如愿以偿找到整个攻击面上的“不了解的未知风险”

“不了解的未知风险”即安全团队尚未检测到因而无法加以保护的资产、漏洞、错误配置和系统弱点，CISO 们对此深感忧心。这些盲点对攻击者而言是非常宝贵的攻击机会，而对企业而言，却意味着重大安全风险。

“不了解的未知风险。” 这是在我的整个职业生涯中当 CISO 和其他安全领导被问及以下问题时，我听到的最千篇一律的答案：“让您晚上夜不能寐的原因是什么”？大多数安全计划都旨在打造对环境的广泛可见性，并确定企业面临的最大风险的环节。有了这种深入见解，就可以决定如何以及在何处可以最有效地降低风险，以减少损失对业务的潜在影响。采用各种方法成为风险管理计划中的推动力对任何安全工作而言都是核心使命。尽管可以使用许多工具和技术来提供可见性，但围绕发现和了解“不了解的未知风险”并将这些未知风险转移到已知领域，仍然面临艰巨的挑战。在这些未知风险可见并予以处理后，安全团队就可以利用其风险决策引擎并缓解这些风险，就像对其他已知风险所做的一样。

近年来，我们正在采用两种特别有用的新技术来帮助安全团队弥合这些“不了解的未知风险”之间的差距：外部攻击面管理 (EASM) 和攻击路径分析 (APA)。我们来讨论一下这些技术是什么，为什么会成为成熟安全计划的重要组成部分，以及它们如何帮助安全企业对其环境的攻击面施加控制管理。

攻击面管理

经常隐藏“不了解的未知风险”并且特别难以了解和管理的一个领域是企业基础设施面向外部的部分。可从互联网公开、持续访问的资产将是攻击者首先看到并试图入侵的资产，因为攻击者预计会连接甚至探测这些资产。不过，如果公共空间中存在资产而防御者对此毫不知情，就会造成问题。例如，可能存在残存的 DNS 条目，而意欲使用该条目实施欺诈的攻击者可能会劫持该条目， ，或者还可能存在安全措施不到位的服务器或 Web 应用程序，开发人员本来是测试之用，但含有企业的域信息。一般而言，企业有许多安全团队不知道的资产和服务，但攻击者很可能对此一清二楚。

EASM 技术通过持续扫描和监控面向公众的资产，专门解决了这一问题。这些工具提供易于理解的搜索能力，可以搜索到与企业的公共资产（即域名、IP 地址空间等）相关的任何资产。如果运用得当，EASM 就可以对这些面向公众的资产提供一致、持续的可见性，无论这些资产位于何处，也无论其类型是什么。有趣的是，当我以前以顾问身份与企业合作时，EASM 工具识别出的面向公众的资产比大多数安全团队识别出的高一个数量级。随着云基础设施和云环境的兴起，开发人员、IT 人员，甚至安全团队比以往任何时候都可以更轻松地增加新资产，而这些资产可能并未进行相应的记录和识别。然而，善加利用 EASM 就意味着这些潜在的攻击向量为人所知，可以采取措施将其纳入风险缓解工作的范围，或者彻底消除这些攻击向量，使它们不再被恶意利用。这是一款强大的工具，对没有自动化工具集（可以找到、识别和组织面向互联网资产）就很难解决问题的领域而言，就像暗路上的一束光。

攻击路径分析

现在，如果 EASM 可以帮助识别攻击者的潜在入口点，APA 就可以确定哪些漏洞、错误配置和其他系统弱点可能会被用来访问关键数据集和资产。最基本而言，APA 会在不同类型的安全发现之间建立关系，以查明安全团队不知道的可能遭入侵的地方，或者可以绕过安全控制以达到关键目标的区域。有些 SIEM 工具和违规攻击模拟 (BAS) 产品试图识别漏洞之间的这些关系，但其功能要么在范围上受到限制，要么只能以静态方式复制针对单个漏洞的已知攻击。然而，APA 技术从根本上解决了这一问题，充分利用漏洞评估和风险暴露管理工作，对每个资产的配置、漏洞状态和风险环境的了解更为完整。这样，APA 工具就可以更好地展现每项资产安全状况的面貌，从而提供所有数据之间关系的更全面的视图。

打个比喻。如果钉子扎破轮胎造成爆胎，根据该事实得出的结论是：存在威胁（钉子）和漏洞（橡胶并非不能被扎破）。我们可以利用这些信息来对其他轮胎进行检测，并确认是否也有被钉子扎破的潜在危险。但是，如果我们尝试将同样的威胁应用到汽车的其他部分，则分析就会失败。如果钉子扎到金属上，车身并不会受到什么影响。发动机组可能根本就没有遭到损坏。一次又一次使用单个威胁和漏洞类型来评估整个汽车的风险，并不能真正提供有用信息，说明什么存在风险，什么可能出错。

但是，如果我们将不同类型彼此有关系的威胁联系在一起会怎么样呢？钉子扎破轮胎可能会造成轮胎漏气，如果轮胎完全爆裂，汽车可能会在轮辋上行驶很长一段距离，从而导致悬架或制动系统的结构性损坏。如果汽车老旧或者维护不当，多米诺效应可能会继续发展，造成发动机或冷却系统的损坏。在这种情况下，我们看到了不同类型的威胁和弱点，但我们能够将它们相互关联起来，以了解单个初始威胁如何造成更广泛的系统性故障。

对于企业内的现代攻击面，这种处理方式也完全相同。面向公众的资产可能会因为错误配置的端口而遭到入侵，攻击者就可以利用此漏洞从该主机对企业 Web 应用程序发起 SQL 注入攻击。被侵入的应用程序进而会暴露数据，让攻击者能够获取用户名和密码，然后就可以访问另一台主机。由此开始，攻击者可以针对已知可利用的 Windows 漏洞发起更广泛的攻击，通过该漏洞获得更高的管理权限，然后可以通过这些权限遍历内部网络，达到攻击者可能想要达到的任何关键资产。这是攻击如何展开攻击的更为真实的写照。要成功防御攻击，我们必须能够了解整个攻击路径，以及一种漏洞类型可能导致利用另一种类型（通常是完全不同的类型）漏洞的位置。这是决定在何处实施快速部署且经济高效的安全控制措施的关键所在，这样我们就可以弥合以前所不知道的防御漏洞。

深入防御战略始终以保护我们所知的资产和路径的方式对安全控制进行分层。APA 揭示了攻击者可能攻击和遍历环境的“不了解的未知风险”，使这些特定的攻击向量成为“了解的已知风险”，并允许安全团队扩展其控制措施以弥合这些差距。

不再有“不了解的未知风险”

随着环境变得越来越复杂，“不了解的未知风险”攻击向量的可能性呈指数级增长。利用我们现有的漏洞评估、配置评估和风险管理最佳实践作为分析所有这些发现之间关系的基础，为安全团队提供一款宝贵的工具来保护他们的基础设施，减少“不了解的未知风险”的数量，并有望在晚上高枕无忧。

您的安全策略需要更多以指导吗？查看 Tenable 的《2021 年威胁形势回顾》，该报告对上一年的威胁态势进行了全面的分析，安全专业人员现在可以利用这些分析来提高其安全性，同时欢迎观看网络研讨会“现代攻击面的风险暴露管理： 识别并传达您的环境中风险最大、需要优先解决的问题。”