攻击面发现:快速概览
混合云、快速开发和影子IT扩展了现代攻击面,使得完整的可见性变得至关重要,同时也比以往任何时候都更加困难。攻击面发现提供了一种解决这些可见性差距的方法,即持续映射所有数字资产——内部的、外部的以及隐藏的。
本指南涵盖了有效发现攻击面的基础知识、最佳实践和顶级工具。
攻击面发现基础
从根本上说,攻击面发现涉及建立IT基础设施的全面、实时清单,从而识别和管理相关的安全风险。
映射过程包括两个关键组成部分:
- 外部攻击面:这包括从公共互联网可见和可访问的资产。这远远超出了企业网站,延伸到暴露的云存储桶(例如亚马逊的AWS S3桶)、公共IP范围、开放端口、子域名、废弃网站(也称为“恶意”或“被遗忘”资产)以及外部API(应用程序编程接口)和第三方供应商连接。阅读更多关于未管理的面向互联网资产的网络安全风险。
- 内部攻击面:这些是仅在初始入侵后才能访问的系统。这是攻击者利用来“转向”并提升权限的入口点。针对此内部表面的攻击面发现涉及识别未跟踪的内部网络设备、遗留服务器、配置错误的员工终端以及影子IT。
有了定义清晰且已映射的攻击面,您的安全运营中心(SOC)团队可以通过强大的攻击面管理解决方案从被动姿态转变为主动姿态。
区别:攻击面发现 vs. 攻击面管理
主要区别在于,攻击面发现是识别和映射数字资产以创建完整清单的技术过程。相比之下,攻击面管理(ASM)是一个持续的操作生命周期,它利用清单来优先处理风险、修复漏洞并执行安全策略。
以下是一个有用的细分:
| 特性 | 攻击面发现 | 攻击面管理 |
|---|---|---|
| 主要目标 | 通过回答“我们拥有什么?”来提高可见性。 | 通过回答“它安全吗?”来提高网络威胁抵御能力。 |
| 行动 | 扫描、映射和清点数字资产(IP、域名、代码、影子IT)。 | 根据清单优先处理风险、协调修复并执行策略。 |
| 输出 | 全面的资产清单。 | 缩小的数字足迹和改进的安全态势。 |
攻击面发现的最佳实践
将攻击面发现操作化意味着用对整个数字足迹的持续、自动化映射来替代静态资产列表。这个过程能自主实时检测影子IT、被遗忘的基础设施和新的云部署,确保您的团队能像攻击者一样看到网络。
以下最佳实践定义了一个成熟的攻击面发现计划:
- 自动化资产枚举:使用人工智能(AI)和机器学习(ML)在公共和私有IP范围、云环境和代码库中执行自动化、大规模发现。这减少了手动工作,并准确映射资产之间的复杂关系,按所有者和功能对其进行分组。
- 丰富威胁情报:通过自动将发现的基础设施与威胁数据关联来增强资产清单。成熟的发现引擎不仅列出IP地址;还为其添加上下文标签——例如该资产是否托管已知恶意软件或与恶意行为者通信——从而提供即时态势感知。
- 集成持续监控:一次性扫描是不够的。成熟的发现需要实时跟踪以检测瞬态云实例和临时资产。这确保一旦新服务器启动或影子IT应用程序上线,它能立即被添加到清单中。
- 情境化资产重要性:成熟的发现不是提供一个扁平的IP地址列表,而是根据业务价值对资产进行分类。它能识别哪些资产是“皇冠上的明珠”(例如,支付网关、生产数据库),哪些是非关键的分阶段环境,确保下游团队拥有必要的上下文来有效确定优先级。
- 为监管范围打标签:自动化发现应识别并标记属于特定监管范围下的资产(例如,存储个人数据以供GDPR遵守的服务器或DORA下的金融系统)。这会创建一个“合规就绪”的清单,让治理团队能够立即看到哪些资产需要严格控制。
攻击面发现的顶级工具
| 工具 | 概述 | 优点(侧重于发现) | 缺点 |
|---|---|---|---|
| Censys | “互联网的谷歌”。一个搜索引擎和扫描平台,持续映射整个IPv4空间以查找资产和服务。 | 原始可见性:无与伦比的广度。它能识别标准扫描器遗漏的资产,因为它扫描整个互联网,而不仅仅是预定义的范围。非常适合查找影子IT和“未知的未知数”。 | 高噪音:因为它扫描一切,数据量可能非常庞大。需要熟练的团队来筛选结果并确定哪些真正属于您。 |
| Palo Alto Cortex Xpanse | 一个企业级主动发现平台,被美国国防部和财富500强公司用于映射全球互联网资产并将其归属于特定组织。 | 归属:最佳实践,能将随机IP链接到特定子公司或业务部门。它不仅发现资产;还告诉您谁拥有它。与防火墙深度集成,实现自动拦截。 | 成本与复杂性:专为拥有成熟SOC的大型企业设计。与轻量级SaaS扫描器相比,部署成本显著更高且更复杂。 |
| UpGuard | 一个将BreachSight(攻击面管理)与供应商风险管理相结合的平台。侧重于发现暴露的数据和第三方风险。 | 数据与供应链:强大地发现数据泄露、暴露的S3桶和供应商风险。非常适合映射“人员”和“供应链”攻击面。 | 外部聚焦:主要为外部表面扫描设计;利用部署的代理来扩展覆盖范围并识别深层内部资产。 |
| Ionix | 一个外部攻击面管理平台,映射“连接的资产”——您不拥有但依赖的基础设施。 | 依赖映射:独特的能力,能发现“第四方”资产(例如,您网站上从供应商加载的脚本)。优秀的“零输入”影子资产发现。 | 仅限外部:高度专业化于外部边界和供应链。需要与其他工具集成以获得内部网络可见性。 |
| CyCognito | 一个“由外向内”的平台,使用僵尸网络像攻击者一样扫描您的组织,定位子公司和影子IT。 | 攻击者视角:通过映射业务关系(子公司、收购)而非仅仅IP范围来发现资产。在查找“被遗忘的IT”方面具有高保真度。 | 黑盒限制:因为它从外部扫描,无法提供内部代理所能看到的深层“白盒”上下文(例如,补丁级别)。 |
| Aikido | 一个面向开发人员的安全平台,扫描源代码和云环境。侧重于“应用”表面的发现。 | 代码到云的可见性:在部署前的代码库阶段识别风险。非常适合识别应用逻辑缺陷和依赖漏洞。 | 非通用目的:它是一个应用安全工具,而非通用IT基础设施扫描器。它不会找到连接到分支机构墙壁的恶意服务器。 |
| Flare | 一个威胁暴露管理解决方案,监控“暗网”和犯罪地下网络,寻找您的资产被讨论或出售的迹象。 | 泄露发现:发现您攻击面的“被窃取”部分——被盗凭据、GitHub上泄露的API密钥以及暗网上对您域名的提及。 | 情报 vs. 基础设施:它是一个威胁情报工具,而非基础设施映射器。它告诉您什么被窃取了,而不一定告诉您拥有哪些服务器。 |
| Tenable | 一个全面的暴露管理平台(Tenable One),将外部攻击面管理映射与深层内部漏洞扫描相结合。 | 混合可见性:无与伦比的能力,将外部发现(攻击面管理)与内部漏洞数据(Nessus)关联,提供内部和外部资产的统一视图。 | 许可复杂性:获得“单一管理平台”视图通常需要升级到昂贵的“Tenable One”套件,而不仅仅是购买扫描器。 |
阅读更多关于最佳攻击面管理软件解决方案的信息 >
使用 UpGuard 扩展您的攻击面发现
通过UpGuard,您可以持续了解完整的数字足迹,消除攻击者试图利用的盲点。我们的平台自动识别并链接您组织面向互联网的资产,包括先前被忽视的测试服务器、新创建的子域名以及配置错误的云服务。
我们通过持续使用DNS、证书、网络存档和指纹识别扫描互联网来实现这一点,确保您始终拥有暴露资产的完整且最新的清单。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
