何謂攻擊面管理 (ASM)?

攻擊面管理 (簡稱 ASM) 意味著發掘、評估及防範企業 IT 生態系所面臨的威脅。

攻擊面管理 (ASM) 是一種藉由改善威脅可視性來協助企業提升其資料與系統防護能力的網路資安方法。其重點在於了解哪裡存在著風險、風險的相對嚴重性,以及該採取什麼行動來消除人員、流程及技術相關的資安漏洞。

ASM 是一種傳統的網路資安方法,包含了資產發掘與監控。它會從駭客的角度來看待潛在威脅,也就是當成突破企業防禦,對企業造成財務、營運或商譽損失的機會。

何謂攻擊面?

所謂的攻擊面是駭客可存取企業網路、資料或 IT 資源的所有方式的集合,大致分成三個環節:

attack-surface-risks
  • 數位攻擊面:所有可從外部存取的硬體、軟體和資料,即使已受到加密、認證通訊協定、防火牆或其他措施的保護。
  • 實體攻擊面:所有可能因為失竊或實際操作而導致入侵或外洩的實體設備和裝置。
  • 社交 (人員) 攻擊面:企業內可存取系統與資料的所有人員,這些人員可能因遭到詐騙、勒索或其他形式的操弄 (例如網路釣魚之類的社交工程詐騙) 而導致入侵或外洩。

攻擊面管理與資安風險管理的差異

攻擊面管理 (ASM) 是資安風險管理的必要元素之一,兩者加起來可改善企業對其網路資安狀況的了解,主動發掘威脅、判斷優先次序,以及防範威脅。

資安風險管理是一種超越 ASM 的全方位網路資安方法,重點在於掌握及防範整個企業的風險。一套良好的資安風險管理框架,有助於判斷哪些風險最為相關,可支援「基於風險資訊的決策判斷」,進而降低整體的威脅曝險。這讓資安團隊能夠強化防禦、減少漏洞,並且提供資訊作為企業整體風險管理與策略規劃的參考。

攻擊面管理與外部攻擊面管理 (EASM) 的差異

外部攻擊面管理 (EASM) 特別著重在對外連線裝置與系統的漏洞與風險,包括連上網際網路的裝置和系統。內部攻擊面並未包含在 EASM 的範圍內,包括企業內部的設備與資源。

為何 ASM 很重要?

如今,ASM 已變得極為重要,因為企業 IT 環境比以往更加瞬息萬變,而且彼此相連,使得攻擊面變得更大、也更多元化。傳統的資產發掘與監控方法以及「單一用途」的網路資安解決方案,無法提供所需的完整可視性、情報或防護。反觀 ASM 可讓資安團隊減少駭客進入企業 IT 生態系的途徑,並且即時掌握新興的漏洞與攻擊途徑。

ASM 能防範什麼?

ASM 能協助企業防範各式各樣的威脅,也就是所謂的「攻擊途徑」。包括但不限於:

  • 網路攻擊:企業系統可能被注入勒索病毒、電腦病毒以及其他惡意程式,進而讓駭客能夠存取網路和資源、竊取資料、挾持裝置,以及破壞資產和資料。
  • 程式設計問題與組態設定錯誤:網路與雲端技術的組態設定錯誤 (如:連接埠、存取點、通訊協定等等) 將為駭客打開大門,同時也是駭客入侵的常見原因。
  • 網路釣魚詐騙:包括詐騙電子郵件、簡訊、語音訊息 (今日甚至包括 AI 生成的 deepfake 深偽詐騙、視訊通話),這些手法會誘騙使用者做出一些可能危害網路資安的行為。例如:分享敏感資訊、點選下載惡意程式的連結、匯出不該支付的款項等等。AI 的出現讓網路釣魚變得更難偵測,也更具針對性。
  • 過時的技術和應用程式:軟體、韌體以及裝置作業系統的程式設計必須正確無誤,若有已知的漏洞和威脅也必須加以修補,否則就會讓駭客有機會入侵企業。一些 IT 環境內仍在使用的老舊裝置,若未適當維護或不常使用,也很容易變成駭客的入侵點,因為這些裝置通常並未受到監控。
  • 強度太弱的密碼和加密:容易猜測的密碼,不論是密碼太過常見、過於簡單,或是在多個帳號上重複使用,都可能讓駭客輕易存取企業的數位資源。基於類似原因,失竊的登入憑證也在駭客集團之間非常搶手。加密的目的是為了保護資訊,讓唯有經過授權的人員才能正確讀取。但如果加密的強度不足,駭客就能取得其中的資訊來發動大規模攻擊。
  • 影子 IT:企業員工所使用的工具若不屬於已知或已核准的 IT 環境,就是所謂的「影子 IT」,由於資安團隊根本不知道它們的存在,因此很可能造成管理上的漏洞。包括:應用程式、可攜式儲存裝置、個人手機和平板等等。

ASM 如何運作?

ASM 可分成三個主要階段:發掘、評估、防範。由於攻擊面隨時都在變化,因此三者都必須持續不斷進行。

發掘
發掘階段負責定義攻擊面的範圍,以及所有包含在內的資產。發掘的目的是要找出所有構成攻擊面的已知及未知的裝置、軟體、系統以及存取點,甚至包括影子 IT 應用程式、連網的第三方技術,以及先前未盤點到的技術。儘管許多 ASM 解決方案都提供了發掘的功能,但您必須仔細分辨它們之間的差異,請尋找一套整合了法規遵循與資安風險量化的解決方案,以確保您能掌握風險的全貌,而非只有資產發掘,這樣才能呈現真實的曝險狀況。持續不斷的發掘流程有助於揭露攻擊面如何隨著時間變化。

評估
在發掘之後,資安團隊會評估每一項資產是否有潛在的漏洞,從組態設定錯誤和程式設計錯誤,到社交 (人員) 因素,例如遭到網路釣魚詐騙或變臉詐騙 (BEC) 攻擊。每一項風險都要給予評分,好讓資安團隊優先處理最迫切需要解決的問題。

風險評分通常是根據風險的高低、攻擊的可能性、潛在的損害,以及矯正的困難度而定。除此之外,最好還能根據全球威脅情報來了解哪些漏洞最常及最容易遭到攻擊。

範例:如果某個軟體能夠存取機敏資料、連上網際網路,而且有已知的漏洞被真實世界的駭客所利用,那麼該軟體的修補就可能會被列為第一要務。

一旦所有風險都完成評分之後,就能計算出企業整體的風險評分。如此一來,企業就能長期評量及監控其風險狀況。

防範
防範就是採取行動來解決已發現的漏洞,這可能意味著軟體更新或安裝修補更新、設定資安控管與硬體,或者建置零信任之類的資安框架。此外,也可能包含淘汰老舊的系統與軟體。不論哪種方式,您都必須擁有適當的解決方案以便能大規模地執行防範作業。

ASM 有何效益?

良好的攻擊面管理能為企業帶來廣泛的效益,首先就是更加確實掌握整個 IT 環境與攻擊面的可視性,強化整體的資安狀況。這有助於降低風險,並藉由持續的監控與不斷地重新評估來持續抑制風險。

如此,就能讓資安團隊感到安心,而這也將為整個企業帶來重大效益。掌握攻擊面的可視性,將提升資產的透明度與控管,降低網路攻擊的風險,進而節省成本。當資安團隊能夠更快、更有效率地採取行動時,企業就能更妥善地確保業務永續性。因為,當攻擊能更早被發現及防範時,就能降低發生嚴重中斷的風險。

我們如何建置 ASM?

ASM 需要一套能與網路資安平台整合的資安曝險管理解決方案來主動執行發掘、評估及防範的各個階段。

尤其重要的是要選擇一套具備強大資安營運功能的平台,例如:資安事件管理 (SIEM)、端點偵測及回應 (EDR) 以及延伸式偵測及回應 (XDR)。其中,XDR 能提供有關當前攻擊面防護運作情況的必要資料與數據分析。這些洞見有助於提高風險評估階段的準確度。

哪裡可以取得有關攻擊面管理的協助?

在今日嚴峻的風險情勢下,光有攻擊面管理還不夠。企業必須具備資安曝險管理功能來主動預測、發掘、評估及防範風險,進而大幅降低您的資安風險。

Trend Vision One™ 提供了一套資安曝險管理(CREM) 解決方案,將各種關鍵的功能,如:外部攻擊面管理 (EASM)、網路資產攻擊面管理 (CAASM)、漏洞管理,以及資安狀況管理,全部整合成一套強大又容易使用的解決方案,涵蓋雲端、資料、身分、API、AI、法規遵循以及 SaaS 應用程式。

進一步了解 Cyber Risk Exposure Management 如何協助您超越攻擊面管理。