安全运营团队负责管理跨内部和外部数字资产的复杂攻击面。这项研究概述了攻击面评估空间,以帮助安全和风险管理领导者驾驭技术并改善其安全状况。
主要发现
-
随着本地和云中的技术环境变得越来越复杂和分散,组织必须管理不断增长的攻击面。 SaaS 应用程序和供应链接触点正在扩大攻击面。容器和网络物理系统(例如物联网)也呈现出新的攻击面。
-
传统上,攻击面解决方案主要侧重于识别外部可见资产的安全卫生方面的缺陷。这些解决方案正在迅速扩展,超越对外部客户拥有的技术的传统评估,重点关注品牌风险、声誉风险以及来自 SaaS 和第三方系统的风险。
-
尽管人们对攻击面评估作为一个独立主题的兴趣相对浓厚,但许多攻击面解决方案正在与其他市场领域的解决方案进行整合。外部攻击面管理 (EASM)与漏洞评估 (VA)相结合,创建了更广泛的暴露评估市场。
-
事实证明,网络资产攻击面管理 (CAASM) 对于安全团队提高资产可见性的要求很有价值。作为次要好处,它可以改进整个组织的配置管理数据库 (CMDB)。
建议
作为安全运营职能的一部分,负责管理组织攻击面的安全和风险管理领导者应该:
-
根据更广泛的暴露面管理流程和计划(例如持续威胁暴露管理 (CTEM))的目标投资攻击面解决方案。
-
建立有效的自有资产登记册,包括身份、应用程序和第三方 SaaS、IaaS 和 PaaS 功能。准确的记录可以更广泛地了解和报告与组织的外部和内部管理的攻击面相关的网络安全风险。
-
在寻找利基或离散攻击面技术提供商之前,先研究现有技术提供商的升级和更集成的产品,例如漏洞扫描器、云安全技术和 ITSM 工具。
战略规划假设
-
到 2027 年,90%的EASM 和数字风险保护服务 (DRPS)将成为更广泛的现有安全平台投资的特征,从而取代单点解决方案。
-
到 2028 年,对提高可见性和减少暴露的主动技术的投资增长速度将是对检测和响应事件的反应技术的投资增长速度的两倍。
介绍
尽管人们普遍理解,“攻击面管理”(ASM) 是一个不准确的术语,用于描述持续发现、盘点和情境化组织资产的技术和服务。资产可以是物理的,也可以是数字的,可以是内部的,也可以是外部的,可以是自有的,也可以是订阅的一部分。发现、盘点和情境化是一个评估过程,而不是一个管理过程。因此,“攻击面评估”(ASA)是一个更准确的术语。
“攻击面:系统、系统元素或环境 [资产] 边界上的一组点,攻击者可以尝试进入该系统、系统元素或环境,对该系统、系统元素或环境造成影响或从中提取数据。”
—美国国家标准与技术研究院 (NIST)
通过建立攻击面的可见性并实施管理流程来确定优先级、验证和动员响应,安全团队可以减少恶意威胁行为者利用的风险。暴露管理的每个支柱都有自己的目标,并回答 Gartner 客户提出的具体问题(见图1和注释 1)。本研究仅关注暴露管理的攻击面能力(攻击面支柱)。
图 1:暴露管理的组成部分
ASA是更广泛的暴露评估功能集的被动机制(见注1和注2)。它不涉及直接测试。相比之下,更主动的评估方法(如漏洞扫描)会探测与攻击面相关的细节。最常见的是,ASA 是非侵入性的,因此无法被防御组织检测到。它通过用于常规业务功能的日常 IT 应用程序(例如 Web 浏览器)收集信息。
执行 ASA 的工具主要位于三个市场领域之一:
-
外部攻击面管理 (EASM)
-
数字风险保护服务(DRPS)
-
网络资产攻击面管理 (CAASM)
ASA技术和功能在 CAASM 等新兴市场和VA 等整合市场中不断发展。这些技术帮助组织有效地评估更多的攻击面,并优先考虑影响受控和不受控数字资产的风险。大多数 ASA 技术提供两类功能:
-
可见性:扩大所覆盖资产的范围,并提高人们对网络风险的认识,从而提高攻击者的可见性可能会对这些资产造成的影响。
-
吸引力:评估特定资产的吸引力以及该资产可能成为第三方攻击目标的可能性。
ASA 功能与其他安全技术的功能互补或重叠,例如 VA、漏洞优先级技术 (VPT) 和各种安全态势管理工具(请参阅注释 3)。
描述
定义
评估攻击面主要涉及在三个市场领域使用技术:
-
外部攻击面管理 (EASM)是指为发现面向互联网的企业资产、系统和相关风险而部署的流程、技术和托管服务。示例包括暴露的服务器、公有云服务配置错误以及可能被对手利用的第三方合作伙伴软件代码漏洞。
-
数字风险保护服务 (DRPS)是一组以技术为主导的服务,可实现品牌保护、第三方风险评估和发现外部威胁以及对已识别风险的技术响应。这些解决方案提供对开放(表面)网络、社交媒体、暗网和深网来源的可见性,以识别对关键资产的潜在威胁。它们提供有关威胁行为者、他们的策略以及进行恶意活动的流程的上下文信息。
-
网络资产攻击面管理 (CAASM)专注于帮助安全团队克服资产可见性和暴露挑战。它使组织能够主要通过API 与现有工具集成,获得其资产(内部和外部)的近乎完整的视图;查询综合数据;确定安全控制中的暴露范围和差距;并修复问题。
然而,由于它们支持的一些用例存在重叠,因此对这三者仍然存在一些困惑:
-
EASM更注重技术和运营。它支持从事 VA、渗透测试和威胁狩猎等活动的安全运营专业人员。一些 EASM 提供商还通过收购与入侵和攻击模拟 (BAS)、VA 技术和其他安全技术提供商进行整合。
-
与 EASM 相比, DRPS主要支持更多以业务为中心的活动,例如企业数字风险评估、合规性以及品牌和高管保护。 EASM 和 DRPS 之间的另一个重要区别是,后者通常提供服务覆盖来执行删除等功能。
-
CAASM 的运作方式有所不同。其发现功能主要通过 API 与现有 IT 工具集成来发挥作用,而不是匿名扫描或探测系统。由于 CAASM 可以更方便地访问内部环境,因此它通常可以提供更丰富、更可靠的数据。然而,CAASM 填充的资产清单的完整性取决于组织现有数据源的质量。CAASM 的第二个目标是提供组织资产清单 (CMDB) 的整体视图,协调重复或不一致的数据,并启用一些自动步骤来更新数据。资产盘点对于组织来说是一个常见且众所周知的问题,只有 17% 的组织能够清楚地识别和盘点其大部分(95% 或更多)资产。
CAASM 是来自其他来源的数据聚合器,而 EASM 和 DRPS 是两个 ASA 驱动的记录来源,可提供 CAASM 的集中可见性。由于这些操作差异,CAASM 尚未看到其他 ASA 技术所引起的兴趣或整合。最终用户不应过度投资 CAASM。相反,他们应该考虑为期一年的订阅,并准备好在现有提供商提供成本更低/免费的替代方案时更换它。
不可避免的是,没有一个组织具有相同类型和分布的业务资产。因此,选择正确的 ASA 技术组合取决于所需的输出。驾驭这些市场的一个好方法是了解每种技术的构建主要是针对某些核心用例(参见图 2 和注释 4)。因此,这些核心用例是每种技术最适合支持的。
图 2:CAASM、EASM、DRPS 和 VA Intersection 支持的用例
这些技术可以帮助组织了解其攻击面,例如提供攻击者的观点、对攻击者首先看到的问题进行优先级排序以及聚合安全用例的资产数据。但管理组织的风险并理解这些细节需要特定的技能。
此外,考虑到组织环境和威胁形势的多样性和复杂性,传统安全技术存在能力差距,导致其不足。例如,VA 仅提供组织配置工具扫描的内容(例如 IP 地址)的可见性。
ASA 技术提供了组织资产清单(包括未知资产)的更全面视图。一些 ASA 技术甚至可以显示 VA 缺少扫描的位置。
优点和用途
-
提高资产可视性使组织能够避免盲点和不受管理的技术(例如“影子 IT ”),从而加强其安全状况并支持更全面的风险管理。
-
了解潜在的攻击入口点有助于组织优先考虑安全控制部署和配置。这种优先顺序反过来又有助于减少对互联网和公共领域的可利用暴露。
-
ASA 提供了组织可以利用的上下文:
o 在漏洞管理和暴露验证流程中更好地优先考虑暴露风险
o 启用额外的风险评分
o 优化检测和响应功能的防御措施
-
更准确、最新且完整的资产和安全控制报告可实现更快的审计合规性报告。
-
ASA 减少了数据收集的阻力,并能够更广泛地了解IT 缺乏治理和控制的影子 IT组织、已安装的第三方系统和业务线应用程序。安全团队需要了解与这些资产相关的存在和风险,而 IT 团队可能不需要。
-
从 ASA 技术中获得可操作的情报和有意义的指标,并且可以随着时间的推移进行跟踪。这些有助于证明 CTEM 成为网络安全计划一部分的价值。
风险
-
自 2023 年中期以来,许多 EASM 和 DRPS 解决方案已被较大的技术供应商收购。这种趋势可能会持续下去,一些ASA市场之间的整合是不可避免的。这些变化将影响现有的最终用户投资和跨工具兼容性。
-
ASA功能主要是开源功能的集合,进入这个市场的门槛很低。因此,产品的质量差异很大。大型安全平台供应商(例如VA提供商)正在构建和获取功能,以便为购买其更大的网络安全工具生态系统的组织提供更强大的 ASA 功能。
-
每种 ASA 技术都可以是孤立的,并且可能会在经过培训的人员的配置、管理和维护方面产生额外的开销。
-
尽管ASA 技术通过聚合和协调来自其他记录系统(例如 CMDB)的数据来提高资产可视性,但它本身并不能从源头上解决数据质量差和粒度问题。如果没有人愿意真正管理其技术投资,组织就不会成功。安全团队必须与源系统所有者合作修复记录系统。
-
ASA 技术有可能收集大量暴露数据,因此需要与 VM 流程进行稳健集成。如果没有适当的集成,已经不堪重负的漏洞管理流程可能会因缺乏有效的优先级而受到影响,并可能提供不准确的结果。
-
ASA 技术很少与当前预算的特定要素保持一致。这些工具通常对于现有的漏洞解决方案来说是多余的,并且在当前的金融环境下获得额外的预算来增加工具的数量可能特别困难。
采用率
Gartner 估计,不到25 %的组织已采用一种或多种 ASA技术来解决其攻击面。许多人依靠部分或手动 ASM 流程来评估其资产和任何相关风险。
建议
-
根据采用既定流程(例如 CTEM)投资攻击面解决方案,以界定和细化攻击面评估。基于量化的业务风险进行可见性差距分析将确保高级领导层能够认识到任何投资的好处。
-
建立有效的自有资产登记册。评估组织的关键风险驱动因素,以了解应该优先考虑哪些技术。一般来说,组织应在 CAASM 之前安装和管理 EASM 和/或 DRPS,因为 CAASM 技术可在管理 EASM 和 DRPS 输出方面进行扩展,以完成其资产清单。
-
研究现有技术提供商的升级和更集成的产品,并确定是否通过短期合同采购单点解决方案。ASA技术和供应商正在迅速成熟,未来三到五年内极有可能合并为更大的供应商。评估相关的权衡,例如更高的折扣和同比价格上涨。每年重新评估市场,直到创新和市场变化的浪潮放缓。
代表性供应商
以下是提供ASA 功能的供应商的代表性(非详尽)列表。
纯 CAASM 供应商
-
Axonius
-
JupiterOne
-
Noetic Cyber
具有 ASA 功能的广泛产品组合安全供应商
-
CrowdStrike(通过收购 Reposify)
-
IBM(通过收购 Randori)
-
微软(通过收购 RiskIQ)
-
Palo Alto Networks(通过收购 Expanse)
-
Tenable(通过收购 Bit Discovery)
纯EASM 供应商
-
IONIX(以前称为 Cyberpion)
-
CyCognito
-
watchTowr
缩写词关键和术语表
ASA | 攻击面评估 |
ASM | 攻击面管理 |
BAS | 入侵和攻击模拟 |
CAASM | 网络资产攻击面管理 |
CTEM | 持续威胁暴露管理 |
DRPS | 数字化风险保障服务 |
EASM | 外部攻击面管理 |
VA | 漏洞评估 |
VM | 漏洞管理 |
注1:暴露管理的三大支柱
1. 攻击面支柱:“从攻击者的角度来看,我的组织是什么样的?它应该如何发现攻击者首先会看到的问题并确定其优先级?”
2. 漏洞支柱:“存在哪些软件,以及我的组织设置了哪些安全态势,使其容易受到攻击?”
3. 测试/模拟支柱:“如果攻击者对我组织的基础设施发起攻击,会发生什么?它的防御将如何应对,流程将如何执行?”
注2:CAASM、EASM 和 DRPS 的主要用例
以下是构成攻击面评估的三个主要市场领域,以及它们支持的主要用例:
-
CAASM:审计合规性、安全控制存在、资产管理、风险评分
-
EASM:可见性识别、漏洞识别、控制间隙识别、错误配置检测、数字资产发现
-
DRPS:品牌保护、数据泄露情报、虚假信息监控、高管保护、社交媒体监控
值得注意的是,资产管理、风险评分、漏洞识别、控制差距识别、错误配置检测、数字资产发现和数据泄漏情报似乎是所有这些市场的功能。