与安全运营相关的五个攻击面难题
年初发布的ESG调研报告中,半数受访企业(52%)表示安全运营比两年前更难了。问及原因,41%指向不断发展变化的威胁形势,38%认为是越来越膨胀的攻击面,37%表示警报的数量和复杂度推高了安全运营难度,34%则归咎于公有云计算服务的普及。
如今大多数此类安全难题不过是再一次昨日重现,年复一年地折磨安全团队。但有一个例外:不断扩大的攻击面。诚然,自我们开始使用早期浏览器那一刻开始,攻击面就一直在稳步扩大,但过去几年里情况才真正一发不可收拾。再怪罪电商、新冠肺炎、数字化转型,各企业和机构也还在将IT系统连接上第三方、支持远程办公职员、开发云原生应用,以及大量使用SaaS服务。只要将所有这些因素都考虑进去,企业和机构通常在用上万个面向互联网的资产就不足为奇了。
直面攻击面难题
不断扩张的攻击面必然会扰乱旧有安全运营计划,但到底会产生什么影响呢?ESG向376位安全专业人士提出了这一问题。受访者的回答提到了攻击面扩大所带来的五个难题。
需要与开发人员建立更深的联系。这一回答反映出,随着企业开发更多云原生应用,并持续向生产应用推送新功能,软件开发与安全之间出现了脱节。开发那边用了无服务器函数没有?是否连接了不安全的API?有没有把敏感数据留在了开放的S3存储桶里?很多情况下,安全团队都不知道以上这些问题的答案。云安全态势管理(CSPM)对缓解这种情况有所帮助,但此类工具并不普及,还可能被云开发团队雪藏。弥合安全/开发人员之间的脱节应该是所有首席信息安全官(CISO)的头等大事。
导致重复评估当前工具和流程。这是持续困扰安全运营团队的另一个常见问题。为发现和管理攻击面,企业倾向于从现有工具着手:资产管理系统、漏洞扫描器、日志管理、CSPM等等。他们很快就会认识到,从各个迥然不同的系统统合数据过于耗时:43%的企业宣称,全面盘点攻击面管理需要花费80个小时以上的时间。由于数据来自多个系统,必须安排人核查结果的合理性,这就会开销和人为错误。至于结果,69%的企业表示遭遇了未知、未托管或管理不善的攻击面资产所造成的网络事件。
增加漏洞数量,延长相关修复周期。逻辑很简单。资产增多=漏洞增加=修复周期延长。有些企业有流程和资源跟上;但很多企业并不具备这些流程和资源。
拖慢安全调查和响应动作。这种情况下,安全分析师可能无法访问所需的全部数据,最终不得不深陷不同数据源追踪这些数据。而分析师试图搞清问题所在的同时,威胁的驻留时间也延长了,从而导致上述安全事件发生的频率升高。此外,如果安全和IT团队修复了某些系统,却在无形攻击面上错失攻击全貌,事件响应动作也可能并不完整。
造成可见性缺口。不断扩大的攻击面会导致可见性盲点——安全分析师的噩梦。正如安全领域的老生常谈所言,“你无法管理你衡量不了的东西。”
随着CISO意识到这些问题会带来破坏性网络攻击,上述难题和其他问题也加重了对企业攻击面管理的关注。安全行业以一系列令人眼花缭乱的并购做出了回应:DarkTrace收购了Cybersprint,IBM吃下了Randori,Mandiant买下Intrigue,微软纳入RiskIQ,Palo Alto Networks吞并Expense Networks,Tenable购进BitDiscovery。背靠风险投资的CyCognito、Cyberpion和Upguard等初创公司,以及BitSight和Security Scorecard等第三方风险管理供应商也在这一领域搅动风云。
五年前还没有几家公司谈论攻击面管理,但时移世易,现在攻击面管理已成为企业安全要求。忽视攻击面管理,就得做好后果自负的心理准备。
参考阅读
[调研]推进安全运营自动化
人机共智—促进智能化安全运营
为什么外部攻击面管理至关重要
外部攻击面管理(EASM)实践——暗网威胁可视性报告