跳转至内容部分

IT 术语解析

什么是攻击面管理?

攻击面管理 (ASM) 从攻击者视角出发,帮助安全团队了解 IT 缺乏治理和控制的资产,例如影子 IT、第三方系统和业务线应用程序。

ASM 结合人员、流程、技术和服务,持续发现、清点并管理组织的内部和外部资产。最终目标是确保任何已识别的暴露点在被恶意行为者利用之前得到处置。 

ASM 包含三个领域:网络资产攻击面管理 (CAASM)、外部攻击面管理 (EASM)和数字风险保护服务 (DRPS)。每个领域都聚焦于特定用例:CAASM 面向资产和漏洞,EASM 面向外部资产,DRPS 面向数字资产。 


相关内容:Ivanti 网络安全现状研究报告系列:攻击面管理 

什么是网络资产攻击面管理 (CAASM)? 

CAASM 可提供组织内部和外部资产的完整、最新且整合的视图,例如端点、服务、设备和应用程序。 

CAASM 产品通过从现有内部来源收集数据来实现这一点,例如资产发现IT 资产管理端点安全漏洞管理补丁管理工具,并通过 API 集成从工单系统收集数据。 

随后,它会自动汇总、规范化并去重所收集的数据,并在单一用户界面中呈现,从而无需 IT 和安全团队手动收集和核对资产数据。CAASM 产品还支持团队查询所收集的数据、识别安全漏洞、发现安全控制缺口并修复问题。 

什么是外部攻击面管理? 

顾名思义,外部攻击面管理侧重于从外向内审视攻击面,发现面向互联网的资产和系统及其相关漏洞。 

EASM 可发现的资产示例包括 Web 应用程序、IP、域名、SSL 证书和云服务。EASM 识别的漏洞类型包括但不限于暴露的服务器、凭据、公有云服务配置错误、深网和暗网泄露,以及第三方软件代码中的漏洞。 

除资产发现外,EASM 产品通常还提供其他功能,包括: 

  • 主动对云、IT、IoT 和 OT 环境进行外部扫描。 
  • 分析资产,以确定其是否存在风险、漏洞或异常行为。 
  • 根据业务影响、被恶意行为者利用的可能性等因素对资产进行优先级排序。 
  • 修复工作流,并与工单系统、安全编排、自动化与响应 (SOAR) 解决方案及其他工具集成。 

什么是数字风险保护服务 (DRPS)? 

DRPS 将技术与服务相结合,保护数字资产和数据免受外部威胁。它将检测和监控扩展到企业边界之外——覆盖开放网络、深网、社交媒体和应用市场——以搜索针对企业数字资源的威胁,包括 IP 地址和品牌相关资产。 

随着组织开展越来越多的在线活动,安全团队必须采用这些能力,并将视野扩展到企业网络内的威胁之外。DRPS 既能识别威胁,也能针对威胁行为者及其利用的工具、战术和流程提供可操作的情报。 

CAASM、EASM 和 DRPS 有何区别? 

CAASM、EASM 和 DRPS 都是 ASM 的组成部分,并聚焦于安全资产管理和问题优先级排序。这些相似性可能会让人难以区分这些解决方案之间的差异。 

下表总结了 CAASM、EASM 和 DRPS 之间的差异。 

特性/功能 CAASM EASM DRPS 
重点领域 资产和漏洞 外部资产 数字风险 
适用资产 
  • 端点 
  • 服务器 
  • 设备 
  • 应用程序 
  • Web 应用程序 
  • IP 
  • 域名 
  • SSL 证书 
  • 云服务 
  • IP 地址 
  • 域 
  • 品牌相关资产 
构成 
  • 技术 
  • 技术
  • 服务 
  • 流程 
  • 技术
  • 服务 
功能 
  • 收集、汇总、规范化、去重并呈现数据。 
  • 查询所收集的数据。 
  • 识别安全漏洞。 
  • 发现安全控制缺口。 
  • 修复问题。 
  • 发现资产。 
  • 对云、IT、IoT 和 OT 环境进行主动外部扫描。 
  • 分析资产。 
  • 对资产进行优先级排序。 
  • 利用修复工作流。 
  • 与第三方工单系统、SOAR 解决方案和其他工具集成。 
  • 检测并监控企业边界之外的威胁。 
  • 获取有关威胁行为者的可操作情报。 
  • 缓解活动威胁。 
  • 开展必要活动,以阻止未来威胁并保护数字资产。 
数据来源 

通过与现有内部工具的 API 集成进行被动数据收集: 

  • 资产发现。 
  • ITAM。 
  • 端点安全。 
  • 漏洞管理。 
  • 补丁管理。 
  • 工单系统。 

CAASM 工具通常还会从 DRPS 和 EASM 工具收集数据。 

  • EASM 执行的主动全互联网扫描。 
  • 被动 DNS。 
  • WHOIS。 

监控对象: 

  • 开放网络。 
  • 深网。 
  • 暗网。 
  • 社交媒体。 
  • 应用市场。 

为什么攻击面管理很重要? 

领先的安全框架一致认为,了解您的攻击面对于构建强大的安全态势至关重要。NIST CSF 和 CIS Controls 都将其纳入基础能力。 

攻击面管理之所以如此重要,是因为如果无法全面了解您的攻击面,您就无法知道哪些漏洞正在使组织暴露于风险之中。这也会导致您无法充分了解组织的风险态势,因此无法判断是否处于您的风险偏好范围内,也无法确定如何将精力用于处理最高风险的暴露点。 

随着攻击面快速变化和扩展,攻击面管理只会变得更加关键。安全团队绝不能在缺乏可见性的情况下开展工作。


相关内容: 攻击面发现:如何识别组织的攻击面