如何运用正确方法管理攻击面

　　什么是攻击面管理？

　　攻击面管理 （ASM） 这一概念并不新鲜，但企业和漏洞管理人员 （VM） 应该采用新的方式看待其攻击面。攻击面如同流沙。面对多云、私有云和公有云，通过并购 （M&A） 继承资产，从供应链合作伙伴以及远程工作人员获得访问权限所形成的复杂局面，IT 专家不可能独自包揽一切，跟踪所有资产及其负责人。

　　此外，传统的漏洞管理人员实践已无法满足当前的需要，原因有两点。首先，扫描程序所查看的内容可能因产品而异，可能无法涵盖所有风险。其次，漏洞扫描功能只能与企业用作扫描基础的资产清单搭配使用，因此不会扫描任何未知资产，所以风险问题仍然存在。

　　ASM 将所有这些都考虑在内，提供连接到企业网络的所有资产的完整清单，包括 IP 地址、域、证书、云基础架构和物理系统；并且可以突显由于配置错误而导致的潜在暴露风险。

　　ASM 必须以互联网的速度和规模不断发现、识别和降低所有面向公众的资产中的风险，无论这些资产是在本地、云中，还是由子公司和关键供应商运营。

　　立即管理攻击面

　　传统的资产盘点方法需要手动操作，不仅速度缓慢，而且容易出错。此外，在云中使用传统的虚拟机解决方案也会面临失败的情况，因为大多数虚拟机扫描程序都是基于 IP 的，而云IP 是不断变化的。《麻省理工科技评论洞察》对 700 名高管开展的调查显示，如今企业有超过 50% 的 IT 资产都已迁移到云中，而且随着办公模式向远程办公转移，此数字正在急剧增加。在面对云环境时，企业当前对其虚拟机基础架构的投资并未得到充分利用。为了解决这个问题，企业可以提取由 ASM 解决方案发现的全面且连续的资产列表，以提高其虚拟机解决方案的云扫描准确性，同时保护其已知和未知云资产的安全。

　　运用正确的方法管理攻击面

　　借助 Cortex® Xpanse，企业可以获得所有互联网资产的综合盘点清单，这一清单会随着新发现的资产和现有资产的变化而不断更新。此盘点数据包含有关资产所有者、风险优先级（包括对优先处理风险原因的描述）以及与Cortex XSOAR 等工具集成以自动处理警报的信息。

　　指标和行动

　　Cortex Xpanse 开展的调研显示，在 CVE 披露之后，威胁执行者可以做到每小时甚至更频繁地进行扫描（在 15 分钟或更短的时间内），以便盘点易受攻击的互联网资产。而与此同时，全球企业平均需要 12 小时来找到易受攻击的系统，而这还是在假设企业知晓网络上所有资产的前提下。

　　当然，漏洞管理人员也需要时刻警惕最新的零日攻击，因为恶意攻击者的行动速度非常快。Xpanse 发现，在 2021 年 3 月高调公布 Microsoft Exchange Server 和 Outlook Web Access （OWA） 漏洞后仅五分钟的时间，就开始了大规模扫描。

　　考虑到速度如此之快，平均检测时间 （MTTD） 和平均响应时间 （MTTR） 不应该是漏洞管理人员的主要关注点，因为它们假设会发生违规情况。更不用说在处理未知资产时，MTTR 的价值实际上是无限的。降低企业的漏洞平均识别时间（MTTI）重点在于发现漏洞和风险的速度，确保提供全面的攻击面盘点并彻底阻止漏洞的出现。

　　Palo Alto Networks（派拓网络）威胁研究团队 Unit42 发现，在所有勒索软件攻击中，有一半攻击的初始攻击载体是 RDP。在整个疫情期间（2020 年第一季度至第四季度），所有云提供商的 RDP 暴露风险增加了 27%。

　　攻击面风险正在成倍增加，因此需要一个全面且持续更新的互联网资产记录系统。一旦企业及用户接受这一事实并开始努力制定攻击面管理计划，前方的道路就会变得清晰起来：

　　• 为所有连接互联网的资产生成一个自动化且不断更新的单一可靠信息来源。

　　• 停用或隔离不需要面向互联网的资产以减少攻击面。

　　• 发现并确定所有已知和未知资产的帐户所有者。

　　• 查找所有暴露风险 - 漏洞、过期证书、不安全的远程访问协议等。

　　• 使用高质量的安全编排、自动化和响应 （SOAR） 平台自动进行风险修复和报告。

　　• 随着攻击面的变化，继续监视、发现、评估和抑制风险。

　　攻击面在不断演变，云基础架构也在不断变化。企业需要一个自动化的攻击面管理解决方案，由该解决方案提供其面向互联网的全球资产和潜在错误配置的完整、准确清单，以不断发现、评估和降低攻击面上的风险。