外部攻击面管理(EASM)浅析
在信息技术高速发展的时代,随着企业的数字化转型和云计算、物联网等技术的广泛应用,企业拥有的网络资产数量急剧增长,IT基础设施日益复杂和庞大,包括硬件设备、软件服务、云服务、物联网设备等。随之带来的也就是企业面临安全风险的增加,网络漏洞的增加,网络资产安全管理变得越来越困难,大多数企业因资产管理不善而引发的网络安全事件。因此,如何管理和规避暴露面风险,成为了重要的信息安全管理的一部分。
什么是EASM?
外部攻击面管理(External Attack Surface Management,EASM),或称数字攻击面,是一种网络安全实践,是指识别、监控和管理组织的外部攻击面(攻击入口)。它是一个企业面向互联网的资产总和及相关可利用的攻击途径,互联网暴露面往往都是企业的业务活动必要性导致的。外部攻击面包括互联网暴露的服务器资产、凭证、公有云服务配置错误、源代码、暗网信息披露以及可能被攻击者利用的第三方合作伙伴软件代码漏洞等,对手往往可能会利用这些漏洞。
EASM作为一种现代化的网络安全方法,专注于识别和管理企业的外部互联网资产及其漏洞。它的主要目的是帮助寻找、识别、量化和减小企业的外部攻击面,提供攻击者视角,找出可能被利用的外部风险。通过EASM跟踪和评估这些潜在的攻击面来帮助企业更好地了解面临的风险,并采取措施来减少潜在威胁,让企业安全做到“比攻击者更懂您的外部风险”。所以认识到外部攻击面管理的重要性并采取主动措施来保护数字资产,可以防止安全漏洞及其不可避免的后果。
EASM的组成
EASM包括多个关键组成部分和活动,以管理组织面临的外部安全威胁。一般其组成包括:
(1)泛资产发现、普查和监控
通过分布式探测引擎,持续扫描和监控外部环境,对网络空间的泛资产进行搜索普查,识别、编目和持续监控从互联网可访问的一切可能被潜在攻击者利用的数字资产、敏感数据、email情报等资源,包括域名、IP地址、网页应用程序、API、云服务等,为弱点检测和风险分析打好基础。
(2)攻击触点识别和评估
在攻防视角下,依托强大的指纹库、情报库对外部泛资产进行弱点检测。对关键信息基础设施、业务系统、数据库、物联网等资产进行弱口令检测和漏洞扫描。基于关键字匹配或正则匹配,识别网站JS代码中敏感数据。利用email情报信息发现易被钓鱼利用的弱点。结合攻防情报、供应链情报等信息进行智能分析,检测易被攻击者利用的供应商高风险资产。
(3)攻击面分析
基于弱点检测结果进行综合分析研判,确定是否存在社工利用风险、漏洞利用风险、供应链风险、数据泄露风险、勒索利用等风险。通过对风险统一研判,识别外部攻击面,评估一旦发生安全事件客户业务受影响范围,并提供风险收敛优先级,以便及时进行处置闭环。
(4)风险评估、预警和缓解
评估与外部攻击面相关的风险。这种评估可帮助企业根据威胁的潜在影响和可能性优先级排序。在一旦确定了外部攻击面上的风险,可以采取措施来减少和缓解识别出的风险和漏洞,措施包括打补丁修复漏洞、限制访问权限、配置更改和安全最佳策略等。
(5)持续监控和适应
定期对外部攻击面进行持续监视和实时扫描监控、威胁情报源和漏洞管理,以检测新的或变化的资产、漏洞和威胁,之后可适应这种变化做出响应。
(6)报告和合规
生成报告和记录,以跟踪外部攻击面的状态、风险和改进措施的执行情况。对于企业安全合规性要求和安全审计也同等重要。
EASM工具
EASM的工具对于识别、监控和管理组织的暴露在互联网上的脆弱资产至关重要。常用的EASM工具有:
1)资产管理解决方案:资产管理工具帮助企业编目并跟踪所有数字资产,包括设备、软件和服务,这些都是企业外部攻击面的一部分。
2)漏洞扫描器:这些工具扫描企业的数字资产的漏洞和弱点。它们帮助企业识别攻击者可能利用的安全问题。
3)渗透测试工具:渗透测试工具模拟网络攻击以识别安全弱点。
4)安全信息和事件管理解决方案:该解决方案从各种来源收集并分析与安全相关的数据,提供实时监控、威胁检测和事件响应能力。
这些工具对于识别潜在的漏洞和威胁以及有效应对安全事件至关重要。使用EASM工具可以为企业网络安全在增强安全性、外部攻击防御、及时漏洞修复、可视化风险、满足合规性要求、降低成本等方面带来好处。
EASM是适合那些主要面临互联网暴露资产和外部攻击风险的企业,能够通过外部资产扫描和漏洞检测发现潜在的威胁。对于需要持续监控外部资产并进行威胁狩猎的安全团队来说,EASM是必不可少的工具的。总之,EASM对于希望维持强大网络安全态势的企业来说非常有价值,尤其是在面对不断演变的网络威胁和不断变化的数字景观时,主动管理外部攻击面,为减少数据泄露和安全事件的风险,采用EASM不仅是符合监管要求的需要,更是保护组织运营和维护客户信任的必要手段。
