外部攻击面管理(EASM)是识别面向公共互联网的内部业务资产以及监控漏洞的过程, 公共云配置错误, 暴露的凭证, 或其他可能被攻击者利用的外部信息和流程. 这项工作与获得云安全状态的清晰快照的目标是一致的.
如上所述,错误配置可能在漏洞中扮演重要角色. 正确配置任何云环境意味着执行 数字风险保护 保护它免受各种威胁, 无论是蓄意攻击还是无意的错误——错误配置, 安全意识不正确, 等. -为攻击打开了大门.
内部 攻击面管理 解决位于企业防火墙和保护性安全措施后面的资产(包括可能受到网络钓鱼等社会工程影响的人员)的安全问题. 这些资产是, 从理论上讲, 不暴露在公共互联网上,并采取防御措施,以保护企业的内部运作和商业秘密.
EASM——尽管它是ASM的一部分——专注于保护企业内部安全措施之外的更多商业操作. 这包括面向公众的网站, 应用程序, 电子商务业务, 如果攻击者要利用这些数字资产,可以访问任何后端.
EASM和 网络资产攻击面管理 EASM方法是否主要关注于发现和保护互联网上几乎任何人都可以访问的面向公众的资产. CAASM方法同时关注内部和外部攻击面,以便为安全组织提供最大程度的周界前后攻击面可见性. CAASM平台可以通过访问组织的技术堆栈以提供整体视图的API集成来实现这一点.
外部攻击面管理(EASM)非常重要,因为当涉及到面向公共互联网或外部的资产时,存在被利用和攻击的可能性. 重要的是要记住,这个外部攻击面可以为威胁行为者打开利用内部攻击面的大门.
EASM解决方案在识别那些成为业务攻击面一部分的面向外部的资产方面变得越来越好,因为每次面向公众的启动都会产生新的攻击向量. EASM解决方案应该能够利用威胁源来参与 威胁狩猎. 这对于了解威胁行为者在野外利用什么以及是否值得团队努力并主动解决潜在问题至关重要. 主动威胁搜索的关键方面包括:
EASM还应该能够利用来自后边界攻击面的外部威胁情报来正确检测和优先考虑风险和威胁, 从最近的网络端点到周围的深和 黑暗的网络. 企业每天在公共互联网上投放的无数资产确实令人震惊, 这些资产一旦上线,在防止潜在的剥削方面都会有自己的考虑.
外部, 对于任何希望尽其所能保护其业务的攻击面的安全组织来说,主动威胁情报是必不可少的. 关键是要采取超越网络边界的预防措施,以便能够响应每个动态攻击面上的事件.
EASM通过持续监测和发现面向公共互联网的资产的潜在漏洞来工作,这些漏洞可以被利用为攻击媒介. 如果这发生了, 然后,威胁行为者也可能潜在地破坏组织的内部攻击面.
事实上 福雷斯特说 当“工具或功能持续扫描”时,EASM可以工作, 发现, 列举面向互联网的资产, 建立已发现资产的唯一指纹, 和识别 曝光 已知的和未知的资产.“让我们来看看Forrester发现的一些用例,这些用例可以说明EASM功能的一些细节:
有了这些用例, 我们可以开始了解每天有多少资产被用于接入面向公众的互联网,并将组织的攻击面从内部扩展到外部,从而扩展到全球. 外部 威胁情报 提要对于减轻和阻止外部攻击面上的威胁至关重要.
EASM的一些功能我们已经在上面的不同部分中介绍过了, 但是我们将编译它们, 还有一些附加内容, 在这里.
取决于提供者, 威胁情报和检测工程团队应该能够通过SaaS交付提供检测, 这意味着可以访问最新的警报, 更新, 威胁英特尔. EASM从业者应该能够不断地用最新的信息来丰富威胁管理工具.
A 安全运营中心(SOC) 能否利用EASM平台快速访问所有资产的错误配置数据. 从那里, 可以进行优先排序过程,以确定哪些资产需要立即关注. 在积极主动方面, EASM可以用来为红色组织收集威胁情报, 蓝色的, 还有正在进行演习的紫队.
EASM平台主要应该能够帮助从业者获得对顶级外部资产的可见性,这样他们就可以在攻击者发现漏洞之前确定优先级并进行修复.
EASM的好处是深远的,可以对主动安全措施的有效性和企业的整体声誉产生令人难以置信的积极影响.