外部攻擊面管理 (EASM) 是一種聚焦對外連網的資料、系統與技術來發掘、監控及防範其相關風險的網路資安方法。
企業的「攻擊面」是指可被駭客利用、進而在未經授權的情況下存取系統與資料的漏洞、存取點以及攻擊管道的集合。也就是歹徒想要切斷系統、竊取資料、勒索贖金,或是採取任何其他惡意行動時所瞄準的目標。
每個企業都同時具備內部與外部攻擊面。內部攻擊面包含了所有構成內部網路環境的元素:基礎架構、裝置、應用程式、使用者等等。
外部攻擊面正如其名,就是所有經由網際網路、雲端服務、行動連線等方式與外界接觸和介接的技術。此外,還包括與第三方供應商、合作夥伴、廠商以及遠距工作者的連線。
外部攻擊面管理 (EASM) 是一整套保護對外暴露的資產、資源和技術的流程。它之所以受到特別關注,是因為許多威脅都是來自企業外部,同時也因為今日的外部攻擊面比以往更加瞬息萬變且複雜。企業若能主動管理其外部攻擊面,就能大幅強化其資安狀況。
外部攻擊面管理與攻擊面管理的差異
攻擊面管理 (ASM) 是一個涵蓋整個攻擊面 (包括內部與外部) 的統稱,而外部攻擊面管理只聚焦在外部風險。兩種攻擊面管理都包含了三個面向:數位、實體、社交 (人員),兩者都需要一套持續的三步驟流程:發掘、評估及防範。
EASM 為何重要?
隨著網路變得越來越錯綜複雜及開放,EASM 也變得越來越重要。仰賴閘道和防火牆來阻擋駭客進入的日子已經過去,從例行的漏洞和滲透測試就能知道。今日的網路可透過傳統方式來加以保護的「實體邊界」越來越少,因此製造了大量新的機會讓駭客存取系統與資料,並造成損害。
同時,企業的 IT 也變得非常分散,業務單位和個人使用者完全不需要 IT 部門的協助就能自行架設雲端資源。影子 IT 應用程式和服務相當猖獗,而且許多員工都會在企業網路上使用個人裝置,或者使用這些裝置來上班。
這一切都意味著:外部攻擊面的漏洞比以往更多,因此需要一套一致的全方位資安風險管理方法。EASM 能掌握整個外部攻擊面的全貌,提供持續的監控與防範。如此一來,網路資安團隊就能了解其企業在哪些地方最可能遭遇風險,進而採取行動來加以解決。
EASM 能防範什麼?
絕大多數的攻擊管道 (網路攻擊手法) 都是瞄準外部攻擊面,常見的手法包括:勒索病毒和網路釣魚詐騙,以及試圖入侵系統然後竊取私密或高價值的資料,或是切斷營運系統。EASM 能協助資安團隊縮小外部攻擊面,減少駭客經由這類管道入侵企業環境的機會。
此外,EASM 也能協助企業遵守有關隱私權與資料保護的法規,提供更好的外部攻擊面可視性,讓資安團隊防範或遏止資安事件發生。
外部攻擊面元素的範例
任何可經由網際網路存取的系統或服務,都可能成為外部攻擊面的一環。每家企業都有自己獨特的對外連線裝置與技術組合,這些裝置與技術很可能暴露在外。一些常見的包括:
- 網站應用程式:任何擁有電子商務網站或訂位引擎的企業,都會用到網站應用程式 (Web 應用程式)。這使得網站應用程式變成了許多企業外部攻擊面的重要一環,因為任何人都能經由網際網路來加以存取。如果某個網站應用程式的組態設定錯誤或安全性不佳,駭客就能利用這些漏洞來植入惡意程式、竊取資料,或是存取與網站應用程式相連的後端企業系統。
- 雲端服務:雲端服務與虛擬化基礎架構,為企業提供便利、彈性、高擴充性的運算資源。但由於企業需要外部網路連線才能使用,因此會暴露在外並可能遭到攻擊。如同網站應用程式一樣,當雲端基礎架構組態設定不當時,駭客就能攻擊這些弱點。
- 遠端存取系統:在疫情期間,遠距和混合上班模式爆炸性成長,員工必須經由家庭網路或途中可能不安全網路存取企業的系統和資料。一些用來保護連線的技術,例如虛擬私人網路 (VPN),已經成為駭客入侵企業 IT 環境的攻擊目標。
- 物聯網 (IoT) 裝置:許多企業辦公室和建築物現在都導入了 IoT 技術,從環境控制到保全系統等等,甚至在員工家中和家庭辦公室,這些裝置也逐漸成為企業外部攻擊面的一環。
企業的 EASM 策略還需要考慮的另一項外部風險就是與第三方廠商的關係。許多企業都仰賴第三方廠商來提供商業、金融與技術服務,例如 IT 的託管服務供應商 (MSP) 以及支付處理合作夥伴。這些第三方廠商與企業 IT 資產之間的任何連線,都可能成為駭客的攻擊目標。
EASM 如何運作?
如同整體攻擊面管理 (ASM) 一樣,EASM 也包含了一套持續且重複不斷的發掘、評估及防範流程。
發掘
一套具備外部攻擊面管理能力的網路資安平台,應該要能發掘所有對外連線的資產,包括那些目前可能尚未盤點到的資產。發掘過程當中所掃描的資產和元素應包括雲端服務、網站應用程式、IP 位址、網域等等。此外,EASM 解決方案還可以發掘雲端內的影子 IT 應用程式,這些應用程式同樣也是網路資安上的漏洞 (未知中的未知)。
評估
在發掘之後,EASM 解決方案接著可用來評估外部攻擊面的風險,這通常包括尋找組態設定錯誤、未修補的軟體、過時的系統、已知及潛在的漏洞等等。一旦透過這個方式發現到漏洞,就能根據其相對的風險等級來判斷其優先次序 (也就是風險評分)。如此一來,企業就能判斷哪些風險最為急迫或最為嚴重,進而適當地分配資源來因應。
防範
防範的步驟可能包括:淘汰老舊硬體設備、更新與修補軟體、修正組態設定錯誤、將影子 IT 應用程式納入管理等等。在 EASM 流程的持續過程中,外部攻擊面必須受到續監控以便當 IT 環境和威脅情勢發生改變時,企業能主動採取行動來維持良好的資安狀態。
EASM 的效益為何?
EASM 可為企業帶來幾項效益:
- 可視性:EASM 讓企業全面掌握其對外連線的技術資產,發掘先前未知的漏洞,建立更強大、更全面的資安防禦。
- 成效:EASM 有助於更快、更準確地回應事件,這要歸功於更快的威脅偵測以及更完整掌握 IT 環境的全貌,因而能夠更早且更徹底地遏制威脅。
- 法規遵循:許多產業都必須遵守資料安全與隱私權的法律及法規框架。EASM 能支援法規遵循,是整體良好資安風險管理方法的一環。
這些全都加起來,就能藉由即時的情報與針對性的網路資安回應來提升企業整體的資安狀況。
EASM 如何與資安風險管理相輔相成?
資安風險管理是一種能讓企業改善網路資安狀況掌握度的方法,可發掘威脅、判斷其優先次序並加以防範。EASM 只是整個資安風險管理框架的一小部分。
整體而言,資安風險管理的目標是要協助企業更主動發掘及管理威脅,提供量身訂做的資安措施與控管來符合企業的特定需求、產業情境以及威脅環境。其目標是透過持續不斷的監控和評估來即時掌握威脅的洞見,並且確保所有員工都對網路資安抱持著同樣的主動心態。
資安風險管理的階段與 EASM 相同:發掘、評估及防範。
一套完整的資安曝險管理解決方案將包括:ASM、EASM、網路資產攻擊面管理 (CAASM)、漏洞風險管理、資安狀況、法規遵循風險量化、風險評分,以及政策、程序及其他與企業治理相關的元素,以確保目標明確並持續貫徹。
哪裡可以取得有關 EASM 的協助?
EASM 是 ASM 的重要一環,但要建立真正的風險韌性,企業必須具備各式各樣頂尖的資安曝險管理功能,如:EASM、網路資產攻擊面管理 (CAASM)、漏洞管理,以及資安狀況管理。Trend Vision One 提供了一套資安曝險管理(CREM)解決方案,結合了上述所有功能,讓您持續監控入侵點、根據衝擊判斷防範措施的優先次序、將風險轉換成財務用語,以及預測未來威脅以便在風險成形之前主動將它消除。
進一步了解 Cyber Risk Exposure Management 如何協助您簡化攻擊面管理。