【安全运营】关于攻击面管理相干概念的梳理（一）

一、ASM 介绍

ASM 是“Attack Surface Management”（攻击面管理）的缩写【框架视角，广义概念】

1. 介绍

• 攻击面管理 (Attack Surface Management, ASM) 可以持续发现、分析、修复和监控构成组织攻击面的网络安全毛病和潜伏攻击媒介。
  
• ASM 可以识别目标，并根据其暴露给恶意攻击者的可能性来评估风险，获得攻击者的视角，进举措态的主动防御，这是 ASM 发展的意义。
  
• ASM 所接纳的方法和资源大多与黑客相同，并且许多 ASM 任务和技术都是由认识网络犯罪分子举动并善于模拟其举动的“道德黑客”所计划和执行的。
  
• 外部攻击面管理 (EASM) 是一种相对较新的 ASM 技术，有时可以与 ASM 互换使用，主要关注组织的外部或面向互联网的 IT 资产（有时称为组织的数字攻击面）中出现的毛病和风险。
  
• ASM 还可以办理组织的物理和社会工程攻击面中的毛病，例如恶意内部人员或终极用户在网络垂纶诈骗方面担当的培训不足。
  

2. 兴起的原因

• 新毛病和攻击媒介的快速发展：传统的资产发现、风险评估和毛病管理流程是在企业网络较为稳定和集中时开辟的，现已无法跟被骗今网络中新毛病和攻击媒介的发展速度。如渗透测试可以测试已知资产中的可疑毛病，但却无法资助安全团队识别每天新出现的网络风险和毛病。
  
• ASM 实时性强：ASM 可以实时显示新出现的毛病和攻击媒介。ASM 的持续工作流程和黑客视角则让安全团队和安全运营中央 (SOC) 能够在面对不断扩大和不断变革的攻击面时建立主动的安全态势。
  
• ASM 多维度使用信息：可以使用传统风险评估和毛病管理工具与流程中的信息，在分析和确定毛病优先级时提供更详细的背景。
  
• ASM 集成技术：ASM 可以与威胁检测和相应技术相集成，包罗安全信息和事件管理 (SIEM)、终端检测与相应 (EDR) 或扩展检测和相应 (XDR)，在整个企业范围内进一步缓解威胁并加快威胁相应速度。
  

3. 工作流程

ASM 由四个焦点流程构成：资产发现、分类和优先级排序、修复以及监控。ASM 尽量自动化执行流程，目标是确保安全团队始终拥有毛病资产的完备且最新的清单，并更快地应对给组织带来最大风险的毛病和威胁。
3.1 资产发现

• 资产发现可自动持续扫描并识别面向互联网的硬件、软件和云资产，这些资产可能会被黑客或网络犯罪分子用作攻击组织的切入点。
  
• 已知资产：全部 IT 基础架构和资源，包罗路由器、服务器、公司发行或私有的设备（PC、条记本电脑、移动设备）、IoT 设备、用户目录、本地和云端摆设的应用程序、网站和专有数据库。
  
• 未知资产：在 IT 或安全团队不知情的情况下使用网络资源且“不在库”的资产。影子 IT，即在没有官方管理答应或监督的情况下摆设在网络上的硬件或软件，是最常见的一种未知资产。下载到用户计算机的免费字体、通过组织网络使用的个人网站或云应用程序，以及用于访问企业信息的非托管个人移动设备等都属于影子 IT。孤立 IT，即尚未正确停用的不再使用的旧软件、网站和设备，是另一种常见的未知资产。
  
• 第三方或供应商资产：纳入组织 IT 基础架构或数字供应链但非组织全部的资产。这包罗软件即服务 (SaaS) 应用程序、API、公有云或组织网站中使用的第三方服务。
  
• 附属资产：属于组织子公司网络的任何已知、未知或第三方资产。合并或收购后，这些资产可能不会立即引起上级组织的 IT 和安全团队的留意。
  
• 恶意或流氓资产：威胁举动者为目标公司创建或从中窃取的资产。这可能包罗冒充公司品牌的网络垂纶网站，或者数据泄露后在暗网上共享的被盗敏感数据。
  

3.2 分类和优先级排序

• 一旦识别出资产，就会对其进行分类和毛病分析，并按“可攻击性”进行优先级排序，可攻击性本质上是衡量黑客对它们发起攻击的可能性的客观指标。
  
• 资产按照身份、IP 地址、全部权以及与 IT 基础架构中其他资产的关系入库。根据出现毛病的可能性、原因（例如，配置错误、编码错误、缺少补丁）以及黑客可能通过这些毛病发起的攻击范例（例如，窃取敏感数据，流传打单软件或其他恶意软件），对它们进行分析。
  
• 按照优先级修复毛病，确定优先级是一项风险评估工作。通常情况下，会根据以下方面对每个毛病进行安全评级或风险评分：
  
  
  
  • 分类和分析期间收集的信息；
    
  • 来自威胁情报源（专有和开源）、安全评级服务、暗网和其他来源的数据，涉及黑客对毛病的可见性、毛病使用难易水平以及毛病的使用方式等；
    
  • 组织自身的毛病管理和安全风险评估运动的结果。此中包含“红队测试”这类运动，它本质上是从黑客的角度进行渗透测试（通常由内部或第三方道德黑客执行）。红队成员不会测试已知或可疑的毛病，而是测试黑客可能使用的全部资产。
    
  
  

3.3 修复

• 通常按优先级序次修复毛病。
  
• 安全控制步调：例如，应用软件或操作系统补丁，调试应用程序代码，实施增强的数据加密。
  
• 控制从前未知的资产：为从前不受管理的 IT 设置安全尺度，安全地淘汰孤立 IT，消除流氓资产，将子公司资产集成到组织的网络安全战略、战略和工作流程中。
  
• 跨资产步调：修复还包罗实施更广泛的跨资产步调来修复毛病，例如实施最小特权访问战略或多因子认证 (MFA)。
  

3.4 监控

• 由于每次摆设新资产或以新方式摆设现有资产时，组织中攻击面的安全风险都会发生变革，因此要持续监视和扫描在库的网络资产和网络本身以发现毛病。
  
• 持续监控使 ASM 能够实时检测和评估新的毛病和攻击媒介，并提醒安全团队留意需要立即关注的任何新毛病。
  

二、EASM 介绍

EASM 是 “External Attack Surface Management”（外部攻击面管理）的缩写

它专注于管理和淘汰组织从互联网上可见的、可能被攻击者使用的数字资产和接口。EASM 办理方案旨在资助安全团队识别其网络界限之外的安全问题，这些问题可能是由于第三方服务、旧系统、未授权的影子 IT（Shadow IT，即未经正式答应就在公司内部使用的硬件或软件）、或者配置错误所导致。
EASM 的主要功能和优势包罗：

• 自动化的资产发现：持续扫描互联网以查找属于组织的全部公开暴露的资产，无论这些资产是否在企业的直接控制之下。
  
• 外部视角的风险评估：提供一个攻击者的视角来评估企业对外暴露的服务、端口、应用程序和其他可能构成风险的因素。
  
• 威胁情报集成：结合最新的威胁情报信息，资助企业相识哪些外部暴露最有可能被当前活跃的威胁举动体所使用。
  
• 优先级排序与修复指导：根据潜伏影响和被使用的可能性对发现的问题进行优先级排序，并为修复工作提供建议。
  
• 合规性支持：确保企业的公开配置符合相干的法规和尺度要求，降低因违规而面临的法律风险。
  
• 第三方风险管理：监控和评估合作伙伴、供应商品级三方的网络安全状态，防止通过他们引入的间接风险。
  

EASM 工具和服务对于希望保持对其数字足迹全面掌控的企业至关重要，尤其是在云接纳增加和长途工作趋势下，越来越多的资产和服务暴露于公共网络中。通过使用 EASM，组织可以更主动地掩护自己免受源自外部的网络攻击。
三、CAASM 介绍

CAASM 是 “Cyber Asset Attack Surface Management”（网络资产攻击面管理）的缩写

它是一种旨在资助组织识别、评估和淘汰其数字资产暴露在网络攻击下的风险的安全实践。CAASM 平台通常整合来自多种安全工具的数据，提供一个集中的视图来管理和监控组织的攻击面。
主要功能包罗：

• 资产发现：自动发现并记录全部与网络相连的设备和系统，无论是内部摆设照旧云环境。
  
• 持续监控：实时或近实时地跟踪变革，确保对新出现的风险快速相应。
  
• 毛病管理：识别已知毛病，并优先处置惩罚那些最可能被使用的毛病。
  
• 合规性查抄：确保配置符合行业尺度和法规要求。
  
• 第三方风险管理：评估供应链和其他外部合作伙伴带来的潜伏威胁。
  
• 报告和分析：生成详细的报表，资助企业理解其安全态势，并为决议提供依据。
  

通过这些功能，CAASM 办理方案有助于企业更有效地管理和降低其网络安全风险，同时提高运营服从。随着网络威胁的不断演变，CAASM 成为了现代信息安全战略中不可或缺的一部分。
四、三者的区别

ASM、EASM 和 CAASM 都是专注于管理和淘汰组织攻击面的安全实践，但它们的关注点和作用范围有所不同。以下是三者的区别：
类别ASMEASMCAASM定义攻击面管理外部攻击面管理网络资产攻击面管理偏重点内部+外部资产仅外部资产全部网络资产范围全面安全战略互联网暴露面内部/云端资产(互联网暴露面)功能发现/监控资产自动化发现/监控资产资产管理，毛病管理，合规性查抄毛病管理+补丁管理+配置管理结合威胁情报本领集成多种安全工具，夸大对网络资产的持续可见性和控制力 五、一些产品

• 魔方外部攻击面管理系统 EASM (SaaS) | 攻击面精细化运营
  
• 魔方网络资产攻击面管理系统 CAASM
  
• 华云安公司–灵洞
  

by 久违

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。