外部攻击面管理产品选型的六个关键问题
随着企业数字化转型的深入,企业影子IT和资产暴露问题日趋严重,在网络安全行业流行了几十年的被动式网络防御方法正在被主动安全方法取代。因为无数安全事件证明,被动式防御往往防不住重大攻击,平均检测和响应时间等关键绩效指标也越来越难看。
迈向进攻性或主动式安全方法的第一步,正是越来越受到业界关注的ASM(攻击面管理)和EASM(外部攻击面管理)。根据企业管理协会(EMA)的最新调查,超过一半(53%)受访企业认为“保护企业的整个攻击面”是他们的首要任务,并强调EASM解决方案是保护企业防止攻击的关键要素。
今天,EASM已经开始在企业的主动安全保护中发挥关键作用,但是大多数企业还没有改变传统安全观念,或者未能正确选型和实施EASM解决方案。近日,Uncovery首席执行官AdrienPetit在接受媒体采访时讨论了外部攻击面管理给企业带来的价值、优秀的EASM解决方案应具备的基本功能,以及企业在选择EASM时应该关注的几个重要问题:
一、强大的EASM解决方案应具备哪些核心功能?
鉴于目标是掌控互联网上公开的资产,任何EASM解决方案都必须具备以下四个核心功能:
- 发现资产(无论是在本地还是在云中)及其在库存中的维护
- 定期持续监控资产以识别任何变化
- 资产风险级别的评估和优先级(错误配置、漏洞、流氓资产等)
- 能够与运营团队的工具(工单、消息传递、SIEM)集成,以促进补救/缓解
二、哪些类型的企业从实施EASM解决方案中获益最多?
EASM解决方案具备普适性,能给各个行业不同规模的公司和组织带来价值,对于数字化转型较为复杂的公司(尤其是工业企业)来说也是如此。
然而,虽然今天EASM解决方案已经引起了大公司的极大兴趣,但尚未得到广泛采用:事实上,绝大多数安全专业人员尚未掌握互联网上暴露的全部资产及其风险级别。
这就是EASM往往在网络安全成熟度最高的行业中采用率高的原因,例如银行/保险、高科技、电信、零售和政府。
对于中小企业来说,其暴露的资产数量有限(基本上都是使用SaaS解决方案的网站和业务模块),暴露容易受到良好控制,因此对EASM解决方案的兴趣较低。
三、EASM工具如何与云安全态势管理(CSPM)和漏洞扫描程序等网络安全框架和解决方案集成?
事实上,EASM解决方案本身集成了用于发现/监控关键资产并评估其风险级别的功能,确保符合ISO27001、NIS2或DORA等标准和框架的要求。
EASM工具可以将有关外部资产的数据提供给CSPM或CAASM(需要与现有工具的API集成)等解决方案,这可确保团队获得组织攻击面的最新视图。
漏洞扫描器也受益于准确且及时更新的资产清单,而且,EASM解决方案可以直接集成漏洞扫描器,这丰富了风险评估的方式。通过与威胁情报相结合,可以进一步节省团队时间,使他们能够专注于最关键的资产。
四、有效的EASM计划应监控哪些关键指标?
可以重点监控两个基于覆盖率和准确性的量化指标:
- 关于资产发现:在方案实施的初始阶段,重要的是要确保解决方案能识别出比运营团队已知的资产(例如子域、网站的数量等)更多的资产。而且,EASM解决方案不得为运营团队增加不必要的工作量,这就是为什么它必须提供无误报的库存。
- 关于持续监控:新发现、退役(永久或暂时)或重新暴露的资产必须实时报告,而不是数天/周后才识别。
关于质量方面:
- 为了优先处理报告的大量资产,对暴露资产的风险水平的评估必须是适应性/模块化的(能够提出新的发现和评估模块),基于专业人士采用的标准,并与当前现实的网络攻击媒介相关(远程访问服务、VPN设备、公开利用的关键漏洞等)。
- EASM解决方案不应是封闭的,能够与操作人员最常用的工具集成。
五、EASM如何处理影子IT,做法与其他安全解决方案有何不同?
需要指出的是,EASM并不能覆盖公司的所有影子IT:例如,在公司WiFi网络上使用的员工手机(或个人电脑)就是一个未解决的用例,此外还包括员工用企业邮箱注册的SaaS通讯软件(或会计、人力资源等)。
不过,EASM解决方案非常适合识别由子公司(或网络代理机构)注册但尚未向集团申报的域名。同样,由开发人员上线但中心团队不知道的网站也可以轻松识别。
一个需要重点关注的地方是EASM方案对所获得/映射的所有资产元素(TLS证书、站点分析工具、favicon等)进行表征和分类的方式。通过对这些元素执行数据透视,从而识别可添加到公开资产初始清单中的影子IT资产。
六、许多EASM平台都宣称提供用户友好的界面,为什么这对于EASM的成功实施和运营如此重要?
越来越多的非技术操作用户以及管理人员也在使用网络安全解决方案,这也适用于EASM。这就是为什么网络安全产品和解决方案要强调用户体验,使数据易于理解、可操作、便于报告至关重要。
另一方面,安全团队往往会堆积大量解决方案/工具(数十个)来满足不同需求,因此EASM提供用户友好的界面至关重要,可以帮助避免因用户体验糟糕或者学习曲线陡峭而被打入冷宫。