攻击面管理 (ASM) 从攻击者视角出发,帮助安全团队了解 IT 缺乏治理和控制的资产,例如影子 IT、第三方系统和业务线应用程序。
IT 术语解析
攻击面管理 (ASM) 从攻击者视角出发,帮助安全团队了解 IT 缺乏治理和控制的资产,例如影子 IT、第三方系统和业务线应用程序。
ASM 结合人员、流程、技术和服务,持续发现、清点并管理组织的内部和外部资产。最终目标是确保任何已识别的暴露点在被恶意行为者利用之前得到处置。
ASM 包含三个领域:网络资产攻击面管理 (CAASM)、外部攻击面管理 (EASM)和数字风险保护服务 (DRPS)。每个领域都聚焦于特定用例:CAASM 面向资产和漏洞,EASM 面向外部资产,DRPS 面向数字资产。
顾名思义,外部攻击面管理侧重于从外向内审视攻击面,发现面向互联网的资产和系统及其相关漏洞。
EASM 可发现的资产示例包括 Web 应用程序、IP、域名、SSL 证书和云服务。EASM 识别的漏洞类型包括但不限于暴露的服务器、凭据、公有云服务配置错误、深网和暗网泄露,以及第三方软件代码中的漏洞。
除资产发现外,EASM 产品通常还提供其他功能,包括:
DRPS 将技术与服务相结合,保护数字资产和数据免受外部威胁。它将检测和监控扩展到企业边界之外——覆盖开放网络、深网、社交媒体和应用市场——以搜索针对企业数字资源的威胁,包括 IP 地址和品牌相关资产。
随着组织开展越来越多的在线活动,安全团队必须采用这些能力,并将视野扩展到企业网络内的威胁之外。DRPS 既能识别威胁,也能针对威胁行为者及其利用的工具、战术和流程提供可操作的情报。
CAASM、EASM 和 DRPS 都是 ASM 的组成部分,并聚焦于安全资产管理和问题优先级排序。这些相似性可能会让人难以区分这些解决方案之间的差异。
下表总结了 CAASM、EASM 和 DRPS 之间的差异。
| 特性/功能 | CAASM | EASM | DRPS |
|---|---|---|---|
| 重点领域 | 资产和漏洞 | 外部资产 | 数字风险 |
| 适用资产 |
|
|
|
| 构成 |
|
|
|
| 功能 |
|
|
|
| 数据来源 | 通过与现有内部工具的 API 集成进行被动数据收集:
CAASM 工具通常还会从 DRPS 和 EASM 工具收集数据。 |
| 监控对象:
|
领先的安全框架一致认为,了解您的攻击面对于构建强大的安全态势至关重要。NIST CSF 和 CIS Controls 都将其纳入基础能力。
攻击面管理之所以如此重要,是因为如果无法全面了解您的攻击面,您就无法知道哪些漏洞正在使组织暴露于风险之中。这也会导致您无法充分了解组织的风险态势,因此无法判断是否处于您的风险偏好范围内,也无法确定如何将精力用于处理最高风险的暴露点。
随着攻击面快速变化和扩展,攻击面管理只会变得更加关键。安全团队绝不能在缺乏可见性的情况下开展工作。
相关内容: 攻击面发现:如何识别组织的攻击面