最后更新于2023年4月13日星期四00:06:54 GMT
在这个由三部分组成的系列中, 我们将探讨选择攻击面分析策略的关键考虑因素和策略, 以及它可以用来提高对技术和过程相关风险的认识的方法. 我们将从下面的脆弱性评估开始.
BREACH!!! 这个词你可能会在《pg电子》等海底惊悚片中听到, 灰狗, 或红色十月, 但如果涉及到你自己的组织,你绝对不想听到这样的话. 但无论我们是否愿意,违规行为都可能发生. 作为网络第一反应者,我们的工作就是想办法在可能的时间和地点阻止他们, 并在灾难发生时减轻损失. 这个过程的关键一步是弄清楚哪些东西可以被黑客入侵. 要做到这一点, 您需要看到攻击者所看到的——也就是说, 你需要分析攻击面.
如果“看到攻击者看到的东西”有点太模糊了, 一个更技术性(和冗长)的攻击面分析定义(由moi提供), 在最近的一次演讲中)将是:
“攻击面分析需要绘制出组织的哪些部分需要审查和测试安全漏洞. The point is to understand areas of risk; to make IT, 安全人员, and leadership aware of what areas are vulnerable to attack; to find ways of minimizing the risk; and to notice when and how the attack surface changes and what this means from a risk perspective.”
在更实际的术语中,攻击面分析包括3个任务:
- 确定测试区域
- 面向外部的应用程序/系统
- 内部应用程序/系统
- 《pg电子》(提示不祥的音效)
- 人员
- 流程
- api, web表单,文件共享
- 确定高风险地区
- 识别攻击面变化
你现在可能在想“太好了。! 现在我该怎么做呢?“我很高兴你这么问. 有许多方法可以执行攻击面分析, 但是我们将在这个博客系列中讨论的方法是 漏洞评估,渗透测试,红队和紫队. 首先是脆弱性评估!
漏洞评估
脆弱性评估侧重于识别 漏洞, 不要剥削他们. 目的是(1)识别和编目资产/已安装的软件, (2)发现所述软件是否具有潜在的可利用性, (3)查找开放端口和相关协议, (4)确定是否存在系统/网络配置问题. 这通常是通过商业上可用的漏洞扫描程序(*咳*)完成的 InsightVM *咳*),开源工具(Nmap, OpenVAS, rumble.运行等.),或者两者的结合.
这是什么类型的活动 漏洞评估工具 perform? 一份不详尽的能力清单将包括:
- 发现扫描. 通常非常快(时间方面)和, 顾名思义, 重点发现系统和tcp/udp端口是开放的.
- 未经身份验证的扫描. 不使用凭据登录发现的系统, 这种类型的扫描执行更详细的枚举, 哪一个可以包括DNS解析, 操作系统类型, 服务运行, etc. (考虑使用-A标志的nmap扫描.)
- 验证扫描. 利用凭证登录到发现的系统,并执行更详细的枚举, 哪些可能包含软件漏洞, 系统配置问题, 等框架的基准测试 CIS, NIST等等.
脆弱性评估通常以季度为基础进行(至少), 安装新设备/系统时, 或者当网络经历了重大变化时. 上述评估的输出是一份报告,其中提供了存在的漏洞的全面列表, 自上次进行评估以来,发生了什么变化, 以及(理想情况下)建议的操作列表,以减轻任何发现的漏洞.
漏洞评估的价值在于,它是一种非破坏性的测试形式,使您能够了解网络的健康状况. 它通过建立系统及其漏洞的基线来实现这一点, 维护环境的持续可见性(例如.e. 确保只使用经批准的系统、设备、软件等. 是否在您的网络上运行),并使业务意识到存在的潜在风险. 漏洞评估的挑战在于,它们通常不测试漏洞的可利用性, 他们忽视了“人为因素”(通常是我们环境中最脆弱和不可预测的因素).
我希望以上信息对您确定哪种分析策略对您有意义有所帮助! 请继续关注本系列的后续文章,了解更多的分析技术,使您的程序更上一层楼.
