最近，數(shù)字攻擊以及外部攻擊面越來越受到網(wǎng)絡(luò)安全團隊的關(guān)注。除了內(nèi)部的基礎(chǔ)設(shè)施需要修復(fù)以外，面向互聯(lián)網(wǎng)的資產(chǎn)背后也可能潛伏著巨大的威脅。

事實上，網(wǎng)絡(luò)不法分子僅通過簡單的谷歌搜索就可以獲取大量的數(shù)據(jù)。如果搜索得更加深入，甚至可以發(fā)現(xiàn)一些被泄露的數(shù)據(jù)以及密碼，從而利用這些打開網(wǎng)關(guān)，入侵到到組織內(nèi)部。

所有這些容易獲取的信息都有可能被黑客所利用，這使得系統(tǒng)處于一個危險的環(huán)境之中。也就是說，這是外部攻擊面的組成部分，隨時可能被威脅分子利用，來進行網(wǎng)絡(luò)攻擊。

因此，管理組織及其網(wǎng)絡(luò)的外部接入點是網(wǎng)絡(luò)安全的一個重要組成部分。

什么是外部攻擊面管理？

外部攻擊面管理映射了那些可能具有漏洞的方面，不斷對其進行掃描，并在網(wǎng)絡(luò)不法分子利用到它們之前，就將對問題或異常狀況進行處理。

本質(zhì)上講，EASM的功能可以歸結(jié)為：“發(fā)現(xiàn)一些可能被黑客利用的漏洞，這些漏洞可以幫助黑客從外部破壞組織的基礎(chǔ)設(shè)施，并且在其被發(fā)現(xiàn)之前就會被黑客所刪除?！痹摴ぞ邘椭鉀Q了一項當(dāng)今大多數(shù)組織都面臨的挑戰(zhàn)——如何始終保留信息的概述，特別是系統(tǒng)外部的可用情報。

對“哪些數(shù)據(jù)可以被提供給誰”等信息進行追蹤，并確認是否存在可能被黑客利用來入侵系統(tǒng)的數(shù)據(jù)，這些都需要大量的事前準(zhǔn)備工作。因此，大多數(shù)IT團隊都依賴于一些人工智能工具，不斷查找證書已被濫用的跡象。

隨著每次新的數(shù)據(jù)泄露或社交媒體的更新，攻擊面都在不斷變化和增長。EASM的本質(zhì)作用就是避免公司的資產(chǎn)變成公司的負債。

黑客可以通過在線搜索查到哪些信息？

網(wǎng)絡(luò)不法分子在使用任何黑客技術(shù)之前，都會在互聯(lián)網(wǎng)上查詢現(xiàn)成的數(shù)據(jù)。其中，威脅者感興趣的是：

• 社交媒體活動
• 泄露的密碼和電子郵件
• 個人信息（名字，用戶名，地址，信用卡賬號等） 

在犯罪分子手中，個人信息可以用來進行身份竊取或金融詐騙。最壞的情況下，黑客甚至可以偽裝成受害目標(biāo)，榨干受害者的銀行賬戶，破壞其聲譽，以及傳播謠言。

最近發(fā)生的許多黑客攻擊中都包括社會工程學(xué)攻擊。這意味著攻擊方需要認識受害者，并向其發(fā)送帶有病毒鏈接的電子郵件，甚至要冒充各種權(quán)威機構(gòu)或有權(quán)勢者，例如政府機構(gòu)和CEO。

社交媒體以及在上面分享過的信息都有可能成為一次網(wǎng)絡(luò)攻擊或詐騙的導(dǎo)火索。例如，像LinkedIn和Facebook這樣的平臺或企業(yè)的官方網(wǎng)站，就很容易暴露公司內(nèi)部的等級制度，為不法分子提供了一個如何接近攻擊目標(biāo)的視角。

黑客論壇、數(shù)據(jù)轉(zhuǎn)儲以及暗網(wǎng)都是不法分子用來查找企業(yè)安全方面弱點的渠道。這些渠道中包含了電子郵件以及密碼，即使是那些完全沒有技術(shù)知識的非專業(yè)人員也可以利用這些信息入侵到組織內(nèi)部。

對攻擊面的管理都包括什么？

攻擊面管理分為三個步驟：

• 改善系統(tǒng)內(nèi)部的缺陷
• 檢測所有的異常情況以及高風(fēng)險的威脅
• 對內(nèi)外攻擊面中的活動進行數(shù)據(jù)分析

第一步是掃描那些可能會導(dǎo)致重大事故的信息或活動，例如系統(tǒng)破壞、贖金票據(jù)、或敏感數(shù)據(jù)竊取。

高風(fēng)險是指那些在重大事故中可能升級的任何方面，其可以被黑客用來直接訪問組織或進行網(wǎng)絡(luò)攻擊。

除了查找數(shù)據(jù)，發(fā)現(xiàn)階段還可以確定是否存在未經(jīng)授權(quán)的對基礎(chǔ)設(shè)施進行訪問的跡象。

第二步是對攻擊面進行分析。將攻擊面與其以前的狀態(tài)進行比較，以確定是否存在任何需要修復(fù)的高風(fēng)險漏洞和異常跡象。

基于上述分析生成的報告強調(diào)了所有高風(fēng)險的漏洞，并使IT團隊的工作變得更加容易。如果沒有這個，那么所有漏洞都會引發(fā)警報，其中會有大量誤報的產(chǎn)生。

最后一步是改善那些可能被不法分子利用的漏洞。分析文檔和高風(fēng)險漏洞報告還提出了一些修復(fù)缺陷和加強安全性的方法。

以上三個步驟都是自動化進行的，必須不斷重復(fù)才能發(fā)揮出其有效性。更重要的是，該工具已被更新，可以用來發(fā)現(xiàn)新出現(xiàn)的黑客攻擊是否存在缺陷。

 MITRE ATT&CK Framework是用來確保該工具能夠與最新的網(wǎng)絡(luò)技術(shù)同步更新的資源庫。該框架庫存描述了所有可能對組織產(chǎn)生威脅的新方法。

更廣泛地了解攻擊面

外部攻擊面管理可以幫助IT團隊確認是否存在可能被威脅者利用來入侵基礎(chǔ)設(shè)施的數(shù)據(jù)或接入點。它站在黑客的角度，對所有可以被利用的漏洞進行考慮，并不斷對外部攻擊面進行調(diào)查。

在常規(guī)的網(wǎng)絡(luò)安全工作中引入外部攻擊面管理是非常必要的。它為IT團隊提供了整個基礎(chǔ)設(shè)施的完整圖景，同時也突出了其主要的部分。

數(shù)據(jù)控制是外部攻擊面管理的一個主要組成部分。這是由于被泄露的影子IT或企業(yè)情報可能會被黑客用來入侵系統(tǒng)。

為了盡早（在黑客發(fā)現(xiàn)之前）修補漏洞，安全工作人員需要不斷地對攻擊面進行掃描，尋找可能泄露的信息，并對掃描結(jié)果進行分析，在威脅演變成嚴重事故之前將其解決。

點評

如今，隨著數(shù)字化轉(zhuǎn)型進度的加快，企業(yè)暴露給攻擊者的脆弱點也隨之增多。相對于傳統(tǒng)的針對漏洞以及信息資產(chǎn)本身的攻擊，如今現(xiàn)代化攻擊正逐漸轉(zhuǎn)變成一種全方面的立體化攻擊。同時，攻擊者的關(guān)注點也不再是那些“戒備森嚴”的傳統(tǒng)攻擊點。

從安全團隊的角度來看，眾多攻擊點連成了一個完整的攻擊面。然而，兼顧全部的脆弱點顯然是無法實現(xiàn)的，并且功能堆積的防御體系也無法完全抵御如今立體化攻擊的降維打擊。因此站在攻擊者的角度，來進行動態(tài)的主動防御至關(guān)重要。

攻擊面是一個龐大范疇，同樣攻擊面管理亦是如此，其內(nèi)容也會隨著新型IT技術(shù)的出現(xiàn)，而不斷升級。外部攻擊面管理本質(zhì)上是一種威脅情報的提供服務(wù)，用來幫助企業(yè)站在攻擊者的角度，比攻擊者更早地發(fā)現(xiàn)安全缺口，這需要對于威脅數(shù)據(jù)的進行持續(xù)采集以及持續(xù)的分析。

因此，風(fēng)險分析能力以及作為輔助的自動化能力將會是外部攻擊面的關(guān)鍵發(fā)展點。