許多企業組織對於探索、歸類與管理網際網路類的資產(Internet-facing assets)束手無策,徒留這些資產處於易受攻擊的狀態。現在,這些企業決定動手處理這個問題。
文/Jon Oltsik‧譯/Nica
攻擊面管理(ASM,Attack Surface Management)是個讓人困惑的主題。從最基本的問題開始看 ─ 究竟什麼是「攻擊面」?實際上,攻擊面包含了一切,像是網際網路類資產、企業外部資產、第三方資產、人們與一切等。但新興的「攻擊面管理」(ASM)領域,僅著重網際網路類資產。
但即便攻擊面管理工具只追蹤網際網路類資產,不代表 ASM 輕鬆容易。大型企業多半握有成千上萬的網際網路類資產,包括網站、機敏資料、員工憑證、雲端工作負載、S3 buckets、原始程式碼片段、SSL 憑證等等。
[ IT領導者最擔心的威脅是什麼?立刻下載 2022年度CIO大調查報告 ]
當然,探索、歸類與管理這所有的資產絕非一天能夠完成,例如近期 ESG 研究調查的證據顯示:
- 僅 9% 企業深信他們主動監控了所有攻擊面。百分比最高 (29%) 的受訪者表示主動監控 75% 至 89% 攻擊面,更多人監控的更少。除了顯然的盲點問題外,多數企業有許多它們甚至完全不知道的網際網路類資產。據該領域廠商指出,企業組織利用自動掃瞄時,通常可以探索到 40% 左右的資產,意即就連那些認為事情在掌控之中的人可能並非如此。
- 有 43% 企業耗費 80 小時以上探索攻擊面,定期探索攻擊面可能是:一周一次、一個月兩次,或一個月一次。這與支援雲端原生應用、遠端工作者、第三方連結等的移動、新增與改變的性質完全不同步。如今,這些探索工作直接成了收集資料。企業擁有這些資料後仍得動手分析、為弱點排列優先權,並與 IT 操作者協同合作減輕風險:也就是 ASM「真正」的工作。
- 企業執行攻擊面管理時,會持續發現暴露資產的混雜。舉例而言,有 31% 企業在先前未知位置發現機敏資訊、30% 間諜網站直接或間接路徑通往企業網路、29% 發掘出員工憑證設定錯誤、28% 觀察到未知 SaaS 應用、27% 發現應用/系統使用者為零、27% 暴露設定錯誤的 SSL 憑證。使用變革管理處理如此多樣的資產組合,需要花時間與資源。
- 一如網路安全的其他領域,許多企業開始從現有的大量不同工具收集資訊到攻擊面管理。這份調查指出,有 41% 企業利用威脅情報來源、40% 仰賴 IT 資產管理系統、33% 充份利用雲端資安監控解決方案,而有 29% 透過弱點管理。當然,要有某人集結這份資料、將之建立關聯,然後試著讓資料有意義。通常,這 依然 透過試算表完成。
那麼,如果企業組織採用落後的方法可能更容易導致危險。為何會危險?因為當網路防禦還在摸索使用 ASM 模式時,攻擊者正利用自動化工具探索資產、確認漏洞,接著發動攻擊。當然有許多攻擊者成功了。這份調查顯示 69% 企業組織經歷過某種型態的網路攻擊,而這些攻擊本身就是透過利用未知、非管控下,或疏於管理的網路面資產開始。這些網路攻擊可能會很嚴重,想想 2017 年 Equifax 資料外洩,或是去年 Log4j 的慘烈事件。
我們玩跳棋 (技術差) 而對手是優秀的西洋棋大師時,根本無力招架保障 IT 資產安全。這就是我深信 2022 將成為攻擊面管理技術關鍵年的理由,這項技術探索網路面資產、歸類這些資產,給予風險等級評分,甚至可能提供一些緩解建議。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
沒錯,我覺得 ASM 會比今年國慶還要熱鬧,這樣的信念並不孤單。為推動資安產品,Mandiant 去年買下 ASM 專家 Intrigue、Microsoft 收購 RiskIQ、Palo Alto Networks 買下 Expanse Networks。這些收購下的產物有許多成了企業資安領導部門。值此同時,眾多具革新精神的新創公司也充份利用 ASM 商機,像是 Coalfire、CyCognito,以及 AttackIQ、 Cymulate、Randori 與 SafeBreach 這類 BAS ( 突破攻擊模擬 ) 廠商。
ASM 如今太重要又太龐雜,以致無法跟上企業需求。這就是為何我希望企業組織儘快可以投入預算、發出 RFI ( 資訊請求 ) / RFP ( 提案請求 )、測試/試驗產品,進而佈署 ASM 之故。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
