何謂攻擊面?

在網路資安領域,所謂的「攻擊面」是指可被駭客利用、進而在未經授權的情況下存取企業系統與資料的漏洞、存取點以及攻擊管道的集合。

當駭客想要突破企業的防禦來切斷系統、竊取資料、勒索贖金,或是採取任何其他惡意行動時,攻擊面就是他們鎖定的目標,也因此讓攻擊面成為網路資安人員擔心的重點領域。

攻擊面包含了任何漏洞、入侵點,或是可用來入侵網路或 IT 環境的方法 ─ 任何硬體或軟體,不論在企業內、網際網路上,或者在雲端內。

對大多數企業來說,攻擊面分成三個環節:數位攻擊面、實體攻擊面,以及社交 (人員) 攻擊面。傳統管理攻擊面的方法已經捉襟見肘,所有層面都必須受到持續而主動的監控,並透過資安曝險管理來盡早偵測及攔截威脅。

除了保護攻擊面之外,絕大多數的網路資安團隊也會盡可能縮小攻擊面來減少駭客集團入侵並造成傷害的機會。但這一點並不容易做到,因為許多企業的系統和 IT 環境都比以往更加開放且彼此相連。

進一步了解如何管理您的攻擊面

攻擊面與攻擊管道的差異

攻擊管道是整個攻擊面當中的一個面向,泛指駭客可用來非法存取資料和系統的技巧。不同的攻擊面會有不同的攻擊管道可利用,例如:

compared-attack-surfaces

關於攻擊面我們該知道些什麼?

正如前面提到的,光靠傳統的攻擊面管理是不夠的,企業及網路資安團隊需要一套資安曝險管理解決方案來建立一個清晰、完整的攻擊面全貌。任何攻擊面分析都應該將一切全部納入它的範圍當中,包含:網路設備、雲端伺服器、物聯網 (IoT) 裝置、使用者帳號、存取權限等等。

此外,企業也必須知道所有資料的儲存位置,尤其是任何營運關鍵、私密、機密或敏感的資料。

但要建立這樣一個完整的輪廓並隨時保持更新,就必須徹底掌握攻擊面的數位、實體以及社交 (人員) 三個環節,並隨時追蹤其變化。

攻擊面的主要風險為何?

攻擊面的每一個環節 (數位、實體、社交) 都有自己獨特的風險,資安人員必須確實掌握並加以管理。這些風險 (以及其專屬的攻擊管道) 會隨著技術和威脅的演進而不斷變化。以下是一些範例。

數位攻擊面風險

數位

任何可從外部存取的網路或資料資源 (即使已受到加密、認證、防火牆或其他措施的保護),全部都是數位攻擊面的一部分,它們有可能遭到以下威脅:

  • 網路攻擊:企業系統可能被注入勒索病毒、電腦病毒以及其他惡意程式,進而讓駭客能夠存取網路和資源、竊取資料、挾持裝置,以及破壞資產和資料。
  • 程式設計問題與組態設定錯誤:網路與雲端技術的組態設定錯誤 (如:連接埠、存取點、通訊協定等等) 將為駭客打開大門,同時也是駭客入侵的常見原因。
  • 暴露在外的技術:任何連上公共網際網路的技術,都可能遭到駭客存取或攻擊,包括:網站應用程式、網站伺服器、雲端伺服器與應用程式等等。
  • 過時的技術和應用程式:軟體、韌體以及裝置作業系統的程式設計必須正確無誤,若有已知的漏洞和威脅也必須加以修補,否則就會讓駭客有機會入侵企業。一些 IT 環境內仍在使用的老舊裝置,若未適當維護或不常使用,也很容易變成駭客的入侵點,因為這些裝置通常並未受到監控。
  • 影子 IT:企業員工所使用的工具若不屬於已知或已核准的 IT 環境,就是所謂的「影子 IT」,包括:應用程式、可攜式儲存裝置、個人手機和平板等等,由於資安團隊根本不知道它們的存在,因此很可能造成管理上的漏洞。
  • 強度太弱的密碼和加密:容易猜測的密碼,不論是密碼太過常見、過於簡單,或是在多個帳號上重複使用,都可能讓駭客輕易存取企業的數位資源。基於類似原因,失竊的登入憑證也在駭客集團之間非常搶手。加密的目的是為了保護資訊,讓唯有經過授權的人員才能正確讀取。但如果加密的強度不足,駭客就能取得其中的資訊來發動大規模攻擊。

實體攻擊面風險

實體

實體攻擊面包括個人實體持有的技術 (如筆電),或是只能在特定據點和設施存取的技術。實體攻擊面有兩大風險:

  • 竊盜案和裝置失竊:筆記型電腦和其他裝置經常因為被放在車內、或是遺留在公共場所、甚至是因為辦公室或其他建築遭到竊賊闖入而被偷。駭客一旦取得了裝置,就能利用這些裝置以及裝置內儲存的登入憑證來進入企業網路或存取其他資源。
  • 誘騙:犯罪集團會故意將 USB 隨身碟等可攜式儲存裝置遺留在公共場所當誘餌,希望有人會撿起裝置並插入電腦來查看裝置上的內容。這些 USB「誘餌」內含惡意程式,當插入電腦時就會將惡意程式載入到使用者系統,並開始執行攻擊。

社交 (人員) 攻擊面風險

社交

人員通常被視為網路資安的「第一道防線」,這是因為他們的行為會直接強化或弱化攻擊面。針對人類行為的網路攻擊,稱為「社交工程攻擊」。社交 (人員) 攻擊面基本上跟有多少使用者的行為可能在蓄意或無意間對企業造成傷害有關。

常見的風險包括:

  • 網路釣魚詐騙:包括詐騙電子郵件、簡訊、語音訊息 (今日甚至包括 AI 生成的 deepfake 深偽詐騙、視訊通話),這些手法會誘騙使用者做出一些可能危害網路資安的行為。例如:分享敏感資訊、點選下載惡意程式的連結、匯出不該支付的款項等等。AI 的出現讓網路釣魚變得更難偵測,也更具針對性。
  • 惡意的內部人員:一些對企業心懷怨恨、或是遭到駭客勒索/利誘的員工,有可能利用他們的合法授權和存取權限來竊取公司資料、分享登入憑證、安裝惡意程式、損害公司系統,或是從事其他有害行為。

如何縮小攻自己的擊面?

沒有任何企業能夠將攻擊面徹底消除,但卻可以盡量控制和縮小攻擊面。一旦找出了自己的攻擊面,網路資安團隊就能建置資安風險管理來持續監控任何變化,並主動預測潛在的新興風險,這樣就能盡量減少漏洞與暴露在外的情況,包括:

  • 簡化環境、停用任何過時或未使用的軟體和裝置,以及限制端點數量。
  • 將網路分割並加入防火牆和其他障礙,讓駭客在進來之後更難四處遊走。
  • 利用攻擊面分析來尋找並消除漏洞和弱點,例如:強制使用強度較高的密碼、淘汰老舊的軟體和應用程式、減少影子 IT、實施針對性的資安政策與控管等等。
  • 採用最佳實務原則來強化資安措施,包括雙重認證或多重認證,以及零信任方法。當採用零信任方法時,唯有獲得授權的人員才能在必要時存取特定資料、應用程式和資源。零信任從根本上限制了誰可以使用哪些技術資源、何時使用,以及使用多長時間。這不僅能保護資產,而且萬一發生資安事件,也會更容易察覺。
  • 透過教育訓練、測驗及定期進修來提升員工的網路資安意識。教育訓練的主題可以包括:良好的密碼習慣、如何遵守公司政策、如何保持警戒並隨時留意網路釣魚詐騙和其他社交工程攻擊的風險,以及當員工有資安上的疑慮時該採取什麼行動。

何謂攻擊面管理?

攻擊面管理 (ASM) 是一種傳統的網路資安方法,目的是要協助企業提升其保護資料與系統的能力。其重點在於了解哪裡存在著風險、風險的相對嚴重性,以及該採取什麼行動來消除人員、流程及技術相關的資安漏洞。ASM 可讓資安團隊減少駭客進入企業 IT 生態系的途徑,並且掌握新興的漏洞與攻擊途徑。

如今,ASM 已變得極為重要,因為企業 IT 環境比以往更加瞬息萬變,而且彼此相連,使得攻擊面變得更大、也更多元化。傳統 ASM 所提供的資產發掘與監控方法,以及「單一用途」的網路資安解決方案,無法提供所需的完整可視性、情報或防護。今日的威脅情勢需要持續監控入侵點,並根據衝擊來判斷防範動作的優先次序。這套方法有助於將風險轉換成商業用語,並且預測威脅,在風險成形之前主動將它消除。

政府在攻擊面管理方面是否扮演著某種角色?

許多國家的政府機關都制定了法律、規範和公共政策來要求企業該如何確保數位環境的安全,包括美國國家標準與技術局 (U.S. National Institute of Standards and Technology,簡稱 NIST) 的資安風險評分框架 (Cyber Risk Scoring Framework),他們也用這套框架來評估及管理自己的攻擊面。

產業與政府機關在網路資安方面的良好合作,有助於全面提升資安防護以及分享有效的攻擊面管理最佳實務原則。

誰能協助我們管理攻擊面?

光靠攻擊面管理是不夠的,今日的風險情勢需要資安曝險管理功能來主動預測、發掘、評估及防範風險,如此才能大幅降低您的資安風險。

Trend Vision One™ 提供了一套資安曝險管理(CREM) 解決方案,將各種關鍵的功能,如:外部攻擊面管理 (EASM)、網路資產攻擊面管理 (CAASM)、漏洞管理,以及資安狀況管理,全部整合成一套強大又容易使用的解決方案,涵蓋雲端、資料、身分、API、AI、法規遵循以及 SaaS 應用程式。

進一步了解 Cyber Risk Exposure Management 來超越攻擊面管理。