Mandiant攻击表面管理

来源:https://www.mandiant.com/resources/attack-surface-management

随着企业继续将其业务数字化,而员工也被授权利用这些功能,难怪安全团队要努力跟踪基础设施、应用程序、云服务和SaaS使用情况——更不用说确保在这些环境中遵守安全策略了。攻击面正在急剧扩大,如果没有适当的自动化,安全团队就不太可能拥有管理它所需的可见性、控制和及时的威胁情报。

Mandiant优势攻击面管理(ASM)通过在面向互联网的攻击面中提供广泛的资产和暴露可视性来解决这一挑战。它填补了资产发现、漏洞管理和威胁情报之间不断扩大的差距。ASM帮助安全团队通过首次发现跨开放的、事前的和云数据源的资产,并将这些资产的暴露与情报联系起来,使相关方注意到这些资产,从而使情报运作起来。

随着对log4j、Accellion、SolarWinds和Exchange等软件的大规模攻击,以及大规模供应链漏洞的普遍存在,asm不再是一个不错的选择,而是安全团队的必备工具。将ASM集成到Mandiant Advantage平台,使客户更接近于确保关键情报能够快速传递给资产所有者的目标,推动他们操作的每个方面的行动。

一、攻击面管理价值点

将攻击面管理集成到Mandiant优势平台为我们的客户提供了不断增加的跨模块价值。以下是其中的一些亮点:

1、自动识别和监控您的资产。你不知道的事是修正不好的。无需付出任何努力,从播种 seeding 已知的资产开始,ASM将利用大量不同的资源来自动查找和分类资产。该功能提供了一个基本的资产清单,具有令人难以置信的信息深度。

2、查询深度软件和业务信息。ASM并不仅仅停留在寻找资产上,每个单独的资源都被深度地丰富起来,以识别正在运行的软件、配置和其他属性,从而帮助加速分类和分类 classification and categorization过程。不需要努力!简单地查询和查找超过5000个分类产品。

3、通过威胁情报来提高曝光的态势。只有当风险是等式的一部分,并且风险可以被识别并快速分类时,检测资产才对安全团队有用。为此,ASM整合了被动和主动措施,以识别风险敞口,并针对最新的威胁对其进行优先排序。

ASM提供的这种深度可见性为安全策略的开发和实施提供了信息。通过实时识别面向互联网的资产及其暴露时的安全状况,安全主管能够深入了解业务,并利用这些信息来识别资产所有者,并在威胁发生之前根据需求推动关键对话。

二、ASM在实践中

近年来,随着现代企业的攻击面不断扩大,新公布的暴露和漏洞遵循一种可预测的模式。首先,有一个影响企业资源的新漏洞或错误配置的公告。随着有关漏洞的信息的出现,安全团队会努力识别受影响的资产,通常会广泛撒网,首先识别软件的任何实例,然后再深入到特定的受影响配置中。这可以采取多种形式,但通常需要关联许多数据源,并将众多涉众聚集在一起。

由于识别出了潜在的易受攻击的资产,安全团队必须联系资产所有者,以获得访问配置和确定它们是否受到影响所需的详细信息的权限。这是一个耗时且乏味的过程。与此同时,攻击者正在积极地探索漏洞和组织攻击表面,以确定如何在实践中使用它来攻击相同的组织。这是一场与时间的赛跑。

最近,在Log4j漏洞中出现了这种模式,这些活动的早期时间轴清楚地展示了ASM在这些情况下如何响应:

2021年12月9日:Github上发布Log4j漏洞的第0天。

2021年12月10日:Mandiant ASM集成了一个主动检查来测试该漏洞。所有ASM客户都会立即被扫描以寻找漏洞。当在客户的攻击面上识别出漏洞时,会发送通知。

2021年12月10日:Apache Foundation发布CVE-2021-44228,并发布Log4j 2.15.0来解决该漏洞。

2021年12月13日:关于该漏洞的更多细节出现,ASM检查更新以确定额外的入口点。当在客户的攻击面上识别出漏洞时,会发送通知。

2021年12月13日:Mandiant报告了利用野外脆弱性的国家行为体。信息集成到ASM。

这只是早期时间线的一个片段。这个月里,细节不断出现,每一次ASM都在更新,以便更好地发现log4j和利用该库的相关技术。这些细节都发表在了“阴谋”博客上。

不幸的是,Log4j漏洞并不是异常。这一进程发展的速度越来越普遍。这种环境要求安全团队对其环境保持全面的意识。不只是针对Log4j,而是针对所有公开的软件和服务。Mandiant ASM帮助客户清点资产,识别技术和风险,并在新威胁出现时快速采取行动。

二、更好地在一起——Mandiant优势SaaS平台

Mandiant Advantage于2020年10月启动,为事故响应前线获得的专业知识和情报带来了技术规模。它是访问Mandiant技术套件的SaaS接口和中心平台。

ASM是对“下颌优势”平台的重要补充,使防御者能够实时发现冲击并对防御进行优先排序。让我们快速看一下模块是如何操作和交互的。

1、威胁情报:来自前线的情报。让防守者知道什么战术,技术和程序(ttp)对手正在利用现在。当攻击者利用X漏洞时,我们看到Y策略被使用,我们能够确定破坏(IoC)的具体指标和被攻击的技术栈。通过将ASM和威胁情报相结合,组织将能够对最相关的新情报进行操作、背景化和优先化。

2、安全验证:度量在组织内部署的安全控制的有效性,允许安全团队从预算和人员权力的角度优化、合理化并优先考虑他们的安全工作。通过将情报集成到安全验证程序中,可以对威胁行为者利用的最新ttp进行控制测试。通过结合ASM和安全验证,组织可以验证其安全控制是否有效地阻止或检测到对其外部攻击面的攻击。

3、自动化防御:将专业知识和智能与机器学习相结合,以驱动SOC事件/警报关联和分类——这就像将基于机器的Mandiant分析师集成到您的安全程序中。专家模型分析来自多厂商控件的数十亿个事件和警报,以寻找真正的积极因素或事件,节省了大量的分析时间。ASM为自动化防御提供了额外的上下文,使警报更具相关性和可操作性。

4、攻击面管理(Attack Surface Management): ASM提供了一种连续的、可扩展的方法,可以跨内部办公场所、云计算和SaaS应用程序环境发现数千种不同的资产和暴露类型。不仅发现了资产,而且确定了使用中的技术,确认了漏洞——而不仅仅是推断。通过将完整的Mandiant Advantage套件添加到ASM中,对攻击面信息进行优先排序和验证,允许网络防御者有效地减少他们的外部暴露。


©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,126评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,254评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,445评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,185评论 1 278
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,178评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,970评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,276评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,927评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,400评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,883评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,997评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,646评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,213评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,204评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,423评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,423评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,722评论 2 345

推荐阅读更多精彩内容