資料來源:Tenable原廠
每位資安人員都會同意攻擊面管理是至關重要的,因為它是任何資訊安全程序的第一步。雖然企業對攻擊面管理的興趣和市場需求與日增強,但令人好奇的是,為什麼每個企業或機關行號都沒有最新的攻擊面地圖,理論上他們應該有!這聽起來可能有些奇怪,但我相信這是因為攻擊面管理在技術上是一個很難解決的問題--極其困難。這比整個IT和IT資安產業的大多數其他問題都更難解決。
想想看,在過去的20年裡,許多充滿激情和才華橫溢的人嘗試了不同的方法,創造了各種各樣的解決方案。不幸的是大多沒有成功。如果有,那麼每個公司或機關行號都可以為任何IT或IT資安工具提供完整的攻擊面地圖,但我們都知道事實並非如此。攻擊面地圖對於漏洞管理、網路路分格、端點保護、事件響應、事件監控、弱點管理等具有很高的價值。公司外部的人知道公司攻擊面重要的事件,而公司內部的人不知道。因此,每個組織和IT資安團隊只是湊合著使用產生不完整和錯誤結果的工具大雜燴。
此外,隨著Internet和軟體的發展,攻擊面管理不僅變得困難,而且實際上變得更加困難。下面描述了許多挑戰,這些挑戰還揭示了為什麼按需掃描的傳統方法不可能解決這個問題。現在,最好的方法是首先從收集整個Internet上的所有東西開始。記錄到每個IP地址和每個DNS條目的連接,收集每個TLD上每個域名的每個WHOIS記錄,收集每個可用TLS證書的記錄,儲存所有協議頭和服務器橫幅,並保存沿途發現的大量HTML。然後,從這個絕對龐大的數據中,應用複雜的歸因邏輯,找出哪些組織“可能”在Internet上擁有什麼,以生成所需的攻擊面。
簡而言之,找到“一切”的唯一方法就是先在網上保存一切。讓我們從頭開始,回顧一下這一過程中遇到的許多挑戰:
1. 大量聯網設備
聯網設備的數量達到數十億(約4.5B),增長速度驚人,這不僅僅是因為每一種新的電子設備似乎都連接到Internet(如物聯網)。您必須連接到Internet上的每一個主機名-IP-地址-端口組合,在IPv6和IPv4上,並且經常這樣做,並且在合理的時間內(即30天或更快)。有時連接會被阻塞,有時託管提供商會收到來自所有網路流量的投訴。顯然,管理這麼多的網路連接需要一個大型的、複雜的、分佈式的、專門構建的基礎設施。
2. Big Data資料收集
當連接到一個聯網的資產時,目標是提取盡可能多的有關該資產的元資料(Metadata)。這包括哪些服務正在運行、軟體的主要和次要版本號、IP-地理位置、開發框架、程式語言、TLS認證信息、HTML等等。要讓一個連接Internet的資產放棄有關其自身的元資料並不總是那麼容易。儘管如此,這個元資料對於以後採取行動以及確定所有權是必要的。這些資產可能是網站、郵件服務器、名稱服務器、物聯網設備、SSH服務器、VPN、RDP服務、開發/Staging系統、數據庫、隨機安全產品,誰知道還有什麼。總而言之,每次運行之後很容易產生數百TB的數據需要處理。
3. 第三方數據的必要性
任何一家公司都不可能自行收集Internet上的所有數據。為了彌補不可避免的數據漏洞,有必要與一些第三方合作來收集額外的DNS、端口掃描數據、WHOIS、抓取數據、RBL列表等。當然,確定所有這些必要的數據合作夥伴並不容易,它們也不總是容易處理,而且許多合作夥伴獲得數據許可的成本很高。最後,您需要將他們的數據以任何格式規範化和整合到一個集中的位置。挑戰1、2和3表明,以正確的方式構建攻擊面管理解決方案無疑是一個“大數據”問題,您必須考慮到存在的每一個計算問題。硬碟、RAM、CPU、網路頻寬。現在,假設Internet的數據價值已經掌握並被索引,接下來的步驟就是在數十億資產中找出屬於某一家公司的資產。
4. 大型分佈式和無組織的攻擊面
一般的中型到大型企業擁有數以萬計甚至數以十萬計的Internet可訪問資產,有時甚至數以百萬計,散佈在各個地方。一些資產位於本地,一些位於雲端(AWS、Azure、AppEngine),一些是託管應用程序(Salesforce、Outlook 365、谷歌Apps、Workday、GitHub等),被標記為各種子公司和子品牌,實體上位於地理分佈的數據中心,並通過數十個不連續的IP範圍連接。從公司、部門和產品建立和出售的遺留問題來看,從年復一年的數據中心和雲遷移來看。這是一個爛攤子。
5. 未知的IP範圍及註冊域名
有人可能認為一個組織至少會有一個所有IP範圍的列表,已經分配給他們,或者可能是他們所有註冊域名的列表。但你錯了,非常錯誤的。大多數域名都是通過多個域名註冊商註冊的,有些由企業管理,有些則是由員工通過個人電子郵件帳戶直接購買的——這些員工可能已經換了角色,甚至離開了公司。許多公司使用十幾個或更多的TLS CA。無論如何,用於搜索攻擊面的地點總是不完整的。從不完整的種子數據中,仍然需要找到其餘的攻擊面。
6. 多個資產所有者和所有權推斷
聯網設備可能有多個組織所有者,同時,沒有Internet協議或標準規定誰擁有什麼。一個資產也可能沒有什麼外部的東西表明它屬於一個組織。與此同時,如果被攻破,它可能與一些極其敏感的東西有關。例如, Target百貨公司的冷暖空調系統被黑客入侵,從而進入了支付網路。
在最好的情況下,可以做出不同程度的可靠推斷。例如,WHOIS數據可能提供所有權線索,但由於GDPR的信息影響,就不那麼可靠了。 ARIN和其他RIRs數據可以提供幫助,同樣的還有版權通知、logo、同一IP或IP範圍的資產、主機名或HTML內容中的關鍵字等。可能會繪製了幾十個可以推斷所有權的指標。
7. 攻擊速度變化
新域名可以在任何時候註冊,通常是為了新產品發布、營銷推廣,或者只是單純的域名搶注。與Internet連接的資產可以在沒有通知的情況下建立和退役(影子資產)。新端口/服務可能會在幾乎沒有警告的情況下打開(影子服務)。此外,運行在每個表面的軟體可能也會更新(陰影軟體)-希望如此。總而言之,一般組織的攻擊面在不斷變化。我們認為大概是每月1-5%。而每一個變化,每一個未被解釋的和未被保護的差異,都可能成為對手利用的機會。當某個屬於該公司的東西在Internet上隨機彈出時,某人或某事需要盡快找到它。
這些挑戰和更多的挑戰不可能在一夜之間解決,甚至需要投入多年的專門研究就能很好地理解。 Bit Discovery及其團隊已經在這方面工作了很長時間,這就是為什麼現在這個行業終於取得了進展。
Tenable產品聯絡資訊:
如您有本產品更進一步需求,請聯繫我們Sales@uniforce.com.tw 或聯絡我們0809-085-580!
也可直接填寫表單聯繫我們。
聯絡我們