来源:https://www.mandiant.com/resources/attack-surface-management
随着企业继续将其业务数字化,而员工也被授权利用这些功能,难怪安全团队要努力跟踪基础设施、应用程序、云服务和SaaS使用情况——更不用说确保在这些环境中遵守安全策略了。攻击面正在急剧扩大,如果没有适当的自动化,安全团队就不太可能拥有管理它所需的可见性、控制和及时的威胁情报。
Mandiant优势攻击面管理(ASM)通过在面向互联网的攻击面中提供广泛的资产和暴露可视性来解决这一挑战。它填补了资产发现、漏洞管理和威胁情报之间不断扩大的差距。ASM帮助安全团队通过首次发现跨开放的、事前的和云数据源的资产,并将这些资产的暴露与情报联系起来,使相关方注意到这些资产,从而使情报运作起来。
随着对log4j、Accellion、SolarWinds和Exchange等软件的大规模攻击,以及大规模供应链漏洞的普遍存在,asm不再是一个不错的选择,而是安全团队的必备工具。将ASM集成到Mandiant Advantage平台,使客户更接近于确保关键情报能够快速传递给资产所有者的目标,推动他们操作的每个方面的行动。
一、攻击面管理价值点
将攻击面管理集成到Mandiant优势平台为我们的客户提供了不断增加的跨模块价值。以下是其中的一些亮点:
1、自动识别和监控您的资产。你不知道的事是修正不好的。无需付出任何努力,从播种 seeding 已知的资产开始,ASM将利用大量不同的资源来自动查找和分类资产。该功能提供了一个基本的资产清单,具有令人难以置信的信息深度。
2、查询深度软件和业务信息。ASM并不仅仅停留在寻找资产上,每个单独的资源都被深度地丰富起来,以识别正在运行的软件、配置和其他属性,从而帮助加速分类和分类 classification and categorization过程。不需要努力!简单地查询和查找超过5000个分类产品。
3、通过威胁情报来提高曝光的态势。只有当风险是等式的一部分,并且风险可以被识别并快速分类时,检测资产才对安全团队有用。为此,ASM整合了被动和主动措施,以识别风险敞口,并针对最新的威胁对其进行优先排序。
ASM提供的这种深度可见性为安全策略的开发和实施提供了信息。通过实时识别面向互联网的资产及其暴露时的安全状况,安全主管能够深入了解业务,并利用这些信息来识别资产所有者,并在威胁发生之前根据需求推动关键对话。
二、ASM在实践中
近年来,随着现代企业的攻击面不断扩大,新公布的暴露和漏洞遵循一种可预测的模式。首先,有一个影响企业资源的新漏洞或错误配置的公告。随着有关漏洞的信息的出现,安全团队会努力识别受影响的资产,通常会广泛撒网,首先识别软件的任何实例,然后再深入到特定的受影响配置中。这可以采取多种形式,但通常需要关联许多数据源,并将众多涉众聚集在一起。
由于识别出了潜在的易受攻击的资产,安全团队必须联系资产所有者,以获得访问配置和确定它们是否受到影响所需的详细信息的权限。这是一个耗时且乏味的过程。与此同时,攻击者正在积极地探索漏洞和组织攻击表面,以确定如何在实践中使用它来攻击相同的组织。这是一场与时间的赛跑。
最近,在Log4j漏洞中出现了这种模式,这些活动的早期时间轴清楚地展示了ASM在这些情况下如何响应:
2021年12月9日:Github上发布Log4j漏洞的第0天。
2021年12月10日:Mandiant ASM集成了一个主动检查来测试该漏洞。所有ASM客户都会立即被扫描以寻找漏洞。当在客户的攻击面上识别出漏洞时,会发送通知。
2021年12月10日:Apache Foundation发布CVE-2021-44228,并发布Log4j 2.15.0来解决该漏洞。
2021年12月13日:关于该漏洞的更多细节出现,ASM检查更新以确定额外的入口点。当在客户的攻击面上识别出漏洞时,会发送通知。
2021年12月13日:Mandiant报告了利用野外脆弱性的国家行为体。信息集成到ASM。
这只是早期时间线的一个片段。这个月里,细节不断出现,每一次ASM都在更新,以便更好地发现log4j和利用该库的相关技术。这些细节都发表在了“阴谋”博客上。
不幸的是,Log4j漏洞并不是异常。这一进程发展的速度越来越普遍。这种环境要求安全团队对其环境保持全面的意识。不只是针对Log4j,而是针对所有公开的软件和服务。Mandiant ASM帮助客户清点资产,识别技术和风险,并在新威胁出现时快速采取行动。
二、更好地在一起——Mandiant优势SaaS平台
Mandiant Advantage于2020年10月启动,为事故响应前线获得的专业知识和情报带来了技术规模。它是访问Mandiant技术套件的SaaS接口和中心平台。
ASM是对“下颌优势”平台的重要补充,使防御者能够实时发现冲击并对防御进行优先排序。让我们快速看一下模块是如何操作和交互的。
1、威胁情报:来自前线的情报。让防守者知道什么战术,技术和程序(ttp)对手正在利用现在。当攻击者利用X漏洞时,我们看到Y策略被使用,我们能够确定破坏(IoC)的具体指标和被攻击的技术栈。通过将ASM和威胁情报相结合,组织将能够对最相关的新情报进行操作、背景化和优先化。
2、安全验证:度量在组织内部署的安全控制的有效性,允许安全团队从预算和人员权力的角度优化、合理化并优先考虑他们的安全工作。通过将情报集成到安全验证程序中,可以对威胁行为者利用的最新ttp进行控制测试。通过结合ASM和安全验证,组织可以验证其安全控制是否有效地阻止或检测到对其外部攻击面的攻击。
3、自动化防御:将专业知识和智能与机器学习相结合,以驱动SOC事件/警报关联和分类——这就像将基于机器的Mandiant分析师集成到您的安全程序中。专家模型分析来自多厂商控件的数十亿个事件和警报,以寻找真正的积极因素或事件,节省了大量的分析时间。ASM为自动化防御提供了额外的上下文,使警报更具相关性和可操作性。
4、攻击面管理(Attack Surface Management): ASM提供了一种连续的、可扩展的方法,可以跨内部办公场所、云计算和SaaS应用程序环境发现数千种不同的资产和暴露类型。不仅发现了资产,而且确定了使用中的技术,确认了漏洞——而不仅仅是推断。通过将完整的Mandiant Advantage套件添加到ASM中,对攻击面信息进行优先排序和验证,允许网络防御者有效地减少他们的外部暴露。