Help, I can’t see! 攻击面管理入门博客系列

最后更新于2024年9月19日星期四19:22:35 GMT

第1部分:ASM解决的问题概述和ASM及其组件的高级描述

欢迎来到我们多部分系列的第一部分， "Help! I Can’t See! 攻击面管理入门博客系列." 在本系列中，我们将探讨与…相关的关键挑战和解决方案 Attack Surface Management (ASM)这是现代网络安全战略的一个重要方面. This initial blog, titled ASM解决的问题概述和ASM及其组件的高级描述 通过研究组织在管理数字环境方面面临的日益增长的困难，以及ASM如何有效地帮助解决这些问题，奠定了基础.

推动企业向前发展的数字基础设施的快速发展(例如.g. workstations, virtual machines, containers, Edge)也使组织更难以跟踪和解释他们负责保护的网络攻击面. 尽管安全小组继续 在工具上投入过多的钱 (VM, EDR, CNAPP, etc.)来管理他们的数字环境并保护它，问题并没有得到任何改善. 在这个由3部分组成的博客系列中，我们将帮助您揭开安全数据孤岛和工具蔓延问题的神秘面纱，以便您可以回答以下相关问题

• 我有责任保护多少资产和身份?
• 有多少资产和身份缺乏端点安全或MFA等安全控制?
• 我的整体安全状况如何?

当我们看到组织花钱用于管理和保护其数字环境的工具的数量和类型时, 我们通常会看到漏洞扫描器之类的东西, endpoint security, IdP, patching, IT asset management, Cloud Service Providers, and more.  每一种工具和技术都倾向于在其核心功能上做得很好，但无意中造成了一个断裂的生态系统，为组织提供了有关其数字环境的相互矛盾的信息.

老问题:我有多少资产?

让我们看一个现实世界的例子，在这个例子中，一个组织有解决方案 Vulnerability Management (VM), 云安全态势管理(CSPM), Endpoint Security (EDR/EPP)、活动目录(目录服务)及资讯科技资产管理(ITAM).

这些工具都不能就环境中的资产数量达成一致. 在您的业务中实现100%的基于代理的工具部署实际上是不可能的(某些类型的资产不能有代理)!). 然后，跨越这些工具可见性差距就变成了一个真正的挑战. 其结果是，我们无法回答“我有责任保护多少资产”这个基本问题。.

这个事实是复杂的，因为如果我们不能就资产总数达成一致, 那么我们就不知道控制措施的数量, 存在的漏洞和暴露的数量, 以及我们环境中活跃威胁的数量. 管理和保护组织的团队依赖于不正确的信息，在这种环境中，优先级和决策制定需要基于包含IT的高保真信息, security, 和商业环境来产生最好的结果.

To drill down on  these points, 为了便于说明，让我们从信息图中挑选一些工具. Wiz将只看到云中的资产, Active Directory只看到绑定到域控制器的资产(主要是Windows), 传统的漏洞扫描器可以查看混合环境，但往往主要部署在内部. 如果您仔细研究Asset列中的数字，您将立即注意到这些工具中没有一个与环境中的资产数量一致. 对攻击面缺乏可视性和信心是一个大数据问题, 部署最新的安全工具并不能解决这个问题.

最终，我们遇到了一个行业制造的数据问题，Rapid7也无法幸免. 有很多很好的理由, 我们创造了一个支离破碎的技术生态系统，使安全团队无法获得可用的最佳数据来确定其网络风险，并使他们能够优先考虑最有效的补救和响应.

We need to see across the gaps that truly matter; for that we need Attack Surface Management.

What is Attack Surface Management?

攻击面管理(ASM)通常是一个更广泛的一部分 Exposure Management 通过专注于解决企业中最容易受到攻击的数字部分，这是一种思考网络风险的不同方式. 采用基于攻击面方法的安全程序需要考虑许多不同的元素，包括:

• 发现和盘点组织中从端点到云的所有网络资产
• 通过互联网扫描识别未知风险，并将其映射到现有资产清单
• 对这些资产的IT、安全性和业务上下文的高保真可见性和洞察力
• 资产与更广泛的网络和业务基础结构之间的关系映射

ASM是一个持续的过程，通过发现新的或更新的资产，不断评估攻击面状态, identifying the use of shadow IT 在网络或云用例中，并根据其对业务的潜在风险对暴露进行优先级排序. 这些发现和优先级元素是游戏的基本元素 持续威胁暴露管理(CTEM) initiative, 安全团队在哪里采用更全面的方法来管理组织中所有类型的暴露.

我们目前看到的一个积极趋势是，安全团队正在回归基础，专注于网络资产管理，首先发现并了解他们负责保护的资产, 以及他们的业务功能.

他们通过外部扫描来识别潜在风险更高的面向互联网的资产，从而获得对资产的可见性, this is known as 外部攻击面管理(EASM). A  complementary approach to cyber asset discovery  that provides greater insights into the whole cyber estate uses API-based integrations into existing IT management and security tools to ingest asset data; this is known as 网络资产攻击面管理(CAASM). 它们一起为组织提供了驱动安全决策所需的资产可见性.

简而言之，你无法确保你看不到的东西. 管理攻击面需要资产发现和可见性, 与环境中所有工具的丰富上下文相结合.

Attack Surface Management vs. Asset Inventory

今天的客户有一个常见的困惑，那就是他们已经有了ASM策略的元素和他们当前的资产库存方法. 这通常基于IT用于资产生命周期管理的资产清单系统. 传统的资产清单对环境的看法几乎完全基于它自己能够发现的东西, and with an IT focus. These are often agent-based,  with limited integrations, 因此，他们无法利用组织中广泛的工具, which impairs their value.

如今，许多资产清单只能在拥有已部署代理的地方发现资产, 例如端点代理或绑定到域控制器. 虽然这些技术可以有效地在端点上进行策略和配置更改, 它们没有超越特定代理的数据聚合和关联引擎. Additionally, 他们的安全见解和背景有限, 并且只能提供攻击面的部分视图, 假设没有特工有100%的覆盖率.

这在大多数组织中都不是现实, 这就是为什么我们不应该混淆资产清单和攻击面管理, 后者是一种更有效的方法，可以在整个生态系统中呈现最佳资产和安全遥测. 攻击面管理解决方案将从IT资产清单或管理工具中摄取数据，作为要整理的众多数据源之一.

本系列的下一篇博客将介绍ASM程序的不同组件, 以及如何利用它们来改善安全状况，降低网络风险.