RBAC)和最小权限准则
运行的面向 Internet 的 Web 应用程序、挪动应用程序和服务的数量
尽管这的确缩小了组织的攻击面,但并不能防止安全控制(Security Control)生效的状况产生。如果攻击者先于企业发现的面向 Internet 的资产中的破绽,他们依然能够通过装置恶意软件和勒索软件或制作数据泄露事变,来给企业造成损失。
为什么攻击面治理很重要?
攻击面治理重要性来自于其可能帮忙企业预防和加重来自以下方面的危险:
- 传统、物联网和影子 IT 资产
- 网络钓鱼和数据泄露等人为谬误和脱漏
- 易受攻击和过期的软件
- 未知的开源软件 (OSS)
- 对企业所在行业的大规模攻打
- 对企业进行有针对性的网络攻击
- 知识产权侵权
- 从并购流动中继承的 IT
- 供应商治理资产
攻击面治理解决方案的工作原理
古代攻击面治理应遵循五个步骤:
1. 资产发现
任何攻击面治理解决方案的初始阶段都是发现所有蕴含或解决企业的敏感数据(如个人身份信息、商业秘密等)且面向 Internet 的数字资产。
这些资产能够由企业以及第三方(如云提供商、IaaS 和 SaaS、业务合作伙伴、供应商或内部承包商)领有或经营。以下攻击面治理解决方案辨认和扫描的数字资产列表:
- Web 应用程序、服务和 API
- 挪动应用程序及其后端
- 云存储和网络设备
- 域名、SSL 证书和 IP 地址
- 物联网和连贯设施
- 公共代码存储库,例如 GitHub、BitBucket 和 Gitlab
- 电子邮件服务器
2. 库存和分类
在发现资产之后,企业就能够开始数字资产清单和分类(IT 资产清单)流程。在这个步骤中,企业能够依据以下内容对资产进行标记和调度:
类型
技术个性和性能
业务关键性
合规要求
所有者
3. 危险评分和平安评级
危险评分和平安评级可疾速辨认影响每项资产的平安问题,以及它们是否裸露了可能导致数据泄露或其余网络攻击的信息。
平安评级是对企业平安情况进行基于数据的、主观的且动静的掂量。与浸透测试、平安考察问卷或现场拜访等传统危险评估技术不同,平安评级源自主观的、内部可验证的信息。
4. 继续的安全监控
继续的安全监控是攻打治理解决方案最重要的性能之一。简单的网络攻击技术每天在更新,新的技术也一直呈现,零日破绽越久未被发现和修补,形成的威逼侵害就越大。无效的攻击面治理须要 24/ 7 全天候监控企业资产,以发现新发现的安全漏洞、弱点、谬误配置和合规性问题。
5. 歹意资产和事件监控
上述步骤可能帮忙发现企业及其第三方供应商经营的已知和未知资产。在当代网络环境中,歹意行为者经常通过部署歹意资产进行攻打:
- 鱼叉式网络钓鱼(Spear Phishing)网站
- 电子邮件欺骗
- OPSEC(Operation Security)故障
- 勒索软件
- 域名抢注或仿冒域名
上述网络攻击裸露了企业的敏感数据,而这些数据在最后的入侵后的很长时间依然在 Internet 上可见。如果信息继续裸露在外,这些数据可能会在将来的攻打中被进一步利用。因而攻击面治理解决方案须要蕴含对网络钓鱼网站、与企业相干的虚伪挪动应用程序和虚伪社交媒体等歹意资产和事件的继续跟踪和监控。