什么是攻击面管理 (ASM)？ - ManageEngine Endpoint Central

什么是攻击面管理？
为什么攻击面管理对企业安全很重要
什么是攻击面及其如何扩展？
外部和内部攻击面层
攻击面的组成部分
持续攻击面管理的关键步骤
攻击面管理中常见的挑战
有效攻击面管理的策略
将ASM整合到企业安全中

每个数字系统都有攻击者可能尝试入侵的地方。这些地方称为入口点，构成了组织的攻击面。

随着企业发展并采用更多技术——如云服务、移动设备和远程访问——这些入口点的数量也在增加。这使得跟踪所有可能暴露于网络威胁的资产变得更加困难。

攻击面管理是指在攻击者利用之前发现并减少这些风险的实践。它是组织在互联世界中保护其系统、数据和用户的重要部分。

什么是攻击面管理？

攻击面管理（ASM）指的是持续的过程， 识别、分析、优先排序并保护 组织可能存在网络攻击风险的所有地方。它涉及跟踪所有可能面临风险的数字资产，包括网站、应用、云服务和设备。

攻击面包括所有可能被黑客攻击的部分——既包含IT团队管理的已知系统，也包括如遗忘的服务器或未经授权的云账户等未知资产。这些未知资产通常被称为“影子IT”，因为它们存在于官方IT监管之外。

与主要关注保护网络或修复已知漏洞的传统安全方法不同，ASM持有更广阔的视野。它考虑所有可能的入口点，无论其位置或管理者是谁。

例如，公司可能拥有：

面向公众的网站和应用
内部系统和数据库
员工设备，如笔记本电脑和手机
来自多个供应商的云服务
与合作伙伴或供应商系统的连接

这些都是需要管理和保护的攻击面部分。

ASM不是一次性活动，而是一个持续循环。随着组织添加新技术、更改配置或与新合作伙伴连接，其攻击面也会发生变化。这意味着安全团队需要不断发现、评估和监控资产以维持防护。

为什么攻击面管理对企业安全很重要？

现代企业使用的数字系统比以往任何时候都多。每一个新的云服务、移动设备或远程访问点都增加了攻击可能发生的位置数量。

如果没有适当的攻击面管理，组织可能无法跟踪它们网络中连接的所有内容。这会产生盲点，导致漏洞未被发现，直到被攻击者利用。

提高可见性：ASM帮助安全团队看到连接到其环境的所有资产，包括他们可能不知道的资产。
降低风险： 通过发现并修复所有系统中的漏洞，组织可以降低整体的攻击暴露风险。
改善合规性： 许多法规要求组织了解拥有的数据及其保护方式。ASM有助于满足这些要求。

无管理攻击面带来的风险包括数据泄露、服务中断和合规违规。例如，遗忘的测试服务器中运行着过时的软件，可能为攻击者提供轻松进入点，从而访问更敏感的系统。

此表展示了ASM如何改变组织的安全态势：

方面	外部攻击面	内部攻击面
可见性	可从互联网看到	仅在获得访问权限后可见
初始保护	防火墙、WAF、网关	网络分段、访问控制
发现方法	外部扫描、DNS分析	网络扫描、资产清单
常见风险	面向公众的漏洞	横向移动、权限提升

什么是攻击面及其如何扩展？

攻击面包括攻击者可能尝试进入或提取系统数据的所有不同途径。可以把它视作数字环境中所有门窗和其他开口，黑客可能利用它们进入系统。

组织的攻击面通常包括：

网站和网页应用
移动应用
API（应用程序编程接口）
网络基础设施，如路由器和防火墙
云服务和存储
员工设备，如电脑和手机
物理访问点
可能成为社交工程攻击目标的人员

随着组织采用新技术和工作模式，其攻击面自然增长。例如：

云采纳 增加了可能配置错误或未安全保护的新服务器、服务和存储位置
远程工作 增加了来自企业网络外部连接的设备数量
物联网 (IoT) 设备创建了新的网络连接，可能存在安全弱点
第三方服务 引入组织无法直接控制的系统依赖

1. 外部和内部攻击面层

组织的攻击面包括外部和内部组件，各自具有不同特点和安全挑战。

外部攻击面包括所有可从互联网访问或看到的部分。这些资产攻击者无需先访问内部系统即可发现和攻击。例如：

公开网站和网页应用
邮件服务器
远程访问网关，如VPN服务器
云存储桶
公开API

内部攻击面包括只能从组织网络内部访问的系统。虽然这些不会直接暴露于互联网，但攻击者一旦获得初始访问权后，可以攻击这些内部资产。内部资产包括：

员工工作站和设备
内部服务器和数据库
网络文件共享
内部应用
特权账户

方面	外部攻击面	内部攻击面
可见性	可从互联网看到	仅在获得访问权限后可见
初始保护	防火墙、WAF、网关	网络分段、访问控制
发现方法	外部扫描、DNS分析	网络扫描、资产清单
常见风险	面向公众的漏洞	横向移动、权限提升

2. 攻击面组成部分

攻击面的完整视角不仅仅涵盖数字系统，还包括物理安全和人为因素。

物理攻击面包括：

建筑访问点
服务器室和数据中心
无人看管的设备
含敏感信息的实体文件

数字攻击面涵盖所有技术系统：

硬件设备
软件应用
网络基础设施
数据存储

社交工程攻击面涉及人员和流程：

员工意识和培训
认证实践
通信渠道
组织流程

三个组成部分相互作用。例如，一封钓鱼邮件（社交）可能导致恶意软件安装（数字），进而允许攻击者进入安全设施（物理）。

持续攻击面管理的关键步骤

攻击面管理作为持续循环而非一次性项目运行。这种持续方法必需因为新资产不断添加、配置变化和新漏洞出现。

ASM过程通常包括以下关键步骤：

发现： 找出所有与组织连接的资产
评估： 识别漏洞和配置错误
优先排序： 确定哪些问题风险最大
修复： 解决最关键的问题
监控：观察变化和新问题

让我们深入了解该过程的重要部分。

1. 资产发现与分类

攻击面管理的第一步是找到构成数字环境的所有资产。这包括IT团队管理的已知系统和可能未经适当监管创建的未知或“影子”资产。

资产发现利用各种技术识别与组织连接或相关的所有内容：

网络扫描： 识别连接到网络的设备和系统
DNS分析： 查找与组织相关的域名及子域名
云资源发现： 定位云环境中的资源
证书分析：识别登记在组织名下的SSL证书

资产发现后，需要根据以下因素进行分类：

类型（服务器、应用、设备等）
所有权（负责的部门或团队）
敏感度（包含或处理的数据类型）
暴露度（是否面向公众或内部使用）

此分类帮助安全团队了解他们需要保护的内容并相应优先安排工作。

2. 风险评估与优先排序

识别资产后，下一步是评估其安全态势并对风险进行优先排序。并非所有漏洞同等重要——某些漏洞风险远大于其他。

风险评估考虑多个因素：

暴露度： 资产是可从互联网访问还是仅限内部访问？
漏洞：资产是否存在已知的安全弱点？
数据敏感度：该资产是否存储或处理敏感信息？
业务关键性： 该资产对业务运营的重要程度如何？

这些因素有助于确定优先解决的问题。例如，一个易受攻击且可通过互联网访问且包含客户数据的服务器，其优先级将高于一个不包含敏感信息的内部测试系统。

这种优先级排序非常关键，因为大多数组织没有足够的资源一次性解决所有问题。通过优先处理风险最高的问题，安全团队能够更有效地利用时间和预算。

3. 持续监控与管理

一旦资产被发现且初步风险得到处理，持续监控就变得至关重要。随着新资产的增加、配置的修改以及新漏洞的发现，攻击面不断变化。

持续监控包括：

变更检测：识别新资产的出现或现有资产的变动
漏洞扫描： 定期检查新的安全漏洞
配置分析：确保系统维持安全设置
威胁情报：融入关于新攻击方式的信息

这种持续的可见性帮助安全团队在潜在威胁出现之前保持领先，而不是在问题发生后才做出反应。

有效的监控还包括通过以下指标衡量进展：

暴露资产数量
漏洞修复的平均时间
具有关键漏洞的资产百分比
发现的未知资产数量

这些指标帮助组织跟踪安全改进情况并识别需要更多关注的领域。

每个数字系统都有攻击者可能尝试入侵的地方。这些地方称为入口点，构成了组织的攻击面。

攻击面管理是指在攻击者利用之前发现并减少这些风险的实践。它是组织在互联世界中保护其系统、数据和用户的重要部分。

攻击面管理中常见的挑战

组织在实施攻击面管理时面临若干挑战：

可见性差距：尤其在拥有多个云提供商和第三方服务的大型复杂环境中，全面发现所有资产非常困难。
资源限制：许多安全团队在人力和预算方面有限，难以管理日益增长的攻击面。
工具碎片化：用于云安全、漏洞管理和资产发现的不同工具往往难以协同工作。
快速变化： 云环境随着开发人员创建和修改资源快速变化，导致很难维护准确的资产清单。
第三方风险：组织通常对连接至其系统的合作伙伴和供应商的安全状况了解有限。

这些挑战使得保持攻击面的完整和最新视图变得困难，但可以通过技术、流程和组织协作的结合来解决。

例如，自动发现工具可以帮助在复杂环境中查找资产，安全系统之间的集成可以提供更统一的视图。明确的云使用和第三方连接政策也有助于管理不断扩大的攻击面。

有效攻击面管理的策略

组织可以采用多种策略更好地管理攻击面并降低安全风险。

1. 实施安全策略和控制措施

明确的安全策略有助于建立资产配置和保护的标准。这些策略可能包括：

资产管理要求：所有系统必须登记在资产清单中
安全基线： 不同类型系统的最低安全配置
访问控制标准： 关于谁可以访问不同资源的规则
补丁管理政策：安全更新的应用时间框架

自动执行这些策略有助于确保它们在整个环境中一致应用。例如，云安全工具可以自动检测并修复错误配置的资源，而终端管理系统可以确保设备保持安全设置。

2. 使用专门的攻击面管理工具

专用的攻击面管理平台提供专门设计用于发现、评估和监控现代环境中全范围资产的功能。这些工具通常提供：

全面发现： 查找本地、云端和第三方环境中的资产
风险评估： 识别和优先考虑漏洞及错误配置
持续监控： 监测变更及新出现的风险
集成： 与其他安全工具连接以共享信息

许多组织使用多种工具组合来管理攻击面的不同方面：

面向互联网资产的外部攻击面管理（EASM）工具
云资源的云安全姿态管理（CSPM）
用于识别弱点的漏洞管理系统
保护设备的终端管理平台

3. 持续测试与验证

定期测试有助于验证安全控制的有效性并识别其他手段难以发现的弱点。

常见测试方法包括：

漏洞扫描： 检查已知安全弱点的自动化工具
渗透测试： 由安全专业人员进行的模拟攻击
红队演练： 更全面的现实攻击模拟
配置审计： 根据安全标准审查系统设置

这些测试为攻击面管理工作提供宝贵反馈，帮助识别改进方向。

通过结合明确的政策、专用工具和定期测试，组织可以形成更全面的攻击面管理方法，降低安全风险。

将ASM整合到企业安全项目中

攻击面管理在与其他安全功能集成时效果最佳，而非孤立运作。这种集成确保ASM的发现可以为其他安全活动提供信息，反之亦然。

关键集成点包括：

漏洞管理： ASM确保所有资产都包含在漏洞扫描和补丁流程中。
事件响应：对攻击面的了解有助于团队在发生事件时更有效地应对。
安全监控： 了解现有资产及其配置提升监控的效果。
风险管理：ASM为更广泛的风险评估和管理活动提供有价值输入。

通过连接这些不同的安全功能，组织可以形成更具协同效应的环境保护策略。

最有效的方法是从基础发现开始，逐步扩展到更高级的功能。例如，组织可以先识别所有面向互联网的资产，然后转向云资源，最后纳入第三方风险管理。

使用ManageEngine Endpoint Central进行攻击面管理

ManageEngine Endpoint Central是一款终端安全解决方案，提供支持攻击面管理的功能，包括资产发现、漏洞评估和补丁管理。这些功能帮助组织识别并保护可能成为安全盲区的终端。

企业安全中的攻击面管理是什么