什麼是攻擊面管理 (ASM) 生命週期？

攻擊面管理是識別、評估和保護組織的數位資產和易受網路攻擊的入口點的系統程序。與其他網路安全方法不同，攻擊面管理解決方案會主動從攻擊者的角度考慮安全風險。

攻擊面管理生命週期有助於採取更積極的策略，尋找數位攻擊面上的弱點，以提升整體安全勢態。這種生命週期方法非常重要，因為它提供了一個動態架構，可協助安全性團隊主動偵測並降低網路風險。

網路攻擊的 6 個階段

在深入探討攻擊面管理生命週期的細節之前，值得先瞭解威脅行為者如何評估和利用組織的風險基礎。了解網路攻擊的六個階段，就能瞭解四個生命週期步驟的背景，以及如何在不同階段挫敗攻擊者。

• 偵查 - 研究、識別並選擇能讓他們達成目標的目標 (例如內部部署的數位資產、面向網際網路的資產、雲端環境中的資料，或其他具有公開入口點的外部攻擊面)。
• 武器化和運送：決定以哪些方法傳送惡意的有效載荷（例如勒索軟體）。
• 攻擊-針對易受攻擊的應用程式或系統部署攻擊，以利用進入組織的初始入口點。
• 安裝 - 安裝惡意軟體以進行進一步的作業，例如維持存取權、持久性及提升權限。
• 指揮與控制 - 建立指揮通道，在受感染裝置及其基礎架構之間來回溝通及傳遞資訊 (例如，分享監控資訊、遠端控制系統或執行資料入侵)。
• 目標上的行動 - 依據他們的動機行事，以達成目標。

攻擊面管理生命週期的 4 個階段

攻擊面管理生命週期包含四個步驟或階段，安全性團隊遵循這些步驟或階段來保護數位攻擊服務。它是一種不斷地進行風險評估的程序，以促進弱點管理並提升組織網路安全。

攻擊面管理生命週期的前瞻性方法有助於識別整個資產庫，尤其是那些高風險和未知的資產，讓安全性團隊能夠修正問題並提昇安全性評等。

階段 1：資產發現與分類

攻擊面管理解決方案使用自動化資產發現工具和技術識別並映射系統和應用程式。這些裝置包括屬於第三方、面向外部的雲端基地、遠端和內部部署的端點，以及使用者的裝置（即自帶裝置或 BYOD）。專門的外部攻擊面管理 (EASM) 有時被用來發現跨多雲端環境的第三方數位資產。

攻擊面管理解決方案擅長克服發現未經授權或未知資產的挑戰。ASM 通常會利用許多與潛在攻擊者相同的先進偵察技術。這些系統可以不斷地掃描數位資產，頻繁地即時識別它們。

一經識別，數位資產就會被編入詳細的清單，其中包括硬體、軟體、應用程式、資料儲存裝置，以及所有面向網際網路的資產。清單根據關鍵性、敏感度和潛在風險暴露程度進行分類。要確保攻擊面管理程序持續有效，必須不斷地監控和定期更新清單。

第 2 階段：風險評估與弱點管理

透過對所有資產的清晰檢視，組織可以進行 全面的風險評估 ，找出潛在的攻擊媒介，例如過時的軟體、設定錯誤或不安全的端點。

使用幾種不同的方法來分析和評估已識別資產的嚴重性。這些方法包括自動漏洞掃描、滲透測試（pen testing）、組態稽核、軟體構成分析和威脅情報整合。這可讓安全性團隊瞭解網路風險因素，例如軟體缺陷、設定錯誤和已知的弱點。

攻擊面管理解決方案使用威脅建模來分析攻擊媒介，以評估其成為攻擊目標的可能性及潛在影響。威脅建模可協助安全性團隊縮小針對特定系統的威脅範圍，並訂定優先順序。它為他們提供洞察力，節省時間並能夠快速修復優先威脅。

攻擊管理解決方案所提供的資訊以及情境優先順序，可引導安全性團隊決定最佳的修復方法，進而改善弱點管理。

安全性團隊可使用風險評估與情境資料，依據優先順序標準 (如可利用性、影響及過往攻擊) 來規劃網路風險修復。這一點很重要，因為發現的弱點往往多於可快速修復的資源。

第 3 階段：實作補救措施

攻擊面的映射與情境化可用來指導修復工作。根據優先順序，使用自動和手動攻擊面管理策略。攻擊面管理解決方案可協助安全性團隊決定修復風險的工作流程，並提供可將某些工作自動化的工具，例如：攻擊面管理解決方案：

• 組態更新
• 資料加密的實作
• 安裝修補程式和更新
• 持續資產識別與相關風險評估
• 補救控制
• 廢止無主網域名稱
• 掃描第三方資產的風險和弱點
• 系統除錯

在修復過程中會使用數種嚴重性的手動策略，以找出自動化工具可能遺漏的問題。這些策略包括

• 由熟練的安全性團隊進行專業分析，深入探究複雜的威脅
• 以人為主導的鑑識分析，以瞭解資料外洩的性質和影響
• 手動稽核和審查系統、政策和程序
• 定期手動滲透測試

此外，補救可能涉及更廣泛的措施。這些措施包括實作 最低權限存 覈、 多因素驗證 (MFA)，以及訓練和認知計畫，強化遵循安全實務的重要性。

數位攻擊面修復工作由幾個不同的團隊執行，包括

• 安全性團隊處理風險與弱點管理。
• IT 作業團隊 - 對受影響的系統進行更新。
• 開發團隊 - 在建立、更新及維護數位資產時，將攻擊向量的洞察力納入軟體開發生命週期 (SDLC)。

第 4 階段：不斷地改善與適應

攻擊面管理是一個持續的過程。上述詳細步驟應不斷地重複，以確保能及早偵測到環境中可能引入新攻擊媒介和不斷演變的攻擊者策略的變化。

支援持續監控新弱點和威脅的攻擊面管理工具包括

• 設定管理工具 - 依據預先定義的安全性政策，偵測並修正網路裝置和系統中的錯誤設定。
• 入侵偵測 與 防護系統 (IDPS)- 針對可疑活動不斷地進行監控，並可自動封鎖或警示潛在威脅。
• 修補程式管理系統 - 自動偵測過期軟體，並套用必要的修補程式與軟體更新，以彌補安全漏洞。
• 安全性資訊與事件管理 (SIEM) 系統 - 匯集並分析來自各種來源的資料，根據已識別的威脅自動化警示與回應程序。
• 漏洞掃描器 - 掃描系統和應用程式的已知漏洞，並定期提供更新和警示。

不斷地監控能讓攻擊面管理即時偵測和評估新的弱點和攻擊媒介。這些警示可提供安全性團隊所需的資訊，讓他們立即啟動有效的修復回應。此外，還可調整環境，以便更好地為防禦不斷演進的威脅和零時差威脅做好準備。

補充 ASM 生命週期的策略

攻擊面管理 (ASM) 生命週期對於強大的網路安全勢態至關重要。然而，必須認識到單靠 ASM 並不足以完全保護您的組織。

以下是一些可用來補充 ASM 生命週期並進一步強化安全性的策略：

攻擊面降低 (ASR)

降低攻擊面 (ASR) 是攻擊面管理流程中的重要部分，涉及實作策略以盡量減少攻擊者的潛在進入點。

關鍵策略包括在授予存取權之前要求多種形式的驗證（如多因素驗證）、保持軟體和系統的最新修補程式（如修補程式管理），以及僅將使用者的存取權限限制在其角色所嚴格需要的範圍內（如最低權限存苃原則，PoLP）。

網路攻擊面管理 (CASM)

網路攻擊面管理可與現有資料來源整合，為組織提供不斷地更新、統一的整個攻擊面檢視。這可讓安全性團隊深入瞭解其資產清單，並根據情境資料排定修復的優先順序。

CASM 透過對這些資產的全面可視性和不斷地監控與管理，解決了系統盲點和合規性問題。這些功能可確保符合安全政策與合規性標準。

外部攻擊面管理 (EASM)

外部攻擊面管理 (EASM) 可識別並保護組織面向網際網路的資產，防止來自內部網路外部的網路威脅。此流程會識別所有面向公眾的系統、服務和端點，包括網站、Web 應用程式、伺服器和雲端資源。

EASM 也會分析這些外部資產，找出威脅行為者可能利用的弱點、設定錯誤或過時元件。這種持續監控網際網路攻擊面的方式，可讓安全性團隊偵測到新興的風險。

數位風險防護服務 (DRPS)

數位風險防護服務是專門的網路安全解決方案，著重於識別、監控和減輕傳統安全邊界以外的數位風險。它包含威脅情報、品牌保護、資料洩漏偵測、詐欺與網路釣魚偵測，以及聲譽監控。透過 DRPS，安全性團隊可將網路風險弱點管理延伸至內部網路之外。

ASM 生命週期要解決的挑戰

處理雲端攻擊向量

攻擊面管理生命週期能解決許多挑戰，尤其是管理跨越複雜多雲端環境的雲端攻擊媒介。它提供的工具和流程可協助安全性團隊在雲端環境中獲得全面的安全性。

這能夠更徹底地識別和管理多雲端和混合雲端服務模型中的資產，包括 SaaS、IaaS 和 PaaS。

物聯網與遠端員工的注意事項

攻擊面管理解決方案可處理物聯網和遠端員工的考量。遠端員工和物聯網裝置都有助於擴大周界和攻擊面。

攻擊管理生命週期可協助安全性團隊監控這些分散的使用者和裝置。它也有助於安全防護的管理，以降低其風險。這包括管理端點安全，以及不斷地監控和更新物聯網和遠端工作者範圍內的安全措施。

威脅形勢不斷演變

遵循攻擊面管理生命週期的各個階段，可加快對演變中和新興威脅的偵測和回應。不斷地監控能提供洞察力，找出目前的弱點並預測未來的威脅。這樣就能實現主動的網路安全方法，讓安全性團隊領先威脅。

這些能力由關於新興威脅、攻擊模式和威脅行為者的威脅情報提供支援。它也利用道德駭客，提供與自動化系統不同的觀點。他們模擬的網路攻擊能在威脅行為者利用之前找到攻擊媒介。

攻擊面管理生命週期常見問題集