九个主流攻击面发现与管理工具
攻击面管理和发现工具能够量化、强化和最小化攻击面,是企业主动安全策略成败的关键。
什么是攻击面管理?
攻击面是指可能暴露在网络攻击中可被利用的所有资产,既包括企业内部资产,也包括面向外部的资产,例如公共云、台式机,通过企业防火墙打开端口的本地托管应用程序、托管在云中的SaaS应用程序,或者开放的云托管资源,甚至还包括开放端口和协议、正在使用的SSL和加密标准,以及托管应用程序的服务器平台。
虽然攻击面管理重点关注面向公众的,在互联网上公开可访问资产,但企业数据中心或云网络内部资产如果没有得到适当的监控和管理,也可能使企业面临风险。由于这些资产对外部实体不可用,因此需要通过工具(软件代理)或服务进行监控。
攻击面管理工具主要有两大类:
- 外部攻击面管理(EASM)–经常与攻击面管理混淆。外部攻击面管理仅关注面向公众的资产,如公共云。
- 网络资产攻击面管理(CAASM)–CAASM被认为是攻击面管理实践的基石,旨在整理与组织漏洞相关的数据并对其进行有效管理。CAASM工具的目标是尽可能少地向攻击者提供有关业务安全状况的信息,同时保证关键业务的正常运行。
九大攻击面管理工具
攻击面管理工具的热度正在不断上升,因为定期扫描网络已经不能满足攻击面强化的需求,而持续监控新资产和配置漂移对于确保公司资产和数据安全至关重要。
以下我们介绍全球攻击面管理市场上比较有代表性的9种CAASM和EASM工具:
1.Axonius网络资产攻击面管理
Axonius提供了一个强大的CAASM套件,涵盖攻击面监控的所有关键功能。Axonius的解决方案从资产清单入手,该资产清单会自动更新,并使用内部数据源和Axonius可以访问的用户网络外部资源的上下文进行富化。它还可以根据策略集(如PCI或HIPAA)的安全控制执行监视,识别违反规则的配置或漏洞。
2.CrowStrike Falcon Surface外部攻击面管理
CrowdStrike的EASM工具Falcon Surface能提供对手视角的暴露资产和潜在攻击媒介的实时地图。CrowdStrike的资产清单还提供了随时间变化的历史记录,提供了配置漂移的即时详细信息。通过内部和外部数据流开发的上下文,可以确定业务风险的优先级。修正操作可以通过基于集成的警报和操作(通知Slack通道、在Jira或ServiceNow中创建工单,或在用户帐户或系统上触发操作)自动执行,或者基于playbook的修正以引导管理员通过配置或应用系统更新来强化系统。
3.CyCognito网络资产攻击面管理
CyCognito的CAASM产品提供持续的监控和资产清单功能,无论这些资产驻留在本地、云中、第三方还是子公司中。用户可以添加业务上下文(例如所有权和资产之间的关系),以优化分类流程并帮助确定风险响应的优先级。这种基于上下文和情报的优先级分类有助于聚焦关键风险。CyCognito还跟踪资产的配置漂移,可查看更改历史记录并识别公司基础架构的新风险。
4.Informer外部攻击面管理
Informer推出了外部攻击面管理功能,可跨Web应用程序,API和面向公众的业务IT堆栈自动发现资产。这些资产受到持续监控,任何识别的风险都会被实时确定优先级。Informer提供附加服务来执行手动风险验证甚至渗透测试。Informer基于工作流的响应系统通过与现有的工单和通信应用程序集成,有助于将多个团队纳入事件响应。一旦Informer识别的威胁得到缓解,就可以立即启动重新测试,以验证配置更改或系统更新是否已完全修复风险。
5.JupiterOne网络资产攻击面管理
JupiterOne将其CAASM解决方案定义为一种将网络资产数据无缝聚合到统一视图中的方法。能自动添加上下文,并且可以定义和优化资产关系以增强漏洞分析和事件响应。自定义查询功能可帮助网络安全团队解决复杂问题,同时还支持使用交互式可视化地图浏览资产清单,从而评估事件范围并确定响应的优先级。用户可通过集成将JupiterOne升级为企业安全态势的整体集中视图,进一步提高安全工具的投资回报。
6.微软Defender外部攻击面管理
微软正在企业网络安全市场悄悄发挥领导作用,利用其在云服务领域的投资为客户提供价值,其Defender品牌下的EASM产品也不例外。Microsoft Defender EASM提供非托管资产发现,包括影子IT部署的资产和资源以及驻留在其他云平台中的资产。识别资产和资源后,Defender EASM会探测技术堆栈每一层的漏洞,包括底层平台、应用程序框架、Web应用程序、组件和核心代码。
Microsoft Defender EASM使IT人员能够在发现漏洞时实时对漏洞进行分类和优先级排序,从而快速修复新发现的资源中的漏洞。Defender EASM可与其他微软安全解决方案紧密集成,如Microsoft 365 Defender、Defender for Cloud和Sentinel。
7.Rapid7 InsightVM攻击面管理
Rapid7的攻击面管理产品InsightVM的切入点是企业资产的漏洞识别。事实证明,系统扫描和数据分析之类的基础工作在攻击面管理中很有用,而InsightVM在此基础上开发,带来了可与上述任何其他解决方案相媲美的强大功能。值得注意的是,Rapid7是CVE编号机构,因此能够较早识别和评估新发现的漏洞。此外,InsightVM还能监控公司资产的变更,无论是新部署的资产还是具有新漏洞或配置更改的资产。
8.SOCRadar AttackMapper攻击面管理
SOCRadar的AttackMapper为用户提供攻击者视角的资产视图,这是其SOC团队工具套件的一部分。AttackMapper实时对资产执行动态监控,识别新的或更改的资产,并分析这些更改是否存在潜在漏洞。SOCRadar将他们的发现与已知漏洞攻击方法相关联,为决策和分类过程提供背景信息。AttackMapper不仅能监控端点和软件漏洞,还包括SSL弱点和证书过期,DNS记录和配置,甚至网页篡改也可被AttackMapper识别,以保护品牌声誉。
9.Tenable.asm外部攻击面管理
Tenable多年来一直提供识别漏洞的工具,他们当前的工具套件很好地满足了现代IT安全专业人员的需求。Tenable.asm是新增的EASM模块,与Tenable的漏洞管理工具完全集成。Tenable.asm能从技术也业务层面提供资产和漏洞详细信息的上下文,并将上下文添加到资产和漏洞数据中。用户可以查询和筛选200多个元数据字段,从而快速向下探查到对业务至关重要的资产和资源。
