最后更新于2024年10月18日星期五15:13:29 GMT
在过去的两个博客(救命,我看不见! 攻击面管理入门博客系列 和 攻击面管理(ASM)策略的主要组件) 攻击面管理,我们专注于攻击面管理解决方案的驱动程序和核心元素. 在这篇文章中,我们将深入研究发现资产的过程. 我们无法确保我们看不到的东西,所以把这部分做好是ASM项目成功的基础. 本文将探讨四种不同的资产发现方法,从最基本的开始, 已部署的软件代理.
软件代理
部署代理是大多数资产清单和资产管理系统的工作方式. 软件代理部署在工作站或服务器上, 给家里的管理系统打电话询问资产情况. 这种方法的好处是,你可以在这个特定的资产上得到一个非常高保真的数据集, 包括已安装软件的最新信息, 位置, 等. 然而,这种方法只有在软件代理的范围内才能发挥作用. 从资产发现的角度来看, 遇到的问题是,您无法发现没有安装该软件代理的资产. 如果我们考虑下面的漏斗图, 这是有效地从漏斗中的一行可见性. 在现实中, 大多数组织没有100%的代理部署覆盖率,而且许多资产将无法部署代理, 所以他们有很多不同的工具来提供资产可见性, 都有不同的视角.
也, 如果软件代理为IT管理代理, 而不是端点安全代理, 它通常缺乏安全控制, 漏洞和暴露上下文意味着最好地理解关键信息 攻击表面 可能不见了.
总之,软件代理应该被视为攻击面拼图的一部分.
数据聚合 & 相关
发现资产的更全面的方法是通过组织使用的各种工具摄取资产数据. 这是用a发现资产的主要方式 CAASM 解决方案. 通过从IT获取数据, 业务应用程序, 通过API连接器和安全工具,我们获得了最广泛的可见性,并且可以看到来自任何单个工具的数据缺口.
CAASM解决方案要求每个连接的工具定期提供最新的资产列表. 然后存储和映射与资产相关的安全和身份数据,以便在易于发现和查询的数据库(理想情况下是图形)中构建关系. 请注意,存在一些解决方案, 但不是很多, 这使得资产历史跟踪能够执行数据趋势,以查看资产和组织如何随时间变化. 在这种情况下, 每个资产存储不止一条资产记录, 保留可配置的时间长度.
由于CAASM解决方案提供的关联引擎, 从工具中获取的数据越多, 你的攻击面可见度和准确性越好. 记住本文开头所描述的漏斗? 因为你的工具可能在基本方面不一致,比如资产的数量, 有必要摄取跨越它们的数据,以便更接近攻击面的真实图像.
组织通常通过从5个主要来源获取数据来开始将各个部分组合在一起
- 目录服务(Active 导演y、Azure AD、LDAP等.)
- 终端安全 (insighttidr, Crowdstrike, SentinelOne等.)
- 脆弱性管理 (insightVM, Qualys, Tenable等.)
- 身份 & 访问管理 (Okta, Duo等.)
- 云服务提供商或 云安全态势管理 (AWS、Azure、insightCloudSec、Wiz等.)
完全部署通常有10-20个数据源,具体取决于组织的规模. 这些还将包括集成到CMDB, IT资产管理系统, 数字风险保护服务(DRPS)等等.
为 外部攻击面(EASM),资产是使用两种方法中的一种或两者的组合来发现的. 第一种方法是,从数据源获取数据:像Shodan, Bitsight等. 第二种方法是通过定期进行的主动互联网扫描,以发现最新的面向公众的资产和在其上运行的服务. 我们已经详细介绍了数据摄取, 然后我们将简要介绍主动网络扫描,但让我们先从被动网络扫描开始.
无源网络扫描
并不是组织中的每个资产都将链接到预先存在的数据源. 为了完全覆盖攻击面, 你还需要考虑 进一步解决数据源可见性差距的方法. 第一种是被动网络扫描.
在一种情况下,攻击者可以通过恶意的内部人员访问您的内部网络. 心怀不满的员工可以将未经批准的工作站或恶意设备插入以太网端口, 或者攻击者可能通过WiFi攻击获得立足点,以静态IP地址进入网络. 在这两种情况下, 恶意设备对您的团队和工具来说是不可见的, 除了网络交换机的角度, 防火墙, 和 网络流量分析.
因此,对被动网络流量数据源的支持可以为团队提供与任何其他数据源无关的在线新资产的可见性. 这可以提供对规避安全策略和协议的恶意设备的可见性. 目前大多数CAASM解决方案都不摄取网络数据,比如Netflow, 或支持NTA数据摄取, 尽管有些可以使用来自处理ARP或DHCP广播的代理的数据来发现新的资产. 然而, 这些代理需要部署在特定的网段上,否则它们将无法发现未知资产. 在这些情况下, 主动网络扫描是一种潜在的替代方案,可以提高规避正常控制和监控的资产的可见性.
活动网络扫描
最难发现的 它的影子 资产也可能是最脆弱的, 因为他们没有启用必要的安全控制. 这些资产不能单独通过网络数据发现,因为它们不提供遥测技术. 即使有网络数据, 安全团队经常忽略指纹识别,无法识别在这些设备上运行的服务. 主动扫描 提供了一种从这些资产中捕获信息的方法,否则这些信息会被遗漏. 在完全可见性非常重要的环境中,主动网络扫描是一个必要的功能.
完全部署的漏洞扫描器优于本机活动网络扫描,因为它使用相同的网络发现技术,但也了解漏洞和暴露. 使用CAASM解决方案来了解哪些资产和网络没有被持续评估漏洞,这也是通过主动网络扫描提高发现新资产能力的好方法.
这是本系列的最后一篇博文, 我们将探讨如何通过有效的攻击面管理(ASM)获得更深入的见解。.
了解更多关于Rapid7的表面命令 ▶︎
表面命令提供了一个连续的360°攻击面视图,团队可以信任它来检测和优先考虑从端点到云的安全问题.
