如何運(yùn)用正確方法管理攻擊面

什么是攻擊面管理？

攻擊面管理 （ASM） 這一概念并不新鮮，但企業(yè)和漏洞管理人員 （VM） 應(yīng)該采用新的方式看待其攻擊面。攻擊面如同流沙。面對(duì)多云、私有云和公有云，通過(guò)并購(gòu) （M&A） 繼承資產(chǎn)，從供應(yīng)鏈合作伙伴以及遠(yuǎn)程工作人員獲得訪問(wèn)權(quán)限所形成的復(fù)雜局面，IT 專家不可能獨(dú)自包攬一切，跟蹤所有資產(chǎn)及其負(fù)責(zé)人。

此外，傳統(tǒng)的漏洞管理人員實(shí)踐已無(wú)法滿足當(dāng)前的需要，原因有兩點(diǎn)。首先，掃描程序所查看的內(nèi)容可能因產(chǎn)品而異，可能無(wú)法涵蓋所有風(fēng)險(xiǎn)。其次，漏洞掃描功能只能與企業(yè)用作掃描基礎(chǔ)的資產(chǎn)清單搭配使用，因此不會(huì)掃描任何未知資產(chǎn)，所以風(fēng)險(xiǎn)問(wèn)題仍然存在。

ASM 將所有這些都考慮在內(nèi)，提供連接到企業(yè)網(wǎng)絡(luò)的所有資產(chǎn)的完整清單，包括 IP 地址、域、證書(shū)、云基礎(chǔ)架構(gòu)和物理系統(tǒng)；并且可以突顯由于配置錯(cuò)誤而導(dǎo)致的潛在暴露風(fēng)險(xiǎn)。

ASM 必須以互聯(lián)網(wǎng)的速度和規(guī)模不斷發(fā)現(xiàn)、識(shí)別和降低所有面向公眾的資產(chǎn)中的風(fēng)險(xiǎn)，無(wú)論這些資產(chǎn)是在本地、云中，還是由子公司和關(guān)鍵供應(yīng)商運(yùn)營(yíng)。

立即管理攻擊面

傳統(tǒng)的資產(chǎn)盤(pán)點(diǎn)方法需要手動(dòng)操作，不僅速度緩慢，而且容易出錯(cuò)。此外，在云中使用傳統(tǒng)的虛擬機(jī)解決方案也會(huì)面臨失敗的情況，因?yàn)榇蠖鄶?shù)虛擬機(jī)掃描程序都是基于 IP 的，而云IP 是不斷變化的?！堵槭±砉た萍荚u(píng)論洞察》對(duì) 700 名高管開(kāi)展的調(diào)查顯示，如今企業(yè)有超過(guò) 50% 的 IT 資產(chǎn)都已遷移到云中，而且隨著辦公模式向遠(yuǎn)程辦公轉(zhuǎn)移，此數(shù)字正在急劇增加。在面對(duì)云環(huán)境時(shí)，企業(yè)當(dāng)前對(duì)其虛擬機(jī)基礎(chǔ)架構(gòu)的投資并未得到充分利用。為了解決這個(gè)問(wèn)題，企業(yè)可以提取由 ASM 解決方案發(fā)現(xiàn)的全面且連續(xù)的資產(chǎn)列表，以提高其虛擬機(jī)解決方案的云掃描準(zhǔn)確性，同時(shí)保護(hù)其已知和未知云資產(chǎn)的安全。

運(yùn)用正確的方法管理攻擊面

借助 Cortex? Xpanse，企業(yè)可以獲得所有互聯(lián)網(wǎng)資產(chǎn)的綜合盤(pán)點(diǎn)清單，這一清單會(huì)隨著新發(fā)現(xiàn)的資產(chǎn)和現(xiàn)有資產(chǎn)的變化而不斷更新。此盤(pán)點(diǎn)數(shù)據(jù)包含有關(guān)資產(chǎn)所有者、風(fēng)險(xiǎn)優(yōu)先級(jí)（包括對(duì)優(yōu)先處理風(fēng)險(xiǎn)原因的描述）以及與Cortex XSOAR 等工具集成以自動(dòng)處理警報(bào)的信息。

指標(biāo)和行動(dòng)

Cortex Xpanse 開(kāi)展的調(diào)研顯示，在 CVE 披露之后，威脅執(zhí)行者可以做到每小時(shí)甚至更頻繁地進(jìn)行掃描（在 15 分鐘或更短的時(shí)間內(nèi)），以便盤(pán)點(diǎn)易受攻擊的互聯(lián)網(wǎng)資產(chǎn)。而與此同時(shí)，全球企業(yè)平均需要 12 小時(shí)來(lái)找到易受攻擊的系統(tǒng)，而這還是在假設(shè)企業(yè)知曉網(wǎng)絡(luò)上所有資產(chǎn)的前提下。

當(dāng)然，漏洞管理人員也需要時(shí)刻警惕最新的零日攻擊，因?yàn)閻阂夤粽叩男袆?dòng)速度非?？?。Xpanse 發(fā)現(xiàn)，在 2021 年 3 月高調(diào)公布 Microsoft Exchange Server 和 Outlook Web Access （OWA） 漏洞后僅五分鐘的時(shí)間，就開(kāi)始了大規(guī)模掃描。

考慮到速度如此之快，平均檢測(cè)時(shí)間 （MTTD） 和平均響應(yīng)時(shí)間 （MTTR） 不應(yīng)該是漏洞管理人員的主要關(guān)注點(diǎn)，因?yàn)樗鼈兗僭O(shè)會(huì)發(fā)生違規(guī)情況。更不用說(shuō)在處理未知資產(chǎn)時(shí)，MTTR 的價(jià)值實(shí)際上是無(wú)限的。降低企業(yè)的漏洞平均識(shí)別時(shí)間（MTTI）重點(diǎn)在于發(fā)現(xiàn)漏洞和風(fēng)險(xiǎn)的速度，確保提供全面的攻擊面盤(pán)點(diǎn)并徹底阻止漏洞的出現(xiàn)。

Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅研究團(tuán)隊(duì) Unit42 發(fā)現(xiàn)，在所有勒索軟件攻擊中，有一半攻擊的初始攻擊載體是 RDP。在整個(gè)疫情期間（2020 年第一季度至第四季度），所有云提供商的 RDP 暴露風(fēng)險(xiǎn)增加了 27%。

攻擊面風(fēng)險(xiǎn)正在成倍增加，因此需要一個(gè)全面且持續(xù)更新的互聯(lián)網(wǎng)資產(chǎn)記錄系統(tǒng)。一旦企業(yè)及用戶接受這一事實(shí)并開(kāi)始努力制定攻擊面管理計(jì)劃，前方的道路就會(huì)變得清晰起來(lái)：

? 為所有連接互聯(lián)網(wǎng)的資產(chǎn)生成一個(gè)自動(dòng)化且不斷更新的單一可靠信息來(lái)源。

? 停用或隔離不需要面向互聯(lián)網(wǎng)的資產(chǎn)以減少攻擊面。

? 發(fā)現(xiàn)并確定所有已知和未知資產(chǎn)的帳戶所有者。

? 查找所有暴露風(fēng)險(xiǎn) - 漏洞、過(guò)期證書(shū)、不安全的遠(yuǎn)程訪問(wèn)協(xié)議等。

? 使用高質(zhì)量的安全編排、自動(dòng)化和響應(yīng) （SOAR） 平臺(tái)自動(dòng)進(jìn)行風(fēng)險(xiǎn)修復(fù)和報(bào)告。

? 隨著攻擊面的變化，繼續(xù)監(jiān)視、發(fā)現(xiàn)、評(píng)估和抑制風(fēng)險(xiǎn)。

攻擊面在不斷演變，云基礎(chǔ)架構(gòu)也在不斷變化。企業(yè)需要一個(gè)自動(dòng)化的攻擊面管理解決方案，由該解決方案提供其面向互聯(lián)網(wǎng)的全球資產(chǎn)和潛在錯(cuò)誤配置的完整、準(zhǔn)確清單，以不斷發(fā)現(xiàn)、評(píng)估和降低攻擊面上的風(fēng)險(xiǎn)。