受攻擊面管理偵測、評估與防範針對企業資訊科技生態系場的威脅。
受攻擊面管理是一項網絡資訊保安方法,目的是要讓威脅更加明顯,讓企業更有能力保護自己的資料和系統。重點在於了解風險的存在、了解風險的相對嚴重性,以及採取行動來消除人員、流程和技術相關的資訊保安漏洞。
受攻擊面管理是一種傳統的網絡資訊保安方法,包括資產發掘與監控。它會辨識黑客看待潛在威脅的方式,例如入侵企業防禦並造成財務、營運或商譽損害的機會。
甚麼是受攻擊面?
受攻擊面是黑客可能存取企業網絡、資料或資訊科技資源的各種方式。它分成三個部分:
- 數碼受攻擊面是指所有可從外部存取的硬件、軟件和資料,即使受到加密、認證通訊協定、防火牆或其他措施的保護。
- 實體受攻擊面包含所有可能失竊或與實體互動的設備和裝置,從而被入侵或資料外洩。
- 社會或個人受攻擊面是指企業內所有獲賦權存取系統與資料的人員,這些系統與資料可能被欺騙、勒索,或者遭到其他方式的篡改(例如網絡釣魚這類社交工程詐騙),從而被入侵或資料外洩。
受攻擊面管理與網絡資訊保安風險管理
受攻擊面管理是網絡資訊保安風險管理的一項重要元素 ,兩者共同協助企業提升網絡資訊保安態勢感知,主動發掘威脅、判斷優先次序、防範威脅。
網絡資訊保安管理是一種超越受攻擊面管理的全方位網絡資訊保安方法,專注於了解並防範企業的整體風險。一套良好的網絡風險管理架構,有助於判斷哪些風險最相關,並支援「風險資訊決策」來降低整體的曝險。如此一來,資訊保安團隊就能強化防禦、減少漏洞,並可據此通知企業整體的風險管理與策略規劃流程。
受攻擊面管理與受攻擊面管理
外部受攻擊面管理專注於對外裝置與系統的漏洞與風險,包括連上網絡的裝置與系統。受攻擊面管理並未涵蓋內部受攻擊面,包括在企業駐場設備與分割資源。
為何受攻擊面管理很重要?
受攻擊面管理變得非常重要,因為企業資訊科技環境比以往更加動態且彼此相連,令受攻擊面變得更大、也更加多樣化。傳統的資產發掘與監控方法,以及單一用途的網絡資訊保安端點方案,無法提供所需的完整視野、情報或防護。另一方面,受攻擊面管理可讓資訊保安團隊減少進入企業資訊科技生態系的途徑,並即時掌握新興漏洞與攻擊途徑。
受攻擊面管理能防範什麼?
受攻擊面管理能協助企業防範各式各樣的威脅,又稱為「攻擊途徑」。包括但不限於:
- 網絡攻擊:勒索程式、病毒及其他惡意程式都可能注入企業系統,讓黑客存取網絡資源、竊取資料、挾持裝置及破壞資產和資料。
- 編碼問題與配置錯誤:網絡與雲端技術的配置錯誤,例如連接埠、存取點、通訊協定等,都為黑客打開大門,亦是黑客入侵的常見原因。
- 網絡釣魚詐騙: 包括詐騙電郵、短訊、語音訊息(包括最新經由人工智能產生的深偽詐騙、視訊通話),這些詐騙會欺騙用戶,並要求他們採取一些可能危害網絡保安的行動。例如分享敏感資訊、點選導致惡意程式的連結及發放不該支付的款項等等。人工智能讓網絡釣魚更難偵測,也更具針對性。
- 過時的技術和應用程式: 軟件、韌體及裝置的作業系統都必須正確編碼,並修補已知的漏洞和威脅,否則就能讓黑客有機會入侵企業。老舊裝置若仍是資訊科技環境的一環,但並未維護或經常使用,也提供相當方便的入侵點給黑客,因為這些裝置通常不會被監控。
- 弱密碼與加密:容易猜測的密碼,無論是因為密碼很明顯、太簡單,或是重複使用於多個帳號,都可能讓黑客取得企業的數碼資源。此外,網絡犯罪集團也因為類似原因而需要竊取登入憑證。加密的目的是要屏蔽資訊,讓只有經過授權的人員才能讀取。如果密碼不夠強大,黑客就能擷取資料來發動大規模攻擊。
- 影子 IT: 企業員工所使用的工具若不屬於所屬的資訊科技環境或已通過核准,就被視為「影子 IT」工具,而且可能因為網絡保安團隊並不知道而產生漏洞。包括應用程式、可攜式儲存裝置、個人手機和平板等。
受攻擊面管理如何運作?
受攻擊面管理有三個主要階段,包括發掘、評估與防範。由於受攻擊面隨時都在改變,因此三者都必須持續執行。
發掘
發現階段定義了受攻擊面及所有構成受攻擊的資產。其發現的目的是要發掘所有已知和未知的裝置、軟件、系統及構成受攻擊面的存取點,包括影子 IT 應用程式、連接的第三方科技,以及先前尚未納入庫存的技術。儘管許多受攻擊面管理方案都提供了發現功能,但您必須清楚辨明以尋找一套能將合規與網絡保安風險量化整合的方案,確保除了能發現資產外,更能掌握完整的風險,進而展現真正的曝險。持續不斷的發掘過程有助於發掘受攻擊面如何隨時間而改變。
評估
在發現之後,資訊保安團隊會評估每個資產是否有潛在漏洞,從配置和編碼錯誤,到社會/人為因素,例如容易遭到網絡釣魚詐騙或商務電郵詐騙攻擊。每一項風險都經過評分,讓資訊保安團隊優先處理最迫切需要解決的問題。
風險評分通常是根據風險程度、攻擊可能性、潛在傷害,以及修正難度。此外,最好還能參考一些全球威脅情報來了解哪些漏洞最常遭到攻擊,而且最容易遭到攻擊。
範例:如果某個軟件能夠存取敏感資料、連上互聯網,而且有已知的漏洞被真實世界的黑客所利用,那麼補丁很可能是第一要務。
一旦所有風險都得到評分,總分就能得到整體企業風險評分。如此一來,企業就能長期對風險狀況進行評測與監控。
防範
防範就是採取行動來解決被發現的漏洞。換句話說,您或許會執行軟件更新或安裝補丁、設定資訊保安管管與硬件,或者建置零信任這類防護框架。此外,也可能需要清除老舊的系統與軟件。無論採用何種方式,您都必須擁有適當的方案來以可擴充的方式進行防範。
受攻擊面管理有何效益?
良好的受攻擊面管理能為企業帶來廣泛的效益,首先可強化整體的資訊保安狀況,更全面掌握資訊科技環境與受攻擊面。更有助於降低風險,並透過持續監控與重新評估來降低風險。
如此一來,資訊保安團隊就能安心無虞,而且一切都能為整體企業帶來重大效益。掌握受攻擊面的視野,就能提升資產的透明度與管控,降低網絡攻擊風險,進而節省成本。當資訊保安團隊能夠更快、更有效率地採取行動時,企業就能更妥善地確保業務永續性。因為當攻擊能更快被發現及防範時,就能降低嚴重中斷的風險。
我們如何建置受攻擊面管理?
受攻擊面管理需要一套能與網絡資訊保安平台整合的網絡風險曝險管理方案,主動執行發掘、評估及防範的階段。
選擇一套具備強大資訊保安運作功能的平台,例如安全性資訊與事件管理 (SIEM)、用戶端偵測與回應(EDR)及擴展式偵測與回應(XDR)尤其重要。XDR 尤其能提供一些有關當前受攻擊面防護如何運作的重要資料與數據分析。這些啟示有助於提升風險評估階段的準確度。
哪裡可以取得受攻擊面管理的協助?
今日的嚴峻風險情勢,令受攻擊面管理已經不再足夠。企業必須具備網絡風險曝險管理功能來主動預測、發掘、評估及防範風險,進而大幅降低您的網絡保安風險。
Trend Vision One™ 提供網絡風險曝險管理方案,將一些關鍵功能如外部受攻擊面管理、網絡保安資產受攻擊面管理 (CAASM)、漏洞,以及涵蓋雲端、資料、身份、API、人工智能、合規與 SaaS 應用程式的防護狀況管理,結合到一個強大且容易使用的解決方案。
進一步了解網絡風險曝險管理如何協助您管理受攻擊面等。