云计算的快速应用,及远程办公方式的兴起,直接导致组织的攻击面迅速扩大,并导致联网架构出现越来越多的盲点。攻击面扩大和监控系统零散造成的恶果是,得逞的网络攻击数量显著增加。主要问题是网络攻击者利用不受监控的盲点,闯入组织的基础设施,提升攻击力度或横向移动,伺机寻找有价值的信息。
大多数组织跟踪所有相关的可变因素、清点所有过去和现在资产的能力跟不上其发展需要——这常常被视为一项复杂又耗费资源的任务,几乎没多少短期效益。然而,考虑到受攻击的潜在成本,及有可能导致的灾难性后果,组织仍然需要重视这一问题,在此情况下,攻击面管理(Attack Surface Management,简称“ASM”)等新兴技术有了用武之地。
ASM是一种技术,通过挖掘互联网数据集和证书数据库,或模拟采用侦察技术的攻击者,来全面分析组织资产。这两种方法都包括扫描组织的域、子域、IP、端口和影子IT等,以查找面向互联网的资产,并对它们进行分析,以发现漏洞和安全缺口。高级ASM可针对每个发现的安全缺口,为组织提供实用的应对方法,如清理未使用和不必要的资产以减小攻击面,警告用户其电子邮件地址唾手可得、可能被用于网络钓鱼攻击等。
ASM包括报告开源情报(OSINT)功能——开源情报可能用于社会工程攻击或网络钓鱼活动中,比如社交媒体上公开的个人信息,甚至视频、网络研讨会、公开演讲和会议内容等材料。ASM的最终目的是,确保没有暴露的资产未受监控,并消除任何盲点。
尽管这项技术仍然很新颖,但ASM供应商的数量越来越多。与往常一样,最好将ASM视作一种更成熟平台的一部分,而不是视作一种独立产品。ASM解决方案关注的重心取决于与其关联的产品,例如与端点检测和响应(EDR)等响应式套件相关联的ASM解决方案重心在于基于增强型的扫描功能,而内置在扩展安全态势管理(XSPM)等主动式平台中的ASM解决方案则可能更专注于利用扫描功能,来加强模拟网络攻击者的侦察技术和工具。选择集成的ASM有助于将与组织安全态势相关的数据集中到单一管理平台中,从而降低安全运营中心(SOC)团队数据过载的风险。
参考链接:
https://thehackernews.com/2022/02/how-attack-surface-management-preempts.html