網(wǎng)絡(luò)資產(chǎn)攻擊面管理工具的主要目標(biāo)是保護有關(guān)公司安全措施的信息免受攻擊者的侵害��。在決定什么最適合企業(yè)時�����,需要考慮以下 9 種工具�。網(wǎng)絡(luò)資產(chǎn)攻擊面管理 (CAASM) 或外部攻擊面管理 (EASM) 解決方案旨在量化攻擊面并將其最小化和強化����。CAASM 工具的目標(biāo)是在保持關(guān)鍵業(yè)務(wù)服務(wù)的同時,盡可能少地向?qū)κ痔峁┯嘘P(guān)業(yè)務(wù)安全狀況的信息�����。
如果您曾經(jīng)看過一部搶劫電影�,那么執(zhí)行本世紀(jì)配樂的第一步就是包圍該地點:觀察安全措施、測量響應(yīng)時間并繪制逃生路線�。這個過程類似于攻擊和保護企業(yè) IT 資源:獲取 Internet 上公開可見資源的知識,了解技術(shù)堆棧的構(gòu)成����,并找到漏洞和弱點����。
攻擊面管理的基礎(chǔ)知識
攻擊面是整個公司資源(也稱為資產(chǎn))����,可以通過某種形式從 Internet 訪問。這可能是本地托管的應(yīng)用程序�����,端口通過公司防火墻打開����,托管在云中的 SaaS 應(yīng)用程序,或任何數(shù)量的公開存在的云托管資源�����。攻擊面包括開放端口和協(xié)議�、使用的 SSL 和加密標(biāo)準(zhǔn)、托管的應(yīng)用程序����,甚至托管應(yīng)用程序的服務(wù)器平臺���。
(資料圖片僅供參考)
構(gòu)成攻擊面的單元稱為資產(chǎn)。它們是 IP 地址或域名�����,再加上構(gòu)成應(yīng)用程序或服務(wù)的技術(shù)棧���。
漏洞是配置缺陷或未打補丁的軟件��,它們?yōu)閻阂庥脩舻墓舫ㄩ_大門以破壞一個或多個系統(tǒng)。
雖然攻擊面管理主要集中在面向公眾的互聯(lián)網(wǎng)上的資產(chǎn)����,但企業(yè)數(shù)據(jù)中心或云網(wǎng)絡(luò)范圍內(nèi)的資產(chǎn)如果沒有得到適當(dāng)?shù)谋O(jiān)控和管理,也會使企業(yè)面臨風(fēng)險�����。由于外部實體無法使用這些資產(chǎn)�����,因此監(jiān)控它們的能力需要軟件代理或監(jiān)控服務(wù)能夠進入您的網(wǎng)絡(luò)。
從公司網(wǎng)絡(luò)內(nèi)部來看�,服務(wù)器和應(yīng)用程序通常有一個軟肋。任何監(jiān)控工具都必須評估范圍更廣的服務(wù)�,并且在許多情況下,以匿名用戶和經(jīng)過網(wǎng)絡(luò)身份驗證的用戶身份測試服務(wù)����。
用于攻擊面發(fā)現(xiàn)和管理的 CAASM和EASM工具
定期掃描網(wǎng)絡(luò)不再足以維持強化的攻擊面。持續(xù)監(jiān)控新資產(chǎn)和配置偏差對于確保企業(yè)資源和客戶數(shù)據(jù)的安全至關(guān)重要����。
需要識別新資產(chǎn)并將其納入監(jiān)控解決方案,因為這些資產(chǎn)可能是品牌攻擊或影子 IT 的一部分��。配置漂移可能是良性的����,是設(shè)計變更的一部分,但也有可能是人為錯誤或攻擊早期階段的結(jié)果�����。及早識別這些變化可以讓網(wǎng)絡(luò)安全團隊做出適當(dāng)?shù)姆磻?yīng)并減輕任何進一步的損害��。
這里有 9 個國外的工具���,可以作為我們的理解和參考�����。
Axonius 網(wǎng)絡(luò)資產(chǎn)攻擊面管理
Axonius 提供了一個強大的CAASM套件���,它涵蓋了監(jiān)控攻擊面的所有關(guān)鍵因素��。Axonius 從資產(chǎn)清單開始���,該清單會自動更新,并根據(jù)內(nèi)部數(shù)據(jù)源和 Axonius 可以訪問的用戶網(wǎng)絡(luò)外部資源的上下文進行充實��。它還可以根據(jù)PCI或HIPAA等策略集的安全控制執(zhí)行監(jiān)控��,識別等同于違反策略的配置或漏洞���,允許用戶采取措施解決問題。
CrowdStrike Falcon Surface
CrowdStrike Falcon Surface EASM從對手的角度提供了一個視圖�,提供了暴露資產(chǎn)和潛在攻擊向量的實時地圖。CrowdStrike 的資產(chǎn)清單還提供隨時間變化的歷史記錄���,提供配置漂移的即時詳細信息����。通過內(nèi)部和外部數(shù)據(jù)流開發(fā)的上下文,可以對業(yè)務(wù)風(fēng)險進行優(yōu)先排序����。可以通過基于集成的警報和操作(通知 Slack 通道���,在 Jira 或 ServiceNow 中創(chuàng)建票證����,或觸發(fā)用戶帳戶或系統(tǒng)上的操作)自動采取補救措施�,或者基于劇本的補救可以引導(dǎo)管理員通過強化系統(tǒng)配置或應(yīng)用系統(tǒng)更新。
CyCognito 攻擊面管理
CyCognito 的CAASM產(chǎn)品提供對資產(chǎn)的持續(xù)監(jiān)控和清點���,無論它們位于本地���、云端、第三方還是通過子公司���?����?梢蕴砑铀袡?quán)和資產(chǎn)之間的關(guān)系等業(yè)務(wù)背景�,以促進分類過程并幫助確定風(fēng)險響應(yīng)的優(yōu)先級。這種上下文和智能優(yōu)先級排序(評估諸如易于利用和資產(chǎn)分類之類的事情)有助于將重點放在網(wǎng)絡(luò)中最關(guān)鍵的風(fēng)險上��。CyCognito 還跟蹤資產(chǎn)的配置漂移�����,支持查看變更歷史并識別企業(yè)基礎(chǔ)架構(gòu)的新風(fēng)險����。
Informer
Informer 帶來了EASM功能,可以跨 Web 應(yīng)用程序�����、API 和面向公眾的業(yè)務(wù) IT 堆棧的其他方面自動發(fā)現(xiàn)資產(chǎn)����。這些資產(chǎn)會受到持續(xù)監(jiān)控,實時確定任何風(fēng)險的優(yōu)先級����。Informer 提供附加服務(wù)來執(zhí)行手動風(fēng)險驗證甚至滲透測試�����。Informer 基于工作流的響應(yīng)系統(tǒng)通過與現(xiàn)有的票務(wù)和通信應(yīng)用程序集成,有助于將多個團隊納入事件響應(yīng)���。一旦 Informer 識別出的威脅得到緩解���,就可以立即啟動重新測試以驗證配置更改或系統(tǒng)更新是否已完全消除風(fēng)險。
JupiterOne 網(wǎng)絡(luò)資產(chǎn)攻擊面管理
JupiterOne 將其CAASM解決方案稱為一種將網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)無縫聚合到統(tǒng)一視圖中的方法��。在適當(dāng)?shù)牡胤阶詣犹砑由舷挛?����,并且可以定義和優(yōu)化資產(chǎn)關(guān)系以增強漏洞分析和事件響應(yīng)�。自定義查詢允許網(wǎng)絡(luò)安全團隊回答復(fù)雜的問題,同時可以使用交互式可視化地圖瀏覽資產(chǎn)清單��,從而能夠評估事件范圍和確定響應(yīng)的優(yōu)先級���。您可以通過集成來利用您對安全工具的現(xiàn)有投資����,將 JupiterOne 轉(zhuǎn)變?yōu)槟髽I(yè)安全狀況的整體集中視圖��。
Microsoft Defender 外部攻擊面管理
微軟正在企業(yè)安全領(lǐng)域悄然發(fā)揮領(lǐng)導(dǎo)作用,利用他們在云方面的投資為客戶提供價值�,其 Defender 品牌下的 EASM 產(chǎn)品也不例外。Microsoft Defender EASM提供非托管資產(chǎn)和資源的發(fā)現(xiàn)��,包括影子 IT 部署的資產(chǎn)和資源以及駐留在其他云平臺中的資產(chǎn)��。一旦確定了資產(chǎn)和資源�,Defender EASM 就會探測技術(shù)堆棧每一層的漏洞,包括底層平臺��、應(yīng)用程序框架��、Web 應(yīng)用程序����、組件和核心代碼。
Microsoft Defender EASM 使 IT 人員能夠在發(fā)現(xiàn)漏洞時實時對漏洞進行分類和優(yōu)先級排序�����,從而快速修復(fù)新發(fā)現(xiàn)資源中的漏洞�。這是 Microsoft,Defender EASM 與其他以安全為重點的 Microsoft 解決方案緊密集成����,例如 Microsoft 365 Defender、Defender for Cloud 和 Sentinel��。
Rapid7 InsightVM
Rapid7 建立了一項業(yè)務(wù)�����,使企業(yè) IT 能夠識別企業(yè)資源中的漏洞����。事實證明,系統(tǒng)掃描和數(shù)據(jù)分析的基礎(chǔ)方面在攻擊面管理和InsightVM中很有用在此基礎(chǔ)上構(gòu)建�,帶來可與上述任何其他解決方案相媲美的強大功能。Rapid7 在行業(yè)中的地位如此之高����,以至于他們不僅從 Mitre CVE(常見漏洞和披露)評分中提取漏洞優(yōu)先級,他們還是 CVE 編號權(quán)威機構(gòu)��,能夠識別和評估新發(fā)現(xiàn)的漏洞��。InsightVM 監(jiān)控公司資產(chǎn)的變化���,無論是新部署的資產(chǎn)還是具有新漏洞或配置更改的資產(chǎn)��。Rapid7 還將他們的分析和儀表板印章與 InsightVM 一起使用�,允許用戶查看具有實時智能的實時儀表板或使用他們的查詢工具深入研究漏洞細節(jié)。
SOCRadar AttackMapper
SOCRadar 試圖通過AttackMapper為用戶提供攻擊者的資產(chǎn)視圖��,這是他們?yōu)?SOC 團隊提供的工具套件的一部分����。AttackMapper 實時對資產(chǎn)執(zhí)行動態(tài)監(jiān)控,識別新的或更改的資產(chǎn)并分析這些更改以查找潛在漏洞�。SOCRadar 將他們的發(fā)現(xiàn)與已知的漏洞攻擊方法相關(guān)聯(lián),以便為決策制定和分類過程提供背景信息����。AttackMapper 不僅僅監(jiān)控端點和軟件漏洞,因為 SSL 弱點和證書過期��,甚至 DNS 記錄和配置也是公平的游戲�����。AttackMapper 甚至可以識別網(wǎng)站篡改����,以保護品牌聲譽。
Tenable.asm
Tenable 多年來一直提供用于識別漏洞的工具��,他們當(dāng)前的工具套件很好地滿足了現(xiàn)代 IT 安全專家的需求。Tenable.asm是他們的 EASM 模塊�,與 Tenable 的漏洞管理工具完全集成。Tenable.asm 提供資產(chǎn)和漏洞詳細信息的上下文���,不僅來自技術(shù)方面,還提供完全確定響應(yīng)優(yōu)先級所需的業(yè)務(wù)級上下文�。一旦將上下文添加到資產(chǎn)和漏洞數(shù)據(jù)中,用戶就可以查詢和過濾 200 多個元數(shù)據(jù)字段���,從而快速深入了解對業(yè)務(wù)至關(guān)重要的資產(chǎn)和資源�����。
