網(wǎng)絡(luò)資產(chǎn)攻擊面管理工具的主要目標(biāo)是保護(hù)有關(guān)公司安全措施的信息免受攻擊者的侵害。在決定什么最適合企業(yè)時(shí),需要考慮以下 9 種工具����。網(wǎng)絡(luò)資產(chǎn)攻擊面管理 (CAASM) 或外部攻擊面管理 (EASM) 解決方案旨在量化攻擊面并將其最小化和強(qiáng)化。CAASM 工具的目標(biāo)是在保持關(guān)鍵業(yè)務(wù)服務(wù)的同時(shí)��,盡可能少地向?qū)κ痔峁┯嘘P(guān)業(yè)務(wù)安全狀況的信息�。
(資料圖)
如果您曾經(jīng)看過一部搶劫電影,那么執(zhí)行本世紀(jì)配樂的第一步就是包圍該地點(diǎn):觀察安全措施����、測(cè)量響應(yīng)時(shí)間并繪制逃生路線。這個(gè)過程類似于攻擊和保護(hù)企業(yè) IT 資源:獲取 Internet 上公開可見資源的知識(shí)���,了解技術(shù)堆棧的構(gòu)成��,并找到漏洞和弱點(diǎn)�����。
攻擊面管理的基礎(chǔ)知識(shí)
攻擊面是整個(gè)公司資源(也稱為資產(chǎn))��,可以通過某種形式從 Internet 訪問�����。這可能是本地托管的應(yīng)用程序�,端口通過公司防火墻打開,托管在云中的 SaaS 應(yīng)用程序��,或任何數(shù)量的公開存在的云托管資源����。攻擊面包括開放端口和協(xié)議、使用的 SSL 和加密標(biāo)準(zhǔn)��、托管的應(yīng)用程序�,甚至托管應(yīng)用程序的服務(wù)器平臺(tái)。
構(gòu)成攻擊面的單元稱為資產(chǎn)���。它們是 IP 地址或域名,再加上構(gòu)成應(yīng)用程序或服務(wù)的技術(shù)棧���。
漏洞是配置缺陷或未打補(bǔ)丁的軟件����,它們?yōu)閻阂庥脩舻墓舫ㄩ_大門以破壞一個(gè)或多個(gè)系統(tǒng)�����。
雖然攻擊面管理主要集中在面向公眾的互聯(lián)網(wǎng)上的資產(chǎn),但企業(yè)數(shù)據(jù)中心或云網(wǎng)絡(luò)范圍內(nèi)的資產(chǎn)如果沒有得到適當(dāng)?shù)谋O(jiān)控和管理�,也會(huì)使企業(yè)面臨風(fēng)險(xiǎn)。由于外部實(shí)體無(wú)法使用這些資產(chǎn)�,因此監(jiān)控它們的能力需要軟件代理或監(jiān)控服務(wù)能夠進(jìn)入您的網(wǎng)絡(luò)。
從公司網(wǎng)絡(luò)內(nèi)部來(lái)看����,服務(wù)器和應(yīng)用程序通常有一個(gè)軟肋。任何監(jiān)控工具都必須評(píng)估范圍更廣的服務(wù)��,并且在許多情況下�,以匿名用戶和經(jīng)過網(wǎng)絡(luò)身份驗(yàn)證的用戶身份測(cè)試服務(wù)。
用于攻擊面發(fā)現(xiàn)和管理的 CAASM和EASM工具
定期掃描網(wǎng)絡(luò)不再足以維持強(qiáng)化的攻擊面���。持續(xù)監(jiān)控新資產(chǎn)和配置偏差對(duì)于確保企業(yè)資源和客戶數(shù)據(jù)的安全至關(guān)重要�。
需要識(shí)別新資產(chǎn)并將其納入監(jiān)控解決方案��,因?yàn)檫@些資產(chǎn)可能是品牌攻擊或影子 IT 的一部分�。配置漂移可能是良性的,是設(shè)計(jì)變更的一部分�,但也有可能是人為錯(cuò)誤或攻擊早期階段的結(jié)果。及早識(shí)別這些變化可以讓網(wǎng)絡(luò)安全團(tuán)隊(duì)做出適當(dāng)?shù)姆磻?yīng)并減輕任何進(jìn)一步的損害����。
這里有 9 個(gè)工具可以幫助發(fā)現(xiàn)和管理風(fēng)險(xiǎn)����。
Axonius 網(wǎng)絡(luò)資產(chǎn)攻擊面管理
Axonius 提供了一個(gè)強(qiáng)大的CAASM套件���,它涵蓋了監(jiān)控攻擊面的所有關(guān)鍵因素�。Axonius 從資產(chǎn)清單開始�����,該清單會(huì)自動(dòng)更新��,并根據(jù)內(nèi)部數(shù)據(jù)源和 Axonius 可以訪問的用戶網(wǎng)絡(luò)外部資源的上下文進(jìn)行充實(shí)���。它還可以根據(jù)PCI或HIPAA等策略集的安全控制執(zhí)行監(jiān)控�,識(shí)別等同于違反策略的配置或漏洞�,允許用戶采取措施解決問題。
CrowdStrike Falcon Surface
CrowdStrike Falcon Surface EASM從對(duì)手的角度提供了一個(gè)視圖����,提供了暴露資產(chǎn)和潛在攻擊向量的實(shí)時(shí)地圖��。CrowdStrike 的資產(chǎn)清單還提供隨時(shí)間變化的歷史記錄�����,提供配置漂移的即時(shí)詳細(xì)信息。通過內(nèi)部和外部數(shù)據(jù)流開發(fā)的上下文�,可以對(duì)業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序??梢酝ㄟ^基于集成的警報(bào)和操作(通知 Slack 通道,在 Jira 或 ServiceNow 中創(chuàng)建票證����,或觸發(fā)用戶帳戶或系統(tǒng)上的操作)自動(dòng)采取補(bǔ)救措施,或者基于劇本的補(bǔ)救可以引導(dǎo)管理員通過強(qiáng)化系統(tǒng)配置或應(yīng)用系統(tǒng)更新���。
CyCognito 攻擊面管理
CyCognito 的CAASM產(chǎn)品提供對(duì)資產(chǎn)的持續(xù)監(jiān)控和清點(diǎn)����,無(wú)論它們位于本地���、云端���、第三方還是通過子公司?�?梢蕴砑铀袡?quán)和資產(chǎn)之間的關(guān)系等業(yè)務(wù)背景�,以促進(jìn)分類過程并幫助確定風(fēng)險(xiǎn)響應(yīng)的優(yōu)先級(jí)�。這種上下文和智能優(yōu)先級(jí)排序(評(píng)估諸如易于利用和資產(chǎn)分類之類的事情)有助于將重點(diǎn)放在網(wǎng)絡(luò)中最關(guān)鍵的風(fēng)險(xiǎn)上���。CyCognito 還跟蹤資產(chǎn)的配置漂移��,支持查看變更歷史并識(shí)別企業(yè)基礎(chǔ)架構(gòu)的新風(fēng)險(xiǎn)���。
Informer
Informer 帶來(lái)了EASM功能,可以跨 Web 應(yīng)用程序��、API 和面向公眾的業(yè)務(wù) IT 堆棧的其他方面自動(dòng)發(fā)現(xiàn)資產(chǎn)�。這些資產(chǎn)會(huì)受到持續(xù)監(jiān)控,實(shí)時(shí)確定任何風(fēng)險(xiǎn)的優(yōu)先級(jí)��。Informer 提供附加服務(wù)來(lái)執(zhí)行手動(dòng)風(fēng)險(xiǎn)驗(yàn)證甚至滲透測(cè)試��。Informer 基于工作流的響應(yīng)系統(tǒng)通過與現(xiàn)有的票務(wù)和通信應(yīng)用程序集成���,有助于將多個(gè)團(tuán)隊(duì)納入事件響應(yīng)���。一旦 Informer 識(shí)別出的威脅得到緩解,就可以立即啟動(dòng)重新測(cè)試以驗(yàn)證配置更改或系統(tǒng)更新是否已完全消除風(fēng)險(xiǎn)����。
JupiterOne 網(wǎng)絡(luò)資產(chǎn)攻擊面管理
JupiterOne 將其CAASM解決方案稱為一種將網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)無(wú)縫聚合到統(tǒng)一視圖中的方法。在適當(dāng)?shù)牡胤阶詣?dòng)添加上下文���,并且可以定義和優(yōu)化資產(chǎn)關(guān)系以增強(qiáng)漏洞分析和事件響應(yīng)��。自定義查詢?cè)试S網(wǎng)絡(luò)安全團(tuán)隊(duì)回答復(fù)雜的問題�����,同時(shí)可以使用交互式可視化地圖瀏覽資產(chǎn)清單���,從而能夠評(píng)估事件范圍和確定響應(yīng)的優(yōu)先級(jí)。您可以通過集成來(lái)利用您對(duì)安全工具的現(xiàn)有投資����,將 JupiterOne 轉(zhuǎn)變?yōu)槟髽I(yè)安全狀況的整體集中視圖。
Microsoft Defender 外部攻擊面管理
微軟正在企業(yè)安全領(lǐng)域悄然發(fā)揮領(lǐng)導(dǎo)作用�����,利用他們?cè)谠品矫娴耐顿Y為客戶提供價(jià)值�,其 Defender 品牌下的 EASM 產(chǎn)品也不例外。Microsoft Defender EASM提供非托管資產(chǎn)和資源的發(fā)現(xiàn)�����,包括影子 IT 部署的資產(chǎn)和資源以及駐留在其他云平臺(tái)中的資產(chǎn)。一旦確定了資產(chǎn)和資源��,Defender EASM 就會(huì)探測(cè)技術(shù)堆棧每一層的漏洞��,包括底層平臺(tái)��、應(yīng)用程序框架����、Web 應(yīng)用程序、組件和核心代碼���。
Microsoft Defender EASM 使 IT 人員能夠在發(fā)現(xiàn)漏洞時(shí)實(shí)時(shí)對(duì)漏洞進(jìn)行分類和優(yōu)先級(jí)排序��,從而快速修復(fù)新發(fā)現(xiàn)資源中的漏洞���。這是 Microsoft,Defender EASM 與其他以安全為重點(diǎn)的 Microsoft 解決方案緊密集成�����,例如 Microsoft 365 Defender�����、Defender for Cloud 和 Sentinel。
Rapid7 InsightVM
Rapid7 建立了一項(xiàng)業(yè)務(wù)���,使企業(yè) IT 能夠識(shí)別企業(yè)資源中的漏洞。事實(shí)證明�����,系統(tǒng)掃描和數(shù)據(jù)分析的基礎(chǔ)方面在攻擊面管理和InsightVM中很有用在此基礎(chǔ)上構(gòu)建�����,帶來(lái)可與上述任何其他解決方案相媲美的強(qiáng)大功能�。Rapid7 在行業(yè)中的地位如此之高,以至于他們不僅從 Mitre CVE(常見漏洞和披露)評(píng)分中提取漏洞優(yōu)先級(jí)��,他們還是 CVE 編號(hào)權(quán)威機(jī)構(gòu)��,能夠識(shí)別和評(píng)估新發(fā)現(xiàn)的漏洞���。InsightVM 監(jiān)控公司資產(chǎn)的變化��,無(wú)論是新部署的資產(chǎn)還是具有新漏洞或配置更改的資產(chǎn)��。Rapid7 還將他們的分析和儀表板印章與 InsightVM 一起使用���,允許用戶查看具有實(shí)時(shí)智能的實(shí)時(shí)儀表板或使用他們的查詢工具深入研究漏洞細(xì)節(jié)�����。
SOCRadar AttackMapper
SOCRadar 試圖通過AttackMapper為用戶提供攻擊者的資產(chǎn)視圖�,這是他們?yōu)?SOC 團(tuán)隊(duì)提供的工具套件的一部分����。AttackMapper 實(shí)時(shí)對(duì)資產(chǎn)執(zhí)行動(dòng)態(tài)監(jiān)控,識(shí)別新的或更改的資產(chǎn)并分析這些更改以查找潛在漏洞����。SOCRadar 將他們的發(fā)現(xiàn)與已知的漏洞攻擊方法相關(guān)聯(lián),以便為決策制定和分類過程提供背景信息�。AttackMapper 不僅僅監(jiān)控端點(diǎn)和軟件漏洞,因?yàn)?SSL 弱點(diǎn)和證書過期���,甚至 DNS 記錄和配置也是公平的游戲��。AttackMapper 甚至可以識(shí)別網(wǎng)站篡改���,以保護(hù)品牌聲譽(yù)���。
Tenable.asm
Tenable 多年來(lái)一直提供用于識(shí)別漏洞的工具,他們當(dāng)前的工具套件很好地滿足了現(xiàn)代 IT 安全專家的需求�����。Tenable.asm是他們的 EASM 模塊��,與 Tenable 的漏洞管理工具完全集成���。Tenable.asm 提供資產(chǎn)和漏洞詳細(xì)信息的上下文,不僅來(lái)自技術(shù)方面���,還提供完全確定響應(yīng)優(yōu)先級(jí)所需的業(yè)務(wù)級(jí)上下文�。一旦將上下文添加到資產(chǎn)和漏洞數(shù)據(jù)中��,用戶就可以查詢和過濾 200 多個(gè)元數(shù)據(jù)字段��,從而快速深入了解對(duì)業(yè)務(wù)至關(guān)重要的資產(chǎn)和資源�。
