网络安全 | 什么是攻击面管理？

攻击面管理ASM

`关注WX: CodingTechWork`

介绍

攻击面管理 (Attack Suface Management, ASM) 可以持续发现、分析、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击媒介。
ASM可以识别目标，并根据其暴露给恶意攻击者的可能性来评估风险，获得攻击者的视角，进行动态的主动防御，这是ASM发展的意义。
ASM 所采用的方法和资源大多与黑客相同，并且许多 ASM 任务和技术都是由熟悉网络犯罪分子行为并擅长模仿其行为的“道德黑客”所设计和执行的。
外部攻击面管理 (EASM) 是一种相对较新的 ASM 技术，有时可以与 ASM 互换使用，主要关注组织的外部或面向互联网的 IT 资产（有时称为组织的数字攻击面）中出现的漏洞和风险。
ASM 还可以解决组织的物理和社会工程攻击面中的漏洞，例如恶意内部人员或最终用户在防范网络钓鱼诈骗方面接受的培训不足。

兴起原因

新漏洞和攻击媒介的快速发展：传统的资产发现、风险评估和漏洞管理流程是在企业网络较为稳定和集中时开发的，现已无法跟上当今网络中新漏洞和攻击媒介的发展速度。如渗透测试可以测试已知资产中的可疑漏洞，但却无法帮助安全团队识别每天新出现的网络风险和漏洞。
ASM实时性强：ASM可以实时显示新出现的漏洞和攻击媒介。ASM的持续工作流程和黑客视角则让安全团队和安全运营中心 (SOC) 能够在面对不断扩大和不断变化的攻击面时建立主动的安全态势。
ASM多维度利用信息：可以利用传统风险评估和漏洞管理工具与流程中的信息，在分析和确定漏洞优先级时提供更详细的背景。
ASM集成技术：ASM可以与威胁检测和响应技术相集成，包括安全信息和事件管理 (SIEM)、终端检测与响应 (EDR) 或扩展检测和响应 (XDR)，在整个企业范围内进一步缓解威胁并加快威胁响应速度。

工作流程

介绍

ASM由四个核心流程组成：资产发现、分类和优先级排序、修复以及监控。
ASM尽量自动化执行流程，目标是确保安全团队始终拥有漏洞资产的完整且最新的清单，并更快地应对给组织带来最大风险的漏洞和威胁。

资产发现

资产发现可自动持续扫描并识别面向互联网的硬件、软件和云资产，这些资产可能会被黑客或网络犯罪分子用作攻击组织的切入点。
已知资产：所有 IT 基础架构和资源，包括路由器、服务器、公司发行或私有的设备（PC、笔记本电脑、移动设备）、IoT 设备、用户目录、本地和云端部署的应用程序、网站和专有数据库。
未知资产：在 IT 或安全团队不知情的情况下使用网络资源且“不在库”的资产。影子IT，即在没有官方管理批准或监督的情况下部署在网络上的硬件或软件，是最常见的一种未知资产。下载到用户计算机的免费字体、通过组织网络使用的个人网站或云应用程序，以及用于访问企业信息的非托管个人移动设备等都属于影子 IT。孤立IT，即尚未正确停用的不再使用的旧软件、网站和设备，是另一种常见的未知资产。
第三方或供应商资产：纳入组织 IT 基础架构或数字供应链但非组织所有的资产。这些包括软件即服务 (SaaS) 应用程序、API、公有云或组织网站中使用的第三方服务。
附属资产：属于组织子公司网络的任何已知、未知或第三方资产。合并或收购后，这些资产可能不会立即引起上级组织的 IT 和安全团队的注意。
6. 恶意或流氓资产：威胁行为者为目标公司创建或从中窃取的资产。这可能包括冒充公司品牌的网络钓鱼网站，或者数据泄露后在暗网上共享的被盗敏感数据。

分类和优先级排序

一旦识别出资产，就会对其进行分类和漏洞分析，并按“可攻击性”进行优先级排序，可攻击性本质上是衡量黑客对它们发起攻击的可能性的客观指标。
资产按照身份、IP 地址、所有权以及与 IT 基础架构中其他资产的关系入库。根据出现漏洞的可能性、原因（例如，配置错误、编码错误、缺少补丁）以及黑客可能通过这些漏洞发起的攻击类型（例如，窃取敏感数据，传播勒索软件或其他恶意软件），对它们进行分析。
按照优先级修复漏洞，确定优先级是一项风险评估工作。通常情况下，会根据以下方面对每个漏洞进行安全评级或风险评分；
1）分类和分析期间收集的信息；
2）来自威胁情报源（专有和开源）、安全评级服务、暗网和其他来源的数据，涉及黑客对漏洞的可见性、漏洞利用难易程度以及漏洞的利用方式等；
3）组织自身的漏洞管理和安全风险评估活动的结果。其中包含“红队测试”这类活动，它本质上是从黑客的角度进行渗透测试（通常由内部或第三方道德黑客执行）。红队成员不会测试已知或可疑的漏洞，而是测试黑客可能利用的所有资产。