電子報

No.016 關於攻擊面管理,您需要知道的幾件事

三, 12/14/2022 - 16:54


隨著雲端服務的逐漸接受,再加上遠距辦公的廣泛採用,直接導致企業的攻擊面大幅增加,並導致整體架構中出現愈來愈多的安全盲點。

可預見的是這種逐步增多的攻擊面向,其結果就是駭客攻擊成功的數量顯著增加,最臭名昭著的就是勒索軟體。主因在於駭客使用不受監控的盲點來破壞企業的基礎設施並在內部網路橫向移動,藉以尋找有價值的信息。

然而,大多數企業的成長速度超過了他們追蹤處理所有相關惡意活動的能力,加上監控掌握企業暴露在外的敏感資料通常被視為一項複雜且勞力密集的工作,且幾乎沒有立竿見影的好處,致使企業長期在這部分未投入充分的資源。

為此,Gartner 從2018年開始便倡導企業資安部門開始監控並嚴格管理攻擊面,並將攻擊面管理納入網絡安全風險管理計劃的一部分,這也是企業向主動安全轉變的開始。

什麼是攻擊面管理

攻擊面管理 (Attack Surface Management, ASM) 是對組織IT基礎設施的持續發現、清點、分類、優先等級和安全監控。

什麼是攻擊面

要了解攻擊面管理,首先要定義攻擊面(Attack Surface)。攻擊面是可以從 Internet 存取並處理企業資料的所有硬體、軟體、SaaS 服務和雲端資產。

企業的攻擊面包括:

已知資產:已納入管理清單的各項資產,比如公司網站、伺服器以及在上面執行的各種程式。

未知資產:Shadow IT或孤立的 IT 基礎設施,這些基礎設施超出了企業安全團隊的權限,比如被遺忘的開發網站或行銷網站。

惡意資產:由惡意軟體、網域名稱仿冒或冒充企業網域名稱的網站、或行動應用App等惡意攻擊者構建的惡意基礎設施。

供應商:企業的攻擊面不僅限於企業本身,第三方和第四方供應商同樣會引入重大安全風險。即使是小型供應商也可能導致大量資料洩露。

為什麼攻擊面管理很重要

攻擊面管理重要性來自於其能夠幫助企業預防和減輕來自以下方面的風險:

  • ● Internet、物聯網及Shadow IT
  • ● 網路釣魚與資料洩露等人為錯誤和遺漏
  • ● 易受攻擊與過時的軟體
  • ● 未知的開源軟體 (Open Source Software)
  • ● 對企業所在行業的大規模攻擊
  • ● 對企業進行有針對性的網路攻擊
  • ● 知識產權的侵權
  • ● 從併購活動中承接的 IT 設施
  • ● 供應商管理資產

怎麼做好攻擊面管理

為做好攻擊面管理,我們建議您採取下列五個步驟,讓您的攻擊面管理得以完善周全。

步驟1:資產可見性

任何攻擊面管理解決方案的初始階段都是先發現所有包含或處理企業的敏感資料(如個人身份資訊、商業機密等)且面向 Internet 的數位資產。

這些資產可以由企業以及第三方(如雲端服務供應商、IaaS 和 SaaS、業務合作夥伴、供應商或外部承包商)擁有。以下是攻擊面管理解決方案需清查識別的數位資產列表:

  • ● Web 應用程式、服務和 API
  • ● 行動應用 App及其後台
  • ● 雲端儲存和網路設備
  • ● 網域名、SSL 證書和 IP 地址
  • ● 物聯網和連接設備
  • ● 程式碼代管平台,例如 GitHub、BitBucket 和 Gitlab
  • ● 電子郵件伺服器

步驟 2:資產清單與分類

在發現資產之後,企業就可以開始建立IT 資產清單流程。在這個步驟中,企業可以根據以下內容對資產進行標記:

  • ● 類型
  • ● 技術特性和性能
  • ● 業務關鍵性
  • ● 合規要求
  • ● 所有者

步驟3:風險評分和安全等級

風險評分和安全等級可快速識別影響每項資產的安全問題,以及它們是否暴露了可能導致資料洩露或其他網路攻擊的資訊。

安全等級是對企業安全狀況進行基於資料的、客觀的且動態的衡量。與滲透測試、安全調查問卷或現場訪問等傳統風險評估技術不同,安全等級源自客觀的、外部可驗證的訊息。

步驟4:持續監控

持續的安全監控是攻擊管理解決方案最重要的功能之一。複雜的網路攻擊技術每天在更新,新的技術也不斷出現,零日差漏洞愈久未被發現和修補,構成的威脅損害就越大。有效的攻擊面管理需要7 x 24全天候監控企業資產,以發現新的安全漏洞、弱點、錯誤設定和合規性問題。

步驟5:惡意資產和事件監控

上述步驟能夠幫助發現企業及其第三方供應商的已知和未知資產。在當前的網路環境中,駭客經常透過下面幾種方式來進行攻擊:

  • ● 魚叉式網路釣魚(Spear Phishing)網站
  • ● 電子郵件詐騙
  • ● OPSEC(Operation Security)故障
  • ● 勒索軟體
  • ● 網域名搶注或仿冒網域名

上述網路攻擊暴露了企業的敏感資料,而這些資料在最初入侵後的很長時間仍然在 Internet或暗網上可被看見。如果資訊持續暴露在外,這些資料可能會在駭客未來的攻擊中被進一步利用。因此攻擊面管理解決方案需要包含對網路釣魚網站、與企業相關的偽冒行動應用App和虛假社交媒體等惡意資產和事件的持續跟踪和監控。