攻击面管理 (ASM) 持续发现、监控、评估、确定优先级并修复企业 IT 基础设施中遭受的攻击。攻击面包括所有可能的入口点，这些入口点可能允许威胁行为者破坏应用程序、系统、设备、网络或组织。

ASM 类似于资产发现和管理，通常出现在通用 IT 安全解决方案中。然而，主要区别在于 ASM 从攻击者的角度进行威胁检测和漏洞管理。这种方法促使组织识别和评估已知和未知资产的风险，包括 IT 组织未知的恶意组件。

相关内容：阅读我们的攻击向量指南（即将推出）

在本文中：

• 为什么攻击面管理很重要？
• 什么是攻击面管理工具？
• 5 步攻击面管理流程
  • 发现资产
  • 添加上下文
  • 确定优先顺序
  • 持续测试
  • 补救
• 攻击面管理计划的组成部分是什么？
  • 识别资产并确定其优先顺序
  • 监控安全评级
  • 网络分段
  • 收集威胁情报
• 使用 LvBuG 进行攻击面管理

为什么攻击面管理很重要？

即使是小型组织也可能有很大的攻击面。使事情变得更加复杂的是，攻击面不断变化和增长。向远程工作的过渡、工作负载向云的迁移增加以及个人设备越来越多地用于工作目的，创造了组织必须保护的新攻击面。

不良行为者使用自动侦察工具来分析外部攻击面并识别利用点。安全团队必须执行相同级别的评估，以了解他们遭受攻击的风险。因此，组织必须部署提供可见性和持续监控的工具，以便在攻击者发现风险之前发现并管理风险。

什么是攻击面管理工具？

一些组织依靠资产发现工具来了解其扩展的 IT 环境。然而，虽然这些工具很有用，但它们无法完全发现组织的攻击面。

资产发现工具仅提供公司安全范围内的 IT 资产的图片。大多数攻击者位于安全范围之外，扫描组织面向公众的系统以查找可利用的漏洞。攻击面管理解决方案可以填补内部系统看到的内容与攻击者能够利用的内容之间的差距。

ASM 工具可以通过以下方式帮助组织：

• 识别可见的基础设施元素。
• 识别影子 IT、合并和合作伙伴活动产生的工件、物联网设备和云转型。
• 识别网络抢注、恶意软件和暗网。
• 识别已发现资产中的漏洞。
• 根据风险评分系统评估漏洞，以帮助确定补救措施的优先顺序。
• 协助实施安全强化机制，例如网络分段、基于角色的访问控制 (RBAC) 和零信任安全模型。

5 步攻击面管理流程

以下是大多数 ASM 工具发现资产、测试其漏洞、确定风险优先级并进行修复的流程。

1. 发现资产

您无法在不知道资产存在的情况下对其进行管理。在现代数字环境中，存在很多东西，例如过时的 IP 和凭证、影子 IT、云环境和物联网设备。遗留工具和流程很容易错过这些代表重要攻击面的资产。然而，他们很快就会被现代攻击面管理解决方案发现，这些解决方案使用与攻击者相同的先进侦察技术。

相关内容：阅读我们的外部攻击面管理指南

2. 添加上下文

业务环境和所有权是攻击面管理的关键部分。现有的资产发现工具通常无法以一致的方式提供上下文，因此很难确定修复的优先级。

有效的攻击面管理实践可确保资产富含 IP 地址、设备类型、当前使用情况、目的、所有者、与其他资产的连接以及潜在漏洞等信息。这使得安全团队能够确定网络风险的优先级，并确定是否应该删除、删除、修补或监控资产。

3. 确定优先顺序

在几乎所有情况下，不可能验证和修复针对所有资产的整个潜在攻击向量列表。因此，能够使用上下文信息来确定焦点和优先级非常重要。安全团队可以添加可利用性、可检测性、攻击者优先级和补救措施等标准，以优先处理最紧迫的任务。

4. 持续测试

测试攻击面一次的价值有限，因为每次添加新设备、用户帐户、工作负载或服务时，攻击面都会增长和变化。每个新帐户或设备都会产生配置错误、已知漏洞、零日漏洞和敏感数据泄露的风险。

针对所有攻击面持续测试所有可能的攻击向量并始终参考组织攻击面的最新版本非常重要。

相关内容：阅读我们的攻击面监控指南

5. 补救

一旦攻击面被完全映射和情境化，补救措施就可以开始。根据优先级，组织可以修复安全漏洞。这可以通过以下方式完成：

• 自动化工具，无需人工干预即可修复某些类型的漏洞。
• 安全运营团队，负责风险执行
• IT 运营团队，负责运营受影响的系统
• 开发团队，负责构建、更新和维护资产/应用程序

这些团队需要业务风险背景和关于如何解决安全问题的明确指导，以建立信任并确保有效处理补救措施。

攻击面管理计划的组成部分是什么？

有效的攻击面管理策略集成了各种安全技术和功能，以提高解决方案的效率和准确性。实施 ASM 程序时，应考虑以下要素。

识别资产并确定其优先顺序

攻击面管理计划的第一部分是发现组织面向互联网的资产。拥有清晰的资产记录对于根据资产给企业带来的风险级别对每项资产进行分类非常重要。对资产进行分类的一种方法是设置风险承受能力声明并将其与每项资产的风险水平进行比较。下一步将根据单项资产风险情况，对资产进行优先排序，实施相关控制和整治政策。

安全评级

安全评级使组织能够持续监控其 IT 环境的健康状况。了解生态系统的健康状况对于 ASM 计划的成功至关重要。完整的供应链和网络可视性使企业能够更快地识别漏洞并最大限度地减少 IT 攻击面。

安全评级对于持续监控第三方环境也很有用。与外部供应商合作时，管理第三方风险至关重要，因为供应商的安全漏洞会影响其客户。安全评级有助于识别与您的合作伙伴和供应商相关的安全风险，从而能够主动管理每个第三方的攻击面。

网络分段

网络分段使管理员能够更轻松地控制网络流量并保护资产。将网络分割成独立的、可管理的部分也有利于威胁检测。它提供了额外的网络安全层，确保攻击者即使设法破坏一个网段也无法穿越网络。

网络分段通常涉及限制谁可以访问网络每个部分的访问控制。这种方法对于实现零信任安全环境非常重要。

收集威胁情报

安全威胁情报提供了对组织威胁态势的重要可视性，有助于为针对潜在和当前攻击的保护措施提供信息。

监控工具收集的安全数据的见解可以帮助您识别可利用的网络漏洞并确定高风险威胁的优先级。威胁情报源可以监控网络犯罪活动，帮助确保组织的安全级别足够。

使用 LvBuG 进行攻击面管理

仅靠可见性不足以最大限度地降低风险和抵御攻击。组织需要了解他们的攻击面。他们需要根据不良行为者如何优先考虑和执行攻击来对资产进行风险排名。

LvBuG Assets 将道德黑客的情报与资产发现、持续评估和流程改进相结合，以降低不断扩大的数字环境中的风险。您可以在一个地方识别、分析、管理测试范围并跟踪测试结果，以获得完整的资产清单。

一旦确定，就可以对资产风险进行排名，解决覆盖范围差距并分配补救资源。我们的道德黑客社区可以丰富资产数据，包括技术映射，以实现资产跟踪和足迹。借助 LvBuG Assets，组织将了解其攻击面并做好有效抵御攻击的准备。