几乎所有规模的企业都依赖互联网。因此,管理并保护其面向外界的外部攻击面至关重要。

组织的外部攻击面由未经授权的用户可用于访问 IT 环境的所有潜在入口点构成。这包括网站、Web 应用程序和 API,以及远程访问点和云服务等各类资产。

攻击面的规模取决于各个组织的业务性质及其数字足迹的范围。随着企业迁移到云端以及新的数字接触点大量涌现,大多数公司的外部攻击面都在扩大。

attack surface components

外部攻击面管理 (EASM)对于增强组织安全性和降低风险至关重要。可见性是防护的基础,EASM 工具通过识别、分类和监控所有面向互联网的资产,帮助组织了解其外部攻击面。

借助这些能力,它们为网络安全团队提供所需情报,帮助团队弥合安全缺口,并在潜在威胁发生前主动防护。

了解更多:什么是攻击面?

推动 EASM 采用的原因

越来越多的公司转向 EASM 解决方案,原因有很多,其中包括以往失败案例所带来的鲜明警示。

例如,2017 年的 WannaCry 攻击利用了 Microsoft Windows 中的 EternalBlue 漏洞,加密了全球约 230,000 台计算机上的文件,黑客要求包括 Telefónica 在内的主要受害者以比特币支付赎金。适当的外部攻击面管理本可识别并修复该漏洞,从而防止攻击得逞。

以下简要列出 EASM 采用率增长的原因:

  • 网络安全威胁不断上升:自 WannaCry 以来,威胁已发生很大变化,它们变得更加复杂且更为普遍,网络犯罪分子也在不断演进,利用访问控制中的漏洞。EASM 解决方案通过持续监控,帮助组织主动响应任何可疑活动,从而降低此类风险。
  • IT 环境日益复杂:这些环境包括本地系统、云服务、移动设备,甚至包括疫情后更加普遍的 BYOD 使用场景。如果没有 EASM 解决方案来实现快速、可靠的发现,要在如此多样化的环境中确保资产安全并保持合规将非常具有挑战性。
  • 法规合规要求:这些要求主要关注数据隐私和安全,并且正变得更加严格。GDPR、HIPAA、PCI DSS 以及其他强制要求严格访问控制、发现和资产清单的规则,使合规变得并不容易。EASM 解决方案提供相应工具,帮助组织更从容地应对审计。
  • 第三方风险不断增加:许多组织依赖第三方供应商和服务商,但这也带来了额外的安全风险。EASM 解决方案可帮助评估和管理第三方供应商的安全态势,监控其外部攻击面,并确保其符合安全标准和法规要求。
  • 网络钓鱼和社会工程攻击:威胁行为者经常利用这些技术来利用外部漏洞。EASM 解决方案可帮助组织监控网络钓鱼域名、识别仿冒网站,并检测针对员工和客户的潜在攻击。

了解更多:减少组织攻击面的 8 项最佳实践

EASM 的核心要义

外部攻击面管理依赖主动方法,而传统安全措施是在威胁突破系统后才做出响应。EASM 旨在利用先进工具持续分析外部攻击面中的漏洞,从而提前阻止未经授权的访问。

采用 EASM 不同于部署网络安全产品或基于客户端的安全产品,因为在后两种情况下,大部分环境通常已知。外部攻击面管理恰恰相反:它的主要用例是发现并进一步了解未知内容。

此外,EASM 是一个持续过程。随着新服务的增加、旧服务的弃用,以及面向互联网的资产所具有的动态特性,组织的数字足迹始终在演变。外部攻击面也在不断变化,因此需要持续管理和安全更新。

EASM 如何缩小您的攻击面

第一步是识别面向外部的资产。例如,用户只需输入一个种子域名,强大的 EASM 解决方案就会爬取互联网来查找这些资产。

请注意,准确的术语是“爬取”而不是“扫描”,因为扫描通常意味着需要连接和身份验证才能发现资产。而在 EASM 场景中,重点在于所有公开可用的数据和资产。

当使用该种子域作为输入时,EASM 工具会利用 DNS、WHOIS、证书透明度日志、新闻稿、社交媒体帖子、新闻文章、博客文章和 IP ASN 等公开可用来源,进行横向发现和子域发现。无论网络、云提供商或托管账户为何,这都能提供所有暴露在公共互联网中的资产的全面清单。

此图按可见性和暴露程度展示了三大类资产。

asset categories by visibility and exposure

  • 左下方的安全区域表示组织知道某项资产存在,即使可能不确定它是否已暴露。这包括官方域名、子域名、有效证书等。
  • 下一个区域的风险更不明朗:组织可能知道某项资产存在,但并不知道它是否已暴露,例如被列入阻止列表的 IP 或暴露的 SSH 实例。
  • 危险区域则是组织完全不了解某项资产,因此也无从知晓其暴露情况。这包括暴露的开发环境和影子 IT 资产。

优秀的 EASM 解决方案可以快速、完整地提供这些资产的可见性,并洞察其潜在漏洞。它可以识别 NVD 上发布的已知漏洞 (CVE),以及开放端口、众多软件版本、常见配置错误、默认凭据检查、密钥、ASN、编程框架等。

如果外部攻击面管理解决方案提供商运营威胁情报数据库,该数据库将有助于确定哪些暴露项属于关键风险并对组织构成最大威胁,然后将这些信息报告给用户。

了解更多:如何识别组织的攻击面

EASM 的优势

实施有效的 EASM 策略和解决方案可带来诸多优势:

增强网络安全

外部攻击面管理可显著降低数据泄露风险,从而保护敏感信息并维护客户信任,同时帮助组织避免与此类泄露相关的成本和声誉损害。

改善合规性

随着 PCI、HIPAA 和 GDPR 等更多法规与行业合规标准的实施,EASM 提供的安全洞察可以发现任何不合规情况。例如,了解资产的地理位置意味着公司可以确保符合该地区的法规要求。

简化安全运营

EASM 通过提供组织外部漏洞的清晰简明概览,帮助简化并优化安全运营,使安全工作更具针对性、更高效。

第三方风险管理

组织通常会与众多第三方合作,包括供应商、合作伙伴、承包商和顾问。EASM 解决方案可以提供供应链风险洞察,帮助了解对企业自身安全构成威胁的因素。

更好地评估供应商

在引入供应商之前,EASM 解决方案可以谨慎地报告该供应商已暴露的网络安全风险。这一用例还可以扩展到并购尽职调查。


查看实际效果:Ivanti Neurons for EASM