作為防御者，你必須要保證你在所有的時間都不會犯錯誤，至于攻擊者，只需要把事情做對一次，那么這場攻防對抗的較量其實已經(jīng)宣告結(jié)束。因此，對于企業(yè)尤其是IT、安全相關(guān)的團隊或人員而言，較為有效的方式就是能夠盡早地發(fā)現(xiàn)自身弱點并彌補，降低它們被攻擊者發(fā)現(xiàn)并成功利用的概率。

　　在這一狀況下，偏向于主動防御且更注重實戰(zhàn)對抗的攻擊面管理（Attack Surface Management，簡稱“ASM”）理念無疑是當(dāng)前值得關(guān)注的方向。如果綜合遭受攻擊的潛在成本以及可能因攻擊事件爆發(fā)導(dǎo)致的嚴重后果，就會發(fā)現(xiàn)攻擊面管理無論是在效果還是收益方面都具有不小的優(yōu)勢。

　　關(guān)于攻擊面管理，在Gartner此前發(fā)布的《2022中國網(wǎng)絡(luò)安全技術(shù)成熟度曲線》中指出，識別網(wǎng)絡(luò)資產(chǎn)，了解資產(chǎn)的脆弱性和潛在的攻擊方式尤為重要。ASM使企業(yè)從內(nèi)部管理和外部攻擊者的角度，解決資產(chǎn)和漏洞可視化的難題，并基于優(yōu)先級計算指導(dǎo)防御人員進行主動防御。ASM幫助安全和風(fēng)險管理（SRM）團隊識別潛在的攻擊路徑，并指導(dǎo)開展安全控制措施的改進和調(diào)整，提高整體安全防御水平。

　　可以看到，網(wǎng)絡(luò)資產(chǎn)的識別被著重強調(diào)，對于任何企業(yè)而言，要想做好安全建設(shè)，這一點都是不可或缺的。一般情況下，企業(yè)對于對資產(chǎn)的掌握只限于那些經(jīng)常使用的，但從安全角度考量，理想情況應(yīng)是對自身所擁有的所有資產(chǎn)都要有清晰了解并擁有完整而準確的清單，這也意味著任何新設(shè)備或是被添加到網(wǎng)絡(luò)中的內(nèi)容都要從初始階段就得到充分的管理。此外，漏洞仍然是個老生常談的問題，但不可否認的是，當(dāng)前所存在的漏洞肯定比我們所認知的要多得多。

　　如果上述這些都做不好，那么當(dāng)未知因素疊加在一起，如“未知的資產(chǎn)中存在有未知的漏洞”，那么所面臨的潛在風(fēng)險有多大也就不難想象。前文所說的攻擊者要做對的那件事，就是要發(fā)現(xiàn)這些處在企業(yè)未知范圍的弱點并加以利用，并最終實現(xiàn)一次成功的攻擊，最終令企業(yè)為之付出代價。

　　因此，所謂掌握攻擊者視角，就是要力爭消滅這些在防御者視角下的“未知”，甚至是“未知的未知”。對于企業(yè)而言，以攻擊者視角審視自身將會是對傳統(tǒng)安全建設(shè)的極大補充，具體操作層面，較為容易的方式主要集中在以下幾種：

　　01 滲透測試

　　滲透測試這種方法已經(jīng)存在多年了，對于以攻擊者視角來提高安全水平的諸多方式中，堪稱老而彌堅，他們利用自身的經(jīng)驗和真實的技術(shù)、工具、流程來試圖和攻擊者一樣去尋找企業(yè)的漏洞和弱點，相比于許多企業(yè)內(nèi)部的安全或IT團隊而言，他們面對安全問題會有一些不同的思考方式，并且也有著不同的心態(tài)，這也是通過外部專業(yè)團隊來做測試的好處之一。

　　但這種方式的弱點也非常明顯，因為它僅能反映企業(yè)當(dāng)前安全水平的狀況，相當(dāng)于一個時間點的快照，而不是持續(xù)的監(jiān)測，畢竟企業(yè)在發(fā)展過程中總是會部署新的設(shè)備、系統(tǒng)或應(yīng)用，甚至包括像整體遷移到云上這種大操作等等，那么這種方法是難以滿足需求。

　　但不可否認的是，滲透測試仍然是一個很好的方法，只是單獨依靠它是不夠的。

　　02 開源情報（OSINT）

　　近年來，越來越多的IT資產(chǎn)通過企業(yè)網(wǎng)絡(luò)被連接到互聯(lián)網(wǎng)中，如果沒有妥善保護，這些資產(chǎn)可能會被暴露，也意味著這些數(shù)據(jù)可以被收集和搜索，這里大家比較熟的如SHODAN搜索引擎等。

　　這些數(shù)據(jù)源可以作為開源情報（OSINT）向所有人開放，通過利用OSINT資源，企業(yè)可以在IT、OT和IoT設(shè)備中查找潛在的問題資產(chǎn)或其他問題。當(dāng)然，這其中也有一個巨大的挑戰(zhàn)，那就是如何將這些公共數(shù)據(jù)與企業(yè)的內(nèi)部資產(chǎn)列表關(guān)聯(lián)映射，以使其對企業(yè)有價值。

　　舉個例子，假設(shè)企業(yè)擁有一個123.com的域名，而郵件服務(wù)器和該域名相關(guān)聯(lián)，但能否代表就能看出其與在另一個不同的子域上啟動的另一臺Web服務(wù)器有何關(guān)系嗎？如果缺少這種對所有子域及內(nèi)、外部資產(chǎn)之間連接的可見性，那么想要獲取全面且準確的情況將會非常難。

　　03 外部攻擊面管理（EASM）

　　關(guān)于外部攻擊面管理（EASM）我們其實也說過很多，它是一種非常好的方法，而且易用的工具也已有（如零零信安推出的0.Zone），它可以觀察整個組織的IT組合，包括企業(yè)在內(nèi)部和云端使用的各種系統(tǒng)、平臺，同時檢測任何潛在的問題或威脅，尋找任何由于糟糕的配置或不安全資產(chǎn)而導(dǎo)致的潛在漏洞。

　　這種方法可以發(fā)現(xiàn)并標(biāo)記以前未知的任何資產(chǎn)，尋找潛在的問題，如未經(jīng)授權(quán)的設(shè)備、未經(jīng)批準或支持終止的應(yīng)用、開放的端口，或是未經(jīng)批準的應(yīng)用程序和域等等。與滲透測試一樣，它提供了一個由外向內(nèi)的網(wǎng)絡(luò)視圖，但相比之下，它完全不會受到時間推移的影響。

　　盡早了解錯誤配置或漏洞對于在攻擊者利用它們之前修復(fù)它們至關(guān)重要。理想情況下，企業(yè)可以結(jié)合各種方法來提高可見性，確保持續(xù)的安全性，同時，通過自動化的流程更是可以幫助企業(yè)的安全或IT團隊更有效和高效地做好響應(yīng)工作。

　　盡管攻擊面管理的好處多多，但對于多數(shù)企業(yè)而言，即便對如何管理攻擊面的方法、方式有所了解，但想要從頭建立并實現(xiàn)具備攻擊面管理能力，仍是一個極大的挑戰(zhàn)，因此，引入專業(yè)力量來實現(xiàn)有效的攻擊面管理，在我們看來，無論是安全能力、水平還是成本收益方面，都能體現(xiàn)出一定的優(yōu)勢。據(jù)安全419此前在行業(yè)內(nèi)的溝通調(diào)研情況，在攻擊面管理領(lǐng)域，包括華云安、云科安信以及零零信安這三家以攻擊面管理為主要方向的企業(yè)值得關(guān)注。

　　“

　　華云安：

　　Gartner《2022中國網(wǎng)絡(luò)安全技術(shù)成熟度曲線》報告代表廠商，華云安攻擊面管理體系的策略是構(gòu)建一個基于云原生架構(gòu)的、彈性、冗余的高性能平臺，可以通過整合以及拆分，來提供攻擊面管理體系中通用普適的、滿足最小需求的功能模塊，如網(wǎng)絡(luò)資產(chǎn)管理、脆弱性評估、自動化測試、漏洞優(yōu)先級評估、擴展威脅情報、擴展威脅響應(yīng)等等。通過云原生的微服務(wù)技術(shù)，再結(jié)合不同客戶具體的業(yè)務(wù)需求，靈活組合這些安全能力單元搭建成相適應(yīng)的解決方案，以進一步適配企業(yè)不同階段、不同需求并不斷迭代的安全能力。

　　● 擴展閱讀：《攻擊面管理如何為企業(yè)提供面向未來的安全價值？》

　　”

　　零零信安：

　　Gartner《2022中國網(wǎng)絡(luò)安全技術(shù)成熟度曲線》報告代表廠商，作為專注于外部攻擊面管理（EASM）領(lǐng)域的安全企業(yè)，零零信安以大數(shù)據(jù)立體攻防、以攻促防、主動防御、力求取得立竿見影效果的理念，為客戶提供基于攻擊者視角的外部攻擊面管理技術(shù)產(chǎn)品和服務(wù)，目前已將EASM實現(xiàn)了產(chǎn)品服務(wù)化落地，推出國內(nèi)首個可為甲乙方企業(yè)提供外部攻擊面能力數(shù)據(jù)服務(wù)產(chǎn)品的在線EASM平臺——0.zone。在安全管理、攻擊檢測、漏洞管理三個場景下，為SOAR、SOC、SIEM、MDR、安全運維（服務(wù)）；IDS、IPS、NDR、XDR、蜜罐、 CTI、應(yīng)急響應(yīng)團隊（服務(wù)）；漏洞管理系統(tǒng)、掃描器、 CAASM、BAS、風(fēng)險評估（服務(wù)）、滲透測試團隊（服務(wù)）等產(chǎn)品和服務(wù)提供基礎(chǔ)數(shù)據(jù)能力，讓國內(nèi)所有安全產(chǎn)品具備外部攻擊面/暴露面檢測能力。

　　● 擴展閱讀：《零零信安的外部攻擊面落地應(yīng)用 三大應(yīng)用場景輔助主動防御》

　　“

　　云科安信：

　　白澤攻擊面管理平臺將云科安信團隊過往所有的攻防技戰(zhàn)術(shù)和資源濃縮其中，以一種極簡的使用方式交付給用戶，能夠完全自動化地幫助用戶持續(xù)性地發(fā)現(xiàn)和梳理資產(chǎn)暴露面的情況，將包括域名、IP地址、端口情況，web應(yīng)用、中間件、數(shù)據(jù)庫、組件、指紋等等這些跟目標(biāo)系統(tǒng)相關(guān)的信息詳細地展現(xiàn)給用戶。同時，該平臺還會從應(yīng)用的視角、關(guān)聯(lián)關(guān)系的視角、端口數(shù)據(jù)的視角將不同資產(chǎn)之間的關(guān)聯(lián)關(guān)系進行展示，幫助用戶了解到未知的資產(chǎn)暴露情況。在協(xié)助用戶將暴露面梳理清晰后，白澤攻擊面管理平臺會在暴露在外的資產(chǎn)中尋找漏洞，對漏洞做可利用性的驗證。最終讓客戶看到在他已知范圍和他未知范圍內(nèi)，攻擊者能夠突破進來的全部路徑。

 　  ● 擴展閱讀：《云科安信：打造自動化攻擊面管理平臺 讓實戰(zhàn)化攻防能力信手拈來》

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<