攻击面管理不是“表面文章”
近年来,随着越来越多的企业和网络安全企业开始质疑流行了几十年的被动式网络防御方法,主动安全方法的关注热度一路攀升。而攻击面管理(ASM),正是企业迈向主动安全的第一步。
企业不断增长的攻击面使保护关键资产和基础设施变得复杂和更具挑战性。例如常见的影子IT问题,以及大量未知、未管理或管理不善的在互联网上暴露的资产让很多企业深受其害。
攻击面管理是一种方法
攻击面管理属于暴露管理(EM)的一种,其他暴露管理还包括漏洞管理和验证管理等。
攻击面管理是企业主动安全策略成败的关键,但是业界对攻击面的理解往往存在误区,导致不少人认为攻击面管理是“表面文章”。事实上,攻击面是指可能暴露在网络攻击中可被利用的所有资产,即包括面向外部的资产,例如公共云、台式机,也包括企业内部资产。
攻击面管理还经常被歪曲为特定的解决方案或流程,此类说法多见诸于过于热情的厂商营销。其实攻击面管理并非一个工具,而是一种包含多种解决方案和活动的方法。攻击面管理的目标是识别和减轻业务风险,提高企业的整体安全水平,同时不过多增加安全防御系统的复杂度。
攻击面管理的三个主要组成部分:
- 外部攻击面管理(EASM)–经常与攻击面管理混淆。外部攻击面管理仅关注面向公众的资产,如公共云。
- 数字风险保护服务(DRPS)–专注于深入了解来自深网、社交网络和开放数据容器等来源的威胁情报。这种更先进的功能需要企业具备较高的网络安全成熟度。
- 网络资产攻击面管理(CAASM)–CAASM被认为是攻击面管理实践的基石,旨在整理与组织漏洞相关的数据并对其进行有效管理。
为什么攻击面管理越来越重要?
可靠的攻击面管理方法对于获得一致的威胁视图并确定补救优先级至关重要。如果没有统一视图,企业就很难摆脱被动式安全,无法跳出战术思考看到更大的战略图景。此外,统一视图能够帮助非技术业务管理者更好地了解CISO和安全部门的工作价值。董事会不想听到CVE 12345之类的漏洞编号,他们想知道漏洞或威胁的潜在业务影响,以及为什么修复它很重要。
尚未采用攻击面管理方法的企业仍然着眼于具体的漏洞而不是业务风险。这导致企业业务部门和管理层很难理解安全团队的工作,更不用说确定优先级了。
还有一些企业准备实施攻击面管理,但没有正确的工具和流程。许多企业仍在使用Excel电子表格来跟踪其内部和外部风险管理。这给所有相关人员带来了不必要的手动工作量,效率极低,并且更有可能漏掉关键风险。
实施攻击面管理的主要挑战
实施攻击面管理的第一个重要挑战是了解相关安全需求,以及它如何与其他类似安全管理方法(例如漏洞和验证管理)配合使用。接下来是将这些需求传达给董事会,并确保他们对必要投资的支持。
第二个挑战是克服划分业务的IT孤岛。外部和内部安全团队往往不在一个频道上。(更不用说其他与安全相关的部门,例如DevOps、云和Web团队。
每个团队都有自己的议程,有自己独特的工具和流程。即使在同一个团队中,也可能有多个互不关联的解决方案——从漏洞扫描程序到代码配置。
为了构建有效、统一的攻击面管理方法,企业首先需要打通孤岛,在所有相关业务领域建立标准化视图。所有风险数据都应以相同的格式流向同一点,同时保持可见,以便CISO能清晰直观地看到所有内容。
企业规模越大,经营时间越久,各独立部门之间的梳理和沟通工作就越复杂和困难。规模较小的企业反而更加灵活,容易建立跨部门的标准化视图。
围绕攻击面管理统一安全管理
攻击面管理并非“表面文章”,组合多种工具聚合各种威胁和漏洞数据源,建立网络风险的单一管理视图主动识别潜在威胁,是一个艰巨而长期的任务。
围绕攻击面管理统一安全管理的第一步是协调每个人和每个团队。(说起来容易做起来难。必须有一个统一的风险愿景和通用的KPI来缓解漏洞,才能从单个参考点对整个组织的风险进行优先级排序。)
随着孤岛的消失,安全团队还需要优化流程、工具和任务,消除冗余,并采用自动化技术进一步提高团队的生产力。随着内部攻击面管理战略的成熟,公司可以扩大其范围,开始实施网络资产攻击面管理(CAASM)并扩大威胁情报源。