Gartner发布攻击面管理创新洞察:CTEM、VA、EASM、CAASM、ASA、DRPS、BAS、VM等攻击面管理相关技术及关系

news2024/12/23 11:02:26

安全运营团队负责管理跨内部和外部数字资产的复杂攻击面。这项研究概述了攻击面评估空间,以帮助安全和风险管理领导者驾驭技术并改善其安全状况。

主要发现

  • 随着本地和云中的技术环境变得越来越复杂和分散,组织必须管理不断增长的攻击面。 SaaS 应用程序和供应链接触点正在扩大攻击面。容器和网络物理系统(例如物联网)也呈现出新的攻击面。

  • 传统上,攻击面解决方案主要侧重于识别外部可见资产的安全卫生方面的缺陷。这些解决方案正在迅速扩展,超越对外部客户拥有的技术的传统评估,重点关注品牌风险、声誉风险以及来自 SaaS 和第三方系统的风险。

  • 尽管人们对攻击面评估作为一个独立主题的兴趣相对浓厚,但许多攻击面解决方案正在与其他市场领域的解决方案进行整合。外部攻击面管理 (EASM)与漏洞评估 (VA)相结合,创建了更广泛的暴露评估市场。

  • 事实证明,网络资产攻击面管理 (CAASM) 对于安全团队提高资产可见性的要求很有价值。作为次要好处,它可以改进整个组织的配置管理数据库 (CMDB)。

建议

作为安全运营职能的一部分,负责管理组织攻击面的安全和风险管理领导者应该:

  • 根据更广泛的暴露面管理流程和计划(例如持续威胁暴露管理 (CTEM))的目标投资攻击面解决方案。

  • 建立有效的自有资产登记册,包括身份、应用程序和第三方 SaaS、IaaS 和 PaaS 功能。准确的记录可以更广泛地了解和报告与组织的外部和内部管理的攻击面相关的网络安全风险。

  • 在寻找利基或离散攻击面技术提供商之前,先研究现有技术提供商的升级和更集成的产品,例如漏洞扫描器、云安全技术和 ITSM 工具。

战略规划假设

  • 到 2027 年,90%的EASM 和数字风险保护服务 (DRPS)将成为更广泛的现有安全平台投资的特征,从而取代单点解决方案。

  • 到 2028 年,对提高可见性和减少暴露的主动技术的投资增长速度将是对检测和响应事件的反应技术的投资增长速度的两倍。

介绍

尽管人们普遍理解,“攻击面管理”(ASM) 是一个不准确的术语,用于描述持续发现、盘点和情境化组织资产的技术和服务。资产可以是物理的,也可以是数字的,可以是内部的,也可以是外部的,可以是自有的,也可以是订阅的一部分。发现、盘点和情境化是一个评估过程,而不是一个管理过程。因此,“攻击面评估”(ASA)是一个更准确的术语。

攻击面:系统、系统元素或环境 [资产] 边界上的一组点,攻击者可以尝试进入该系统、系统元素或环境,对该系统、系统元素或环境造成影响或从中提取数据。”

美国国家标准与技术研究院 (NIST)

通过建立攻击面的可见性并实施管理流程来确定优先级、验证和动员响应,安全团队可以减少恶意威胁行为者利用的风险。暴露管理的每个支柱都有自己的目标,并回答 Gartner 客户提出的具体问题(见图1和注释 1)。本研究仅关注暴露管理的攻击面能力(攻击面支柱)。

图 1:暴露管理的组成部分

ASA是更广泛的暴露评估功能集的被动机制(见注1和注2)。它不涉及直接测试。相比之下,更主动的评估方法(如漏洞扫描)会探测与攻击面相关的细节。最常见的是,ASA 是非侵入性的,因此无法被防御组织检测到。它通过用于常规业务功能的日常 IT 应用程序(例如 Web 浏览器)收集信息。

执行 ASA 的工具主要位于三个市场领域之一:

  • 外部攻击面管理 (EASM)

  • 数字风险保护服务(DRPS)

  • 网络资产攻击面管理 (CAASM)

ASA技术和功能在 CAASM 等新兴市场和VA 等整合市场中不断发展。这些技术帮助组织有效地评估更多的攻击面,并优先考虑影响受控和不受控数字资产的风险。大多数 ASA 技术提供两类功能:

  • 可见性:扩大所覆盖资产的范围,并提高人们对网络风险的认识,从而提高攻击者的可见性可能会对这些资产造成的影响。

  • 吸引力:评估特定资产的吸引力以及该资产可能成为第三方攻击目标的可能性。

ASA 功能与其他安全技术的功能互补或重叠,例如 VA、漏洞优先级技术 (VPT) 和各种安全态势管理工具(请参阅注释 3)。

描述

定义

评估攻击面主要涉及在三个市场领域使用技术:

  • 外部攻击面管理 (EASM)是指为发现面向互联网的企业资产、系统和相关风险而部署的流程、技术和托管服务。示例包括暴露的服务器、公有云服务配置错误以及可能被对手利用的第三方合作伙伴软件代码漏洞。

  • 数字风险保护服务 (DRPS)是一组以技术为主导的服务,可实现品牌保护、第三方风险评估和发现外部威胁以及对已识别风险的技术响应。这些解决方案提供对开放(表面)网络、社交媒体、暗网和深网来源的可见性,以识别对关键资产的潜在威胁。它们提供有关威胁行为者、他们的策略以及进行恶意活动的流程的上下文信息。

  • 网络资产攻击面管理 (CAASM)专注于帮助安全团队克服资产可见性和暴露挑战。它使组织能够主要通过API 与现有工具集成,获得其资产(内部和外部)的近乎完整的视图;查询综合数据;确定安全控制中的暴露范围和差距;并修复问题。

然而,由于它们支持的一些用例存在重叠,因此对这三者仍然存在一些困惑:

  • EASM更注重技术和运营。它支持从事 VA、渗透测试和威胁狩猎等活动的安全运营专业人员。一些 EASM 提供商还通过收购与入侵和攻击模拟 (BAS)、VA 技术和其他安全技术提供商进行整合。

  • 与 EASM 相比, DRPS主要支持更多以业务为中心的活动,例如企业数字风险评估、合规性以及品牌和高管保护。 EASM 和 DRPS 之间的另一个重要区别是,后者通常提供服务覆盖来执行删除等功能。

  • CAASM 的运作方式有所不同。其发现功能主要通过 API 与现有 IT 工具集成来发挥作用,而不是匿名扫描或探测系统。由于 CAASM 可以更方便地访问内部环境,因此它通常可以提供更丰富、更可靠的数据。然而,CAASM 填充的资产清单的完整性取决于组织现有数据源的质量。CAASM 的第二个目标是提供组织资产清单 (CMDB) 的整体视图,协调重复或不一致的数据,并启用一些自动步骤来更新数据。资产盘点对于组织来说是一个常见且众所周知的问题,只有 17% 的组织能够清楚地识别和盘点其大部分(95% 或更多)资产。

CAASM 是来自其他来源的数据聚合器,而 EASM 和 DRPS 是两个 ASA 驱动的记录来源,可提供 CAASM 的集中可见性。由于这些操作差异,CAASM 尚未看到其他 ASA 技术所引起的兴趣或整合。最终用户不应过度投资 CAASM。相反,他们应该考虑为期一年的订阅,并准备好在现有提供商提供成本更低/免费的替代方案时更换它。

不可避免的是,没有一个组织具有相同类型和分布的业务资产。因此,选择正确的 ASA 技术组合取决于所需的输出。驾驭这些市场的一个好方法是了解每种技术的构建主要是针对某些核心用例(参见图 2 和注释 4)。因此,这些核心用例是每种技术最适合支持的。

图 2:CAASM、EASM、DRPS 和 VA Intersection 支持的用例

这些技术可以帮助组织了解其攻击面,例如提供攻击者的观点、对攻击者首先看到的问题进行优先级排序以及聚合安全用例的资产数据。但管理组织的风险并理解这些细节需要特定的技能。

此外,考虑到组织环境和威胁形势的多样性和复杂性,传统安全技术存在能力差距,导致其不足。例如,VA 仅提供组织配置工具扫描的内容(例如 IP 地址)的可见性。

ASA 技术提供了组织资产清单(包括未知资产)的更全面视图。一些 ASA 技术甚至可以显示 VA 缺少扫描的位置。

优点和用途

  • 提高资产可视性使组织能够避免盲点和不受管理的技术(例如“影子 IT ”),从而加强其安全状况并支持更全面的风险管理。

  • 了解潜在的攻击入口点有助于组织优先考虑安全控制部署和配置。这种优先顺序反过来又有助于减少对互联网和公共领域的可利用暴露。

  • ASA 提供了组织可以利用的上下文:

o   在漏洞管理和暴露验证流程中更好地优先考虑暴露风险

o   启用额外的风险评分

o   优化检测和响应功能的防御措施

  • 更准确、最新且完整的资产和安全控制报告可实现更快的审计合规性报告。

  • ASA 减少了数据收集的阻力,并能够更广泛地了解IT 缺乏治理和控制的影子 IT组织、已安装的第三方系统和业务线应用程序。安全团队需要了解与这些资产相关的存在和风险,而 IT 团队可能不需要。

  • 从 ASA 技术中获得可操作的情报和有意义的指标,并且可以随着时间的推移进行跟踪。这些有助于证明 CTEM 成为网络安全计划一部分的价值。

风险

  • 自 2023 年中期以来,许多 EASM 和 DRPS 解决方案已被较大的技术供应商收购。这种趋势可能会持续下去,一些ASA市场之间的整合是不可避免的。这些变化将影响现有的最终用户投资和跨工具兼容性。

  • ASA功能主要是开源功能的集合,进入这个市场的门槛很低。因此,产品的质量差异很大。大型安全平台供应商(例如VA提供商)正在构建和获取功能,以便为购买其更大的网络安全工具生态系统的组织提供更强大的 ASA 功能。

  • 每种 ASA 技术都可以是孤立的,并且可能会在经过培训的人员的配置、管理和维护方面产生额外的开销。

  • 尽管ASA 技术通过聚合和协调来自其他记录系统(例如 CMDB)的数据来提高资产可视性,但它本身并不能从源头上解决数据质量差和粒度问题。如果没有人愿意真正管理其技术投资,组织就不会成功。安全团队必须与源系统所有者合作修复记录系统。

  • ASA 技术有可能收集大量暴露数据,因此需要与 VM 流程进行稳健集成。如果没有适当的集成,已经不堪重负的漏洞管理流程可能会因缺乏有效的优先级而受到影响,并可能提供不准确的结果。

  • ASA 技术很少与当前预算的特定要素保持一致。这些工具通常对于现有的漏洞解决方案来说是多余的,并且在当前的金融环境下获得额外的预算来增加工具的数量可能特别困难。

采用率

Gartner 估计,不到25 %的组织已采用一种或多种 ASA技术来解决其攻击面。许多人依靠部分或手动 ASM 流程来评估其资产和任何相关风险。

建议

  • 根据采用既定流程(例如 CTEM)投资攻击面解决方案,以界定和细化攻击面评估。基于量化的业务风险进行可见性差距分析将确保高级领导层能够认识到任何投资的好处。

  • 建立有效的自有资产登记册。评估组织的关键风险驱动因素,以了解应该优先考虑哪些技术。一般来说,组织应在 CAASM 之前安装和管理 EASM 和/或 DRPS,因为 CAASM 技术可在管理 EASM 和 DRPS 输出方面进行扩展,以完成其资产清单。

  • 研究现有技术提供商的升级和更集成的产品,并确定是否通过短期合同采购单点解决方案。ASA技术和供应商正在迅速成熟,未来三到五年内极有可能合并为更大的供应商。评估相关的权衡,例如更高的折扣和同比价格上涨。每年重新评估市场,直到创新和市场变化的浪潮放缓。

代表性供应商

以下是提供ASA 功能的供应商的代表性(非详尽)列表。

纯 CAASM 供应商

  • Axonius

  • JupiterOne

  • Noetic Cyber

具有 ASA 功能的广泛产品组合安全供应商

  • CrowdStrike(通过收购 Reposify)

  • IBM(通过收购 Randori)

  • 微软(通过收购 RiskIQ)

  • Palo Alto Networks(通过收购 Expanse)

  • Tenable(通过收购 Bit Discovery)

纯EASM 供应商

  • IONIX(以前称为 Cyberpion)

  • CyCognito

  • watchTowr

缩写词关键和术语表

ASA

攻击面评估

ASM

攻击面管理

BAS

入侵和攻击模拟

CAASM

网络资产攻击面管理

CTEM

持续威胁暴露管理

DRPS

数字化风险保障服务

EASM

外部攻击面管理

VA

漏洞评估

VM

漏洞管理

注1:暴露管理的三大支柱

1.    攻击面支柱:“从攻击者的角度来看,我的组织是什么样的?它应该如何发现攻击者首先会看到的问题并确定其优先级?”

2.    漏洞支柱:“存在哪些软件,以及我的组织设置了哪些安全态势,使其容易受到攻击?”

3.    测试/模拟支柱:“如果攻击者对我组织的基础设施发起攻击,会发生什么?它的防御将如何应对,流程将如何执行?”

注2:CAASM、EASM 和 DRPS 的主要用例

以下是构成攻击面评估的三个主要市场领域,以及它们支持的主要用例:

  • CAASM:审计合规性、安全控制存在、资产管理、风险评分

  • EASM:可见性识别、漏洞识别、控制间隙识别、错误配置检测、数字资产发现

  • DRPS:品牌保护、数据泄露情报、虚假信息监控、高管保护、社交媒体监控

值得注意的是,资产管理、风险评分、漏洞识别、控制差距识别、错误配置检测、数字资产发现和数据泄漏情报似乎是所有这些市场的功能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1622389.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

wps/word中字体安装教程

问题:下载的字体怎么导入wps/word wps或word中没有相应字体,怎么导入。其实方法很简单。 Step 1:下载字体 首先,在网上搜索自己喜欢的字体,然后下载到本地。字体的格式通常是.ttf 下面是我网上找的字体&#xff08…

2024年度西安市创新联合体备案申报条件时间要求须知

一、申报条件 组建市级创新联合体需具备牵头单位、成员单位、组建协议、首席科学家等四个条件。 (一)牵头单位 1.牵头单位应为在西安市注册登记的省市产业链龙头骨干企业,重点支持市级重点产业链“链主”企业; 2.牵头单位一般为1家。 (二)成员单位 1.成员单位…

2024最新版JavaScript逆向爬虫教程-------基础篇之JavaScript密码学以及CryptoJS各种常用算法的实现

目录 一、密码学介绍1.1 为什么要学密码学?1.2 密码学里面学哪一些 二、字符编码三、位运算四、Hex 编码与 Base64 编码4.1 Hex 编码4.2 Base64 编码 五、消息摘要算法5.1 简介5.2 JS中的MD5、SHA、HMAC、SM3 六、对称加密算法6.1 介绍6.2 加密模式和填充方式6.3 CryptoJS 中D…

代理IP干货:如何正确使用防范风险?

在今天的数字时代,代理IP地址已成为互联网世界中不可或缺的一部分。无论您是寻求绕过地理限制、保护个人隐私还是执行网络任务,代理IP地址都发挥着关键作用。我们将为您探讨代理IP地址的重要性以及如何防范潜在的风险和威胁。 一、代理IP地址的潜在风险 …

CUDA编程技术概述

CUDA(Compute Unified Device Architecture,统一计算设备架构)是由英伟达(NVIDIA)公司推出的一种软硬件集成技术,是该公司对于GPGPU(通用图形处理器计算)的正式名称。透过这个技术&a…

微信小程序用户隐私协议保护指引自定义组件封装

这是一个微信小程序用户隐私协议保护指引自定义组件封装详细教程及代码。【建议收藏】 在做微信小程序有涉及表单提交,涉及用户信息收集时。提交代码会审核不过。 有需要了解到文档:https://developers.weixin.qq.com/miniprogram/dev/framework/user-pr…

超分辨率遥感图像去云的扩散增强训练

GitHub - littlebeen/Cloud-removal-model-collection: A collection of the existing end-to-end cloud removal model readme 云恢复的扩散增强 基于ADM的超分辨率遥感图像去云扩散增强算法。 几种传统的CR模型可以参考https://github.com/littlebeen/Cloud-removal-model-co…

短链接推荐:一个可以监测用户行为的“营销神器”

客户对我的推广有兴趣吗?他喜欢我的产品吗?他打开了我的营销信息吗?这三个问题相信每一位推广者都遇到过。接下来,就将给大家介绍一位大聪明——它能帮你监测每一位用户的行为,让你分分秒秒掌握用户的心理!…

深入了解Redis内存淘汰策略中的LRU算法应用

LRU算法简析 LRU(Least Recently Used,最近最少使用)算法是一种常见的内存淘汰策略,它根据数据的访问时间来决定哪些数据会被淘汰。LRU算法的核心思想是:最久未被访问的数据,被认为是最不常用的数据&#…

UE5 GAS开发P41-43 永久效果,去除永久效果,伤害区域,EnumClass,开始重叠与结束重叠事件

这一部分学习了怎么创建一个伤害性的地形(火焰地形,毒沼泽等都可以用这个方式创建) AuraEffectActor.h // Fill out your copyright notice in the Description page of Project Settings.#pragma once#include "CoreMinimal.h" #include "GameplayEffect.h&q…

Linux驱动开发:掌握SPI通信机制

目录标题 1、SPI简介2、SPI通信机制3、Linux内核中的SPI支持4、SPI核心API5、SPI控制器驱动6、SPI设备驱动 7、编写SPI设备驱动8、调试SPI驱动 在Linux驱动开发中,串行外设接口(SPI)是一种常见的高速全双工通信协议,用于连接处理器和各种外设。本文将深入…

React【Day4下+5】

环境搭建 使用CRA创建项目,并安装必要依赖,包括下列基础包 Redux状态管理 - reduxjs/toolkit 、 react-redux路由 - react-router-dom时间处理 - dayjsclass类名处理 - classnames移动端组件库 - antd-mobile请求插件 - axios pnpm i reduxjs/toolkit r…

企业规模扩大,SD-WAN实现跨省快速组网

随着数字化时代的飞速发展,企业面临着前所未有的挑战与机遇。5G、VoIP、AI和物联网等新技术的兴起,不仅改变了商业格局,也对企业网络提出了更高的要求。随着企业规模的不断扩大,企业如何搭建跨省的、高性能、超融合、简化运维的组…

防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程

防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程 一、安全策略匹配机制 简单通俗的讲,防火墙设备最基本的用途就是定义数据如何转发,靠什么定义呢?最基本的就是安全策略,当流量来到防火墙之后首先…

LeetCode_链表的回文结构

✨✨所属专栏:LeetCode刷题专栏✨✨ ✨✨作者主页:嶔某✨✨ 题目描述: 对于一个链表,请设计一个时间复杂度为O(n),额外空间复杂度为O(1)的算法,判断其是否为回文结构。给定一个链表的头指针A,请返回一个bo…

Edge下载文件提示无法安全下载的解决方法

问题描述:最近Edge在下载文件时总是提示:无法安全下载,本文记录一下解决方法。 提示截图: 解决方式一: 1. 点击下图红框的三个点,选择保留 2. 选择仍然保留 解决方式二: 第一种方式每下载一次…

微信小程序中,plugins 配置项如何配置多个插件

在微信小程序中,如果需要配置多个插件,你可以在 app.json 文件的 plugins 配置项中为每个插件指定一个唯一的自定义名称,并分别提供它们的 version 和 provider 信息。下面是一个配置多个插件的示例: json复制代码 { "pages…

Python 0基础_变现_38岁_day 16(文件操作)

在python,使用内置函数open()进行文件的一些读写操作 文件操作格式:open(文件路径,访问模式,字符编码) 前面两个参数是必备参数,后面的字符编码为选填,但是大多数情况下都会协商字符编码 访问模式 r 只读 w…

如何看待AIGC技术

目录 1.概述 2.技术应用 2.1.媒体与内容创作 2.2.教育与学习 ​​​​​​​2.3.艺术创作 ​​​​​​​2.4.游戏产业 ​​​​​​​2.5.工业设计 ​​​​​​​2.6.对未来社会的影响 2.7.可能的发展方向 ​​​​​​​2.8.小结 3.伦理与风险 3.1.AIGC技术面临…

科研工作学习中常用的录制动图软件——screenToGif

一、前言 俗话说,字不如表,表不如图,静图不如动图。 动图给人的直观感受,还是很不错的。在曾经的学生期间,进行组会汇报;还是如今工作中,给领导汇报。我经常使用screenToGif这款软件&#xff…