TLDR
NCSC近日发布了《外部攻击面管理(EASM)购买指南》,帮助英国各类组织机构在日益复杂的网络安全市场中,选择最适合自身需求的EASM产品。该指南主要侧重于「不需要额外部署或集成」的 EASM 产品。
NCSC 简介与背景
「NCSC (National Cyber Security Centre)」 英国国家网络安全中心(National Cyber Security Centre,简称NCSC)是英国负责网络安全事务的权威机构。该中心隶属于英国政府通信总部(GCHQ),旨在整合英国国家网络安全资源,为政府、企业和公众提供统一的网络安全建议、指导和支持。
该指南的出台背景与NCSC的“主动网络防御(Active Cyber Defence, ACD)2.0”计划紧密相关。在该计划下,NCSC进行了一系列实验,探索和评估了10家EASM工具的有效性。在超过900个“试用日”的实践与27个不同的组织的产品试用中,NCSC发现了一些问题:
缺乏独立建议: 市场上的EASM产品众多,功能各异,但普遍缺乏中立、权威的采购建议。这使得许多组织在选择产品时感到困惑,难以判断哪种工具最符合其特定需求和预算。
“影子IT”的普遍存在: 实验最令人警醒的发现之一是,许多参与组织对其完整的数字足迹(即其“攻击面”)缺乏全面了解。EASM工具帮助它们发现了大量先前未知、未经监控的在线资产,即所谓的“影子IT”。这些未被管理的资产是潜在的严重安全漏洞,可能成为攻击者入侵的切入点。
市场术语混淆: EASM提供商在描述其产品功能时使用的语言五花八门,缺乏统一标准,这给潜在客户的比较和评估带来了困难。
外部攻击面管理 (EASM)
攻击者不断扫描组织的IT系统(包括硬件、软件、服务和云资产),寻找可利用的安全弱点以获取访问权限或窃取数据。这些潜在接入点的集合被称为"攻击面",而攻击面管理(ASM)则是通过系统化方法识别、监控并减少组织数字资产和物理资产漏洞的过程。
外部攻击面管理(EASM)是攻击面管理(ASM)的一个子集,其重点在于识别、监控和减少「可从互联网访问的资产」中的漏洞。与需要高昂成本和专业技术的"内部"漏洞扫描方案相比,EASM产品为大多数用户提供了更低门槛的攻击面管理解决方案。
EASM 产品通过自动发现外部攻击面,帮助组织理解风险并确定需要采取的行动。由于 EASM 工具从外部视角扫描组织的在线存在,它们能够向网络防御者展示「攻击者眼中的攻击面」。这种视角对于保持“防御者的优势”至关重要,确保组织对自身的在线系统拥有与潜在攻击者相同或更高的可见性。
内外协同的ASM
部分EASM类工具提供外部与内部协同监控功能,这类方案有时被称为"网络资产攻击面管理"(CAASM)或统称为ASM。要实现内外攻击面的统一管控,通常需要在网络中部署软件代理,或与云服务商进行集成。这包括与现有终端检测响应(EDR)能力集成,从而丰富从外部视角收集的数据资产。
EASM 产品的工作原理
EASM 产品通过与提供的(或发现的)域名和 IP 地址建立连接来工作。这些连接通常是轻量级的,发送和接收识别技术和服务所需的最少量数据。这可能包括端口扫描或模拟典型用户与在线服务互动的行为(例如浏览网页)。
一些 EASM 产品是独立产品,而另一些则将 EASM 功能集成到现有平台中。虽然EASM具体功能会有所不同,但所有 EASM 产品都会有以下五个核心功能:
「发现资产」 发现尽可能多的活跃资产,通常是域名和 IP 地址。
「获取信息」 通过外部数据源和扫描相结合的方式,收集关于攻击面资产的信息。
「执行分析」 分析收集到的数据,以丰富信息并识别风险。
「显示信息并提供建议」 展示已识别的漏洞和风险,并提供行动建议。
「监控风险」 跟踪已识别风险的生命周期,并检测它们何时得到解决。使用 EASM 产品通常不会增加在线服务的风险,因为这些服务已然暴露在互联网上,每天都在被各种服务、研究人员甚至恶意行为者扫描。
EASM 产品的关键功能分类
EASM 产品的用户体验和包含的功能差异很大。指南将 EASM 功能划分为以下三大类,供买家参考:
可见性和洞察力
这类功能提供对攻击面的可见性,使用户可以直接访问或查询以识别异常。包括:
「资产发现」 自动发现组织拥有或关联的在线资产,主要是域名(包括子域名)和 IP 地址。
「技术识别」 可见性组织使用的技术,如网络服务器软件、防火墙或 SaaS 产品,并尽可能识别具体的型号或版本。
「DNS 配置」 : 可视化所有域名资产的 DNS 记录和配置情况。
「Web」: 对任何暴露的网站进行更深入的查看,包括解析网页、识别技术或截取屏幕截图
「证书」 可见性组织使用的 TLS 证书,包括供应商、过期监控和额外分析。
「供应商识别」: 可视化组织所依赖的技术供应商,包括软件供应商、云服务、ISP 和邮件提供商。
安全分析
这类功能协助分析攻击面,识别需要采取行动的风险或问题,通常伴随修复建议和解释性参考。包括:
「软件安全」 识别未打补丁或不受支持的过时软件、特定的易受攻击配置错误或其他已知问题。
「邮件安全」 检查反欺骗控制措施,如 SPF、DMARC 和 MTA-STS。
「Web 安全」 检查 Web 服务器配置、安全 HTTP 标头的使用以及外部依赖项。
「DNS 安全」 识别容易被接管的域名,如有问题的 CNAMEs,或其他不安全的 DNS 配置。
「暴露服务」 识别不应暴露在互联网上的服务(例如数据库),或缺少必要认证或其他弱配置的服务。
「漏洞评估」 检查系统是否容易受到特定漏洞的攻击,通常通过使用已知的无害变体进行测试。
支持功能
这些额外功能支持进一步探索攻击面、理解风险和确定行动的优先级。主要包括:
「工作流功能」 旨在改进工作流程的功能,例如对问题添加评论、标记同事、设置状态字段或将问题分组为行动项。
「仪表板和视图」 提供多种方式来查看收集到的攻击面信息,使用户能够探索数据并识别异常情况。
「历史和趋势」 跟踪风险和指标随时间的变化,或能够回顾特定日期的攻击面状态以便于比较和跟踪改进。
「摘要报告功能」 生成可下载的报告,提供攻击面概述,包括规模、使用的技术、最高风险和趋势分析。
「原始数据导出」 导出安全问题列表,例如 CSV 格式。
「第三方集成(输出)」 包括将数据流导入 SIEM 工具,或自动在外部工作流工具中创建工单的能力。
「第三方集成(输入)」 集成以向 EASM 工具提供数据,例如自动从资产数据库、云清单或其他供应商处加载信息。这可以丰富工具中的数据,并显著提高资产发现的覆盖率。
「可配置的优先级」 能够根据组织自身的风险容忍度调整分配给特定问题的严重性或优先级评级。
「分层组织访问控制」 设置父/子关系,允许一个组织查看其他几个组织的数据,但这些组织之间不能相互查看数据(适用于子公司或向多个客户提供安全服务的机构)
如何选择合适的 EASM 产品:七个关键问题
选择合适的 EASM 产品取决于许多因素,包括组织的规模和性质、现有记录保存情况以及面临的安全挑战。指南强调,没有“一刀切”的解决方案。指南建议组织提出的第一个问题并非关于工具,而是关于自身:“你试图实现什么目标?” 为帮助组织选择最合适的产品,指南提出了七个关键问题,供组织自问和询问潜在的 EASM 供应商:
「组织试图实现什么目标?」
目标可能包括:映射整个攻击面、建立准确的数字资产记录、满足合规性要求、确保电子邮件反欺骗控制得到部署等。越具体的目标,越有可能选择合适的产品。
「攻击面是如何被发现的?」
自动发现是 EASM 的基本特征,通常融合了技术和非技术数据来源。买家应考虑是否需要 API 连接器集成,以提高资产覆盖率。
「谁将访问该工具或需要查看信息?」
需要考虑不同用户需要访问哪些信息,以及是否需要将信息发送给第三方 IT 供应商或安全公司,从而确定所需的导出功能。
「如何与工具互动?」
考虑是希望工具推送信息(例如通过邮件警报),还是只选择在需要时登录查看。对于已建立安全监控的组织,应检查 EASM 产品是否能将信息导入现有的 SIEM 工具。
「如何确定已识别风险的优先级?」
EASM 产品通常会识别出大量风险。组织需要考虑如何根据风险在攻击面中的位置或被利用的可能性来确定优先级。产品应通过提供清晰的出处、整合威胁情报或允许删除误报来帮助组织聚焦重点。
「数据需要多实时?」
EASM 的主要优势在于监控的持续性。数据越实时,发现和解决风险、减少组织暴露时间就越快。组织应询问供应商不同检查的更新频率,以及是否提供按需扫描功能。
「是否还需要漏洞评估?」
EASM 产品可以基于技术版本警告系统是否可能受到已知漏洞的影响。而「漏洞评估」(或漏洞扫描)是使用精心设计的非恶意载荷来验证系统是否「确定」容易受到特定漏洞攻击的做法。某些 EASM 产品提供漏洞评估作为附加功能或集成。在启用此类功能之前,组织应理解如何应对可能触发其他安全软件(如IDS)的扫描。
参考链接
https://www.ncsc.gov.uk/blog-post/active-cyber-defence-2-insights-easm-trials
https://www.ncsc.gov.uk/guidance/external-attack-surface-management-buyers-guide
声明:本文来自玄月调查小组,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
