近日,全球权威市场研究与咨询机构Forrester发布了最新研究报告《The External Attack Surface Management Landscape, Q1 2023》(以下简称“报告”),对外部攻击面管理(EASM)市场的多家知名企业,从资产发现、资产库存管理、漏洞风险管理、云安全态势管理等多个维度进行综合评估,长亭科技凭借云图(CloudAtlas)攻击面管理运营平台出众的资产发现与外网暴露面识别、全方位风险检测能力脱颖而出,成为国内唯一一家入选厂商。
【攻击面管理】是啥
最近大家都在讨论的【攻击面管理】
究竟是啥腻?
攻击面管理
这一概念最早由Gartner于2018年提出
并给出了明确的定义
【攻击⾯管理(ASM)技术:通过合理配置⼈员、流程、技术和服务,持续实现企业资产的发现、存储和管理,提⾼攻击⾯的可⻅性,有助于减少可能被恶意威胁者利⽤的资产暴露。】
在概念之下
很多人还是无法理解
「攻击面管理」与「漏洞管理」
究竟有什么区别
漏洞管理 or 攻击面管理
首先要明确的是
攻击面≠漏洞
企业的风险不仅仅只有漏洞
技术环境的不断复杂和分散
企业受攻击的暴露面一直在「膨胀」
物联网、开源代码、SaaS应用程序、云应用、数字供应链、社交媒体……
引发的风险使企业暴露出的攻击面
远远超出了其可控资产的范围
在以往「漏洞评估」的视角下
仅可见扫描工具指定扫描的内容
(例如IP地址)
那些隐秘在角落的
【证书、⼦域、IP、公共云服务错误配置、SaaS应用、泄露的代码、暴露的数据库、可被攻击者利⽤的漏洞】等等未知资产与风险
在黑暗中涌动
虽然「攻击面」不等于「漏洞」
但二者关系非同一般
在一家企业中
「攻击面」好比是企业开放的门和窗
对外暴露的门和窗越多
企业越不安全
「漏洞」的等级好比门和窗的结实程度
同样的漏洞,危险等级越高
企业越容易被攻破
在攻击者视角下
「攻击面*漏洞=企业的安全脆弱性」
攻击面和漏洞两个因子
不管哪一个能力不足
都增加了攻击者的赢面
举个🌰
假设
1个系统有10个漏洞
如果你有100个系统
那么就有10 * 100 个潜在的攻击路径被攻击者击穿
攻击者赢的机会就有1000个
企业在安全建设时
二者要「动态平衡」的一起搞
并维持在一定水平之上
才是安全投入的最优解
如何做好攻击面管理
攻击面管理解决的主要问题之一
就是提升未知资产与风险的可见性
它还有三大技术分支
在这里提到的概念中
EASM :外部攻击面管理
(External Attack Surface Management)
CAASM:网络资产攻击面管理
(Cyber Asset Attack Surface Management)
是帮助企业识别攻击面的神器
EASM 主要关注外部资产,并积极扫描
将数据传给CAASM
CAASM 富化收集到的所有数据
生成组织「资产的整体视图」
实现“真-企业攻击面收敛”
落地咋搞?“两步走”!
第一步,EASM
不扰于外敌
进行外部攻击面管理
做好风险收敛
第二步,CAASM
筑城以守固
把内部的风险管理好
若边界被攻破
不让攻击者在内网一马平川
“攻击者”视角的EASM
当下,很多企业的现状是
弱口令、高危漏洞一大堆
暴露资产也不少
所以EASM先管好暴露面尤为重要
Forrester给出的「EASM」定义是
【持续扫描、发现和列举面向互联网的资产的工具或能力,建立所发现资产的独特指纹,并识别已知和未知资产的风险。】
EASM
最最重要的、最最显著的特征是
由外而内的
攻击者视角
据统计
现有扫描工具大约仅覆盖40%的攻击面
每家企业至少有20%以上的未知资产
这些「企业」看不见的
往往是「攻击者」最乐意看见的
有统计,68%的企业
曾因为未知/影子资产而遭到攻击
攻击者如何看待业务组织?
最有可能从哪里发起入侵攻击?
哪些系统和资产面临风险?
……
知己知彼,再有的放矢的去思考如何消除风险
当然,EASM能做的事情远不止此
「提升攻击面可见性」
这里包含缕清组织与业务的关系
发现资产并盘点清晰
对资产进行分级分类
攻击面识别与分析
「持续安全巡检」
这里要求EASM可以持续的完成基线监控
漏洞扫描、快速应急响应、持续跟踪验证
也可对云资源进行安全配置管理
「度量安全风检」
验证攻击并对进行风险优先级排序
进行攻击路径分析
并配合攻防演练服务进行风险度量
「安全管理与控制」
灵活的配置、自定义策略、联动防御预警
其中「持续安全巡检」是非常重要的能力
资产动态变化
企业不停的新增风险敞口
EASM要与攻击者竞速
才能保证风险不被利用
上面是EASM重要的「能力画像」
云图(Cloud Atlas) 攻击面管理运营平台
负责人猪猪侠认为
要想证明EASM的效果
必须拉出来打一打
用数据说话
秀一下云图(Cloud Atlas)
能够识别和覆盖的资产与风险数量
以全新防护思路出现的
云图(Cloud Atlas) 攻击面管理运营平台
会以更加优秀的风险发现能力
快速融入到企业安全运营体系中
成为不可或缺的组成
欢迎来测
玻璃钢生产厂家玻璃钢雕塑拓宏运城玻璃钢雕塑多少钱怒江玻璃钢雕塑厂家安庆天桥梁玻璃钢花盆玻璃钢商场美陈雕塑哪家好新余环保玻璃钢雕塑定制安丘玻璃钢雕塑教程福建周年庆典商场美陈供货商绵羊玻璃钢雕塑摆件玻璃钢雕塑厂哪家实惠黑龙江玻璃钢雕塑定做价格佛山玻璃钢公仔人偶雕塑浙江玻璃钢雕塑商家信阳不锈钢牛玻璃钢雕塑通用玻璃钢花盆研究徐州秋季商场美陈宣城玻璃钢雕塑加工厂家大型玻璃钢雕塑造型太原学校玻璃钢雕塑定制在家自制玻璃钢花盆永州玻璃钢雕塑安装施工耐高温玻璃钢雕塑规格齐全河北超市商场美陈市场价玻璃钢彩绘雕塑模型工厂大连玻璃钢雕塑公司辽阳玻璃钢马雕塑玻璃钢雕塑设计欢迎来电咨询玻璃钢小黄人卡通雕塑批发江阴商场美陈策划好的景观玻璃钢雕塑香港通过《维护国家安全条例》两大学生合买彩票中奖一人不认账让美丽中国“从细节出发”19岁小伙救下5人后溺亡 多方发声单亲妈妈陷入热恋 14岁儿子报警汪小菲曝离婚始末遭遇山火的松茸之乡雅江山火三名扑火人员牺牲系谣言何赛飞追着代拍打萧美琴窜访捷克 外交部回应卫健委通报少年有偿捐血浆16次猝死手机成瘾是影响睡眠质量重要因素高校汽车撞人致3死16伤 司机系学生315晚会后胖东来又人满为患了小米汽车超级工厂正式揭幕中国拥有亿元资产的家庭达13.3万户周杰伦一审败诉网易男孩8年未见母亲被告知被遗忘许家印被限制高消费饲养员用铁锨驱打大熊猫被辞退男子被猫抓伤后确诊“猫抓病”特朗普无法缴纳4.54亿美元罚金倪萍分享减重40斤方法联合利华开始重组张家界的山上“长”满了韩国人?张立群任西安交通大学校长杨倩无缘巴黎奥运“重生之我在北大当嫡校长”黑马情侣提车了专访95后高颜值猪保姆考生莫言也上北大硕士复试名单了网友洛杉矶偶遇贾玲专家建议不必谈骨泥色变沉迷短剧的人就像掉进了杀猪盘奥巴马现身唐宁街 黑色着装引猜测七年后宇文玥被薅头发捞上岸事业单位女子向同事水杯投不明物质凯特王妃现身!外出购物视频曝光河南驻马店通报西平中学跳楼事件王树国卸任西安交大校长 师生送别恒大被罚41.75亿到底怎么缴男子被流浪猫绊倒 投喂者赔24万房客欠租失踪 房东直发愁西双版纳热带植物园回应蜉蝣大爆发钱人豪晒法院裁定实锤抄袭外国人感慨凌晨的中国很安全胖东来员工每周单休无小长假白宫:哈马斯三号人物被杀测试车高速逃费 小米:已补缴老人退休金被冒领16年 金额超20万
发表评论
您还未登录,请先登录。
登录