引言
网络安全是当今社会的重要话题,随着数字化转型的加速,企业的网络资产和数据不断增多和复杂化,同时也面临着越来越多的安全威胁和挑战。黑客利用各种手段和技术,不断寻找和利用企业在互联网上暴露的网络资产和数据,进行各种形式的攻击,如数据泄露、勒索软件、供应链攻击等,给企业带来巨大的经济损失和声誉危机。
那么,如何才能有效地保护企业的网络资产和数据呢?传统的方法,如网络资产扫描识别、漏洞扫描等,虽然可以获取一些信息,但是往往不够全面、准确和及时。随着网络资产的数量和复杂度不断增加,以及黑客的技术和手段不断进步,这些方法已经不能满足企业安全的需求。因此,外部攻击面管理(External Attack Surface Management,EASM)成为了一个日益重要的领域。
01 什么是EASM?
外部攻击面管理是指通过自动化、智能化和可视化的方式,以攻击者的视角,持续地发现、监测和优化企业在互联网上暴露的所有网络资产和数据,以降低安全风险和提高安全防御能力。
EASM的主要能力如下:
-
监测:持续扫描各种环境(如云服务和面向外部的企业内部基础设施)和分布式生态系统(如物联网基础设施);
-
资产发现:发现和清点企业未知的面向外部的资产和系统;
-
分析:评估和分析资产属性,确定资产是否存在风险、脆弱性或异常行为;
-
优先排序:对风险和漏洞进行优先排序,并根据优先排序分析提供预警和优先级分析;
-
修复:提供优先缓解措施的实施计划,以及修复缓解工作流程,并集成像工单系统、事件响应工具、SOAR等解决方案。
外部攻击面管理可以帮助企业:
-
识别及清点资产:识别未知的数字资产(如网站、IP、域名、SSL证书和云服务),并实时维护资产列表;
-
修复漏洞及暴露面管控:将错误配置、开放端口和未修复漏洞根据紧急程度、严重性来进行风险等级分析以确定修复优先次序;
-
云安全与治理:识别组织的公共资产,跨云供应商,以改善云安全和治理,EASM可以提供全面的云资产清单,补充现有的云安全工具;
-
检测数据泄漏:监测数据泄漏情况,如凭证泄漏或敏感数据通过协作工具和云应用程序或第三方使用的协作工具暴露的敏感数据;
-
评估子公司风险:进行公司数字资产可视化能力建设,以便更全面地了解和评估风险;
-
评估供应链/第三方风险:评估组织的供应链和第三方有关的脆弱性及可见性,以支持评估组织的暴露风险;
-
评估并购(M&A)风险:了解待并购公司数字资产和相关风险。
-
监测和预防威胁:通过对外部攻击面进行实时和动态的监测,可以及时发现潜在的网络安全风险并进行风险预警、风险处置、情报收敛等修复手段,规避来自黑客的攻击——如网络钓鱼、勒索软件、供应链攻击等,从而减少安全损失和影响。
图1 EASM的主要应用场景
EASM不仅可以帮助企业发现传统的互联网IP、域名资产,还可有效帮助其发现:凭证、影子资产、APP、公众号、小程序、API、供应链等在公网中暴露的泛资产,这些资产往往存在极大的安全风险,极易被攻击者所利用并入侵,从而引发企业的网络安全事件。除此之外,EASM还可以有效地帮助企业发现敏感数据的泄露情况,比如被泄露在暗网、黑客论坛、匿名社交软件、网盘、文库、社交媒体等平台的商业合同、客户信息、业务代码、研究成果等敏感数据,这些数据可能被恶意利用,引发恶意入侵、勒索等事件,EASM则可帮助客户快速了解数据泄露风险,避免造成严重的商誉和经济损失。
其次,由于网络空间军事化进程加快,犯罪参与者基于互联网的开放性、联通性等技术特性,利用演变的外部威胁和漏洞,从外部侵入内部,控制重要设施,窃取机密情报。对国家安全,特别是关键信息基础设施安全带来了极大威胁,因此,EASM也成为了国家、政府、企业所关注的重点。
有了外部攻击面管理,企业就可以从攻击者的视角出发,由外向内地审视企业安全情况,更好地保护自己免受外部攻击面的威胁。事实上,许多知名企业已经成功地利用外部攻击面管理来提升自己的网络安全。
图2 内外部视图
02 EASM市场的现状和未来
在《Gartner Hype Cycle™ for Security Operations, 2021》报告中,Gartner将EASM列为创新触发阶段的技术之一,说明EASM是一个新兴且有潜力的领域,正在吸引越来越多的关注和投资。Gartner认为,EASM可以为安全风险管理领导者提供有价值的风险背景和可行的信息,通过四个主要能力:持续监测暴露资产、外部资产发现、风险分析和评估、以及与工单系统和SOAR工具的集成。
图3 Gartner Hype Cycle for Security Operations, 2021
Gartner还指出,EASM市场正在快速发展,有许多厂商和产品正在提供EASM服务,并预计未来几年内会有更多的厂商和产品进入这个市场。Gartner建议安全运营领导者在选择EASM服务时,要考虑以下几个方面:资产覆盖范围、风险检测能力、云安全能力、数据泄露能力、攻防实战能力、以及与其他安全工具和服务的集成能力。
目前,国际上有一些知名的EASM厂商和产品,如BitSight、RiskIQ、UpGuard、Expanse等,它们主要面向欧美等发达地区的客户,提供成熟和专业的EASM服务。而在国内,EASM市场还处于起步和发展阶段,有一些具有创新能力和实战经验的厂商和产品正在崛起,如零零信安、长亭科技、华安云、云科安信等,它们主要面向国内的客户,提供更适合本土化需求和场景的EASM服务。
而从国内合规的角度来看,2022年10月12日国家市场监督管理总局和国家标准化管理委员会正式发布《信息安全技术-关键信息基础设施安全保护要求》分析识别方面,第五章“5主要内容及活动”的内容中,明确要求围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。主动防御方面,第10章明确指出收敛暴露面,要求以应对攻击行为的监测发现为基础,开展互联网暴露面治理,全面了解互联网暴露面,并收敛暴露面。
综上所述,可见EASM市场的优秀前景,也反映了EASM平台的重要价值和优势。作为网络安全领域的新风口,EASM平台可以帮助企业有效地应对日益增长的外部攻击面威胁,提升网络弹性和业务竞争力。未来,随着网络安全形势的日益严峻,以及法律法规的日益完善,EASM市场将迎来更大的发展机遇和挑战。EASM厂商和产品将需要不断地创新和优化,以适应更多的网络资产和风险场景,如物联网、工业控制系统、区块链等,以及更多的安全产品和服务的集成和协作,如SOC、SIEM、MDR、XDR等。同时,EASM厂商和产品也将需要更加注重客户的价值和体验,提供更加智能化、自动化、可视化和定制化的EASM服务。
03 如何选择合适的EASM平台?
对于想要使用EASM平台来提升网络安全水平的企业而言,如何选择合适的EASM平台是一个重要而又不容易的问题。因为不同的EASM平台可能有着不同的优势和特点,也可能有着不同的局限和缺点。因此,在选择EASM平台时,需要考虑以下几个方面:
-
资产发现能力:这是EASM平台最基本也最核心的能力,即能够发现企业在互联网上暴露的所有网络资产和数据。一个好的EASM平台应该具备全面、准确、及时、持续的资产发现能力,能够覆盖企业互联网、内网和多云环境中的各种类型和形式的网络资产。
-
风险检测能力:这是EASM平台最重要也最关键的能力,即能够检测企业外部攻击面中存在的各种风险和威胁。一个好的EASM平台应该具备深入、实时、动态、全方位的风险检测能力,能够识别并评估网络资产中存在的各种漏洞、配置错误、敏感信息等,并提供相应的修复建议或自动化修复方案。
-
云安全能力:这是EASM平台最新也最前沿的能力,即能够适应企业在云环境中的网络资产和数据的安全管理。一个好的EASM平台应该具备灵活、高效、可扩展的云安全能力,能够对云服务器、云数据库、云存储、云网络等安全模块进行风险检查和优化,并支持多种云服务商和云平台的接入和集成。
-
数据泄露能力:这是EASM平台最紧急也最敏感的能力,即能够防止和应对企业数据在外部攻击面中的泄露和滥用。一个好的EASM平台应该具备及时、准确、全面的数据泄露能力,能够监测并报警企业数据在外部攻击面中的泄露风险,如凭证泄露、敏感数据暴露、未授权访问等,并提供相应的预防和应急措施。
-
攻防实战能力:这是EASM平台最实用也最有趣的能力,即能够模拟和演练企业外部攻击面中可能遭受的真实攻击场景。一个好的EASM平台应该具备专业、创新、有挑战的攻防实战能力,能够根据企业外部攻击面的特点和风险,设计并执行各种类型和级别的攻防演习,如网络钓鱼、勒索软件、供应链攻击等,并提供相应的评估和反馈。
04 绿盟科技T-ONE外部攻击面管理服务
基于市场及政策导向,绿盟科技将推出 T-ONE CLOUD 外部攻击面管理服务,为客户提供更加便捷和经济的EASM解决方案。T-ONE CLOUD 外部攻击面管理服务,简称:T-ONE CLOUD EASM,是一款集暴露面识别、风险分析、风险预警为一体,为客户提供外部攻击面管理的SaaS服务。服务以攻击者视角出发,持续监测客户、分支机构、供应链暴露在互联网侧的资产、系统及其关联的脆弱性,分析可能被攻击者利用的风险及攻击路径,可比攻击者更快速、更全面、更精准发现攻击触点,及时进行风险预警,辅助客户采取措施闭环处置,持续提高安全能力。
图4 绿盟 T-ONE CLOUD EASM
绿盟科技的 T-ONE CLOUD 外部攻击面管理服务内容如下:
-
资产普查:通过持续扫描和监控外部环境,识别资产存活状态、操作系统、关联域名、开放端口、对外服务、banner等信息。同时基于已知资产台账,梳理影子资产,监控全局资产变化。通过资产指纹信息对资产类型进行自动分类,当前分类包括CDN、CMS、Email、OA、VPN、web服务器、web框架、安全设备、编辑器、数据库、网络设备等。除传统IT资产外,还覆盖对移动端资产、敏感数据、email等泛资产的监控,为弱点检测和风险分析打好基础。
-
弱点检测:在攻防视角下,结合攻防情报、威胁情报、供应链情报、人员测绘情报进行风险自动关联,安全运营专家基于情报碰撞结果再次对关键信息基础设施、业务系统、数据库、物联网等资产进行弱口令检测和漏洞扫描,识别易被攻击者利用的弱点。
-
风险分析:云端安全运营专家基于弱点检测结果进行综合分析研判,确定是否存在社工利用风险、漏洞利用风险、供应链利用风险、数据泄露风险、勒索利用等风险。通过对风险统一研判,识别外部攻击面,并提供风险收敛优先级,以便及时进行处置闭环。
-
风险预警:平台支持客户自定义通知策略,基于客户自定义配置,通过平台、邮件、APP等多种途径对存在风险的异常情况及时预警。同时客户可登录门户、APP查看外部攻击面可视化分析视图和风险预警详情信息;
-
处置建议:云端安全运营专家基于客户业务场景提供的补救建议和流程,指导客户进行闭环处置,并在服务期内持续进行外部攻击面监测,通过发现风险、预警风险、闭环风险不断提升客户安全能力,实现对外部攻击面的有效管理。
T-ONE CLOUD 外部攻击面管理服务具有以下优势:
-
测绘数据丰富:具有业内领先的网络空间资产及情报数据库,测绘范围广、数据全,可精准识别外部泛资产,保障资产信息记录无遗。
-
攻击触点全抓:结合绿盟科技在攻防实战长期的技术和经验积累,深入挖掘组织易被攻击利用高风险资产,从攻击者视角进行脆弱性分析,全面识别攻击触点。
-
预警速度迅捷:系统配置自动触发预警机制,一旦识别风险立即通过平台、邮件、APP等多种途径进行预警,助力组织随时随地掌握风险情况。
-
按需订阅服务:本地无需安装任何软硬件设备/平台,也无需投入专业技术人员运维,服务订阅后交由绿盟科技云端安全专家为您服务,省时省力省心。
图5 T-ONE CLOUD外部攻击面管理服务优势
T-ONE CLOUD 外部攻击面管理服务具有以下价值:
-
掌握资产安全变化:持续监测所辖资产,识别攻击触点,并通过触点关联和攻击验证,帮助组织实时掌握资产安全变化。
-
降低风险被利用:结合风险预测模型,提前预知可利用程度较高的安全风险,协助组织采取措施,闭环处置,降低资产风险被利用。
-
满足安全合规要求:满足国家及行业发布的相关政策及规范中,提出以应对攻击行为的监测发现为基础开展外部暴露面治理的要求。
05 总结
EASM是网络安全领域的新风口,它可以帮助企业有效地应对日益增长的外部攻击面威胁,提升网络弹性和业务竞争力。EASM市场有着巨大的潜力和需求,也有着激烈的竞争和挑战。选择合适的EASM服务是企业提升网络安全水平的关键一步,需要考虑多个方面的因素,如资产发现、风险检测、云安全、数据泄露、攻防实战等。在这里,我们推荐绿盟的 T-ONE CLOUD 外部攻击面管理服务,T-ONE CLOUD EASM具备较强的外部攻击面管理能力,能够满足不同行业和领域的安全需求,且服务基于 T-ONE CLOUD,具备按需扩展、弹性扩展安全服务的能力,能够更便捷地与其他绿盟的安全产品和服务进行深度的集成和协作,提供更加智能化、自动化、可视化和定制化的外部攻击面管理服务。
如果你对T-ONE CLOUD EASM感兴趣,想体验服务能力或者想要了解更多关于T-ONE CLOUD EASM的信息,欢迎扫描二维码申请试用T-ONE CLOUD绿盟科技外部攻击面管理服务。
附录 参考文献
[1] External Attack Surface Management Reviews 2023 | Gartner Peer Insights https://www.gartner.com/reviews/market/external-attack-surface-management
[2] Gartner《新兴技术:外部攻击面管理关键洞察》概述 – 安全内参Gartner《新兴技术:外部攻击面管理关键洞察》概述 – 安全内参 | 决策者的网络安全知识库 (secrss.com)
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team公众号
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
官方攻防交流群
网络安全一手资讯
攻防技术答疑解惑
扫码加好友即可拉群
原文始发于微信公众号(M01N Team):EASM:网络安全的新风口,你准备好了吗?