隨著ChatGPT的問世,全球各行業與企業加速邁向數位轉型,在COVID-19疫情的推波助瀾下,這股浪潮更成為改變未來的「科技奇點」。然而,企業投入數位轉型後,越來越多的資源流向新一代的數位科技,例如網路和雲端。這意味著企業的數位資產數量與多樣性正在增加,蘊含的可利用價值也越高,而資安風險威脅也隨之增加。因此,必須思考如何快速精確地掌握攻擊表面管理能力,以降低企業面臨的資安風險。
在這樣的背景下,攻擊表面管理(Attack Surface Management,ASM)應運而生。它採用更先進的方法,針對企業數位資產和系統進行全面的風險掌控和管理,以降低企業面臨的資安風險。ASM技術提供完善的攻防情報,能夠提供企業資安團隊近乎同時的問題探知與覺察反應的效果,幫助企業全面掌握自身資產狀態,降低資產面臨的攻擊風險,提高資產的可見性和掌握度,減少安全事件對企業的損失。因此,我建議企業應採用ASM技術,從提高資產的可見性和掌握度、整合多種安全技術、建立全面的安全意識等方面入手,降低未知資安威脅對企業造成的風險和損失。透過ASM技術,企業可以更有效地應對現今數位型態的戰爭。
數位資產曝險危機升溫,ASM成為資安焦點
俗諺說:「土水師父怕抓漏」,房屋漏水問題常讓人煩惱,即使是經驗豐富的土水師父也很難找出漏水根源。同樣地,資安工作人員也有類似的抓漏困擾,只是他們面對的是企業數位結構上的問題。現今企業數位結構如同一個多面向的數位體系,由許多的數位資產提供服務並運作,隨著數位資產的不斷增加與複雜變化,數位資產層面的問題更難被發現,而這些是造成企業數位結構安全漏洞和滲透的肇因。
ASM是基於資安曝險管理下的一種資安管理方法論,由國際資訊安全業界的專家及資深研究人員提出,逐漸成為現今企業資安管理的主流,目的是協助企業評估、管理並減少其資訊系統所面臨的攻擊面。Gartner在2018年首次提出ASM的概念,並在《2022年網路安全主要趨勢報告》將其列為首要技術,同時,也是資安曝險管理的第一個支柱。
之所以ASM受到關注,原因在於,近年全球數位化的發展急速推升,促使企業在數位化轉型過程中產生了更多的數位資產,包括公司網站、域名、電子郵件、軟體應用、網絡系統、資料庫、雲端服務、行動應用、網站、社交媒體賬戶等不勝枚舉,而這些數位資產不僅分布在地端的企業數據中心機房,更多的是散布在網際網路及多個雲端。企業的數位資產多數蘊含有企業的核心業務資訊、客戶敏感資訊、商業機密、金融資訊等具有高度可利用的價值性,但是,也同時存在未知的漏洞,並且可能成為資安破口導致資料外洩、服務中斷、系統癱瘓、網站被駭客入侵等安全事故。ASM的目的就是透過對企業數位資產的全面監控與評估,找出並關閉存在的漏洞和風險,以最大限度地減少企業所面臨的資訊安全威脅。
去年上半,在市場調查研究機構Gartner《2022年網路安全主要趨勢報告》中,將攻擊表面(Attack Surface)的擴張列為7大主要技術趨勢之首,並在另一份持續威脅暴露管理(Continuous Threat Exposure Management,CTEM)計畫實施的建議裡面,該機構將這項因素列為資安曝險管理的第一個支柱。圖片來源/Gartner
別讓數位資產成為企業資安的破綻
企業資安工作的核心是「知己知彼」,其中「資產管理」是最重要的任務,因為這是基礎工作。資產管理在各種資安管理方法中,都佔有重要的地位,例如,ISMS規範或是NIST CSF資安框架都明確強調其重要性,以及資產與風險之間的關聯性。
然而,現今的數位資產並不像傳統的資訊資產,是固定、有形、可見的型態,尤其在網際網路及雲端等數位環境上,數位資產的變化更加難以掌握。如果企業的數位資產失去管理維護,就容易存在不當設定、過期、脆弱化、可利用等風險因子,進而導致企業資安防護上的許多問題,而這些問題往往是在未知或未察覺的情況下被駭客利用。
為何攻擊表面管理能在因應這些風險威脅時,提供協助?基本上,它是一種技術原理,透過持續的監測和漏洞掃描企業的數位資產,發現和修補攻擊面上的漏洞和弱點,以降低企業遭受攻擊和損失的風險。此外,ASM還能幫助企業識別和發現數位資產的位置、範圍、外部威脅和風險,甚至是相關的暗網威脅情報,並且更聰明地、更快速地針對企業存在的攻擊表面,進行全面監測管理。
ASM的優勢特點,包括:全面性、即時性、可擴產性、高效性,與傳統資安檢測方法相比,ASM能夠改善傳統資安檢測方法所存在的不足,例如缺乏直觀統合報告、分析斷層等問題,不僅具備高效率,還能降低企業遭受攻擊。
就效益來看,ASM能夠幫助企業降低風險,因為在攻擊發生之前,若能早一步檢測出可能存在的漏洞和弱點,及時進行修補,即可減少企業遭受攻擊的機會。此外,因為它能夠自動執行數位資產的監測和漏洞掃描,提供圖解形式的報告和分析結果,讓企業資安團隊更加聰明、快速地識別和解決問題,提高資安運營效率,並且快速擬定資安防護的策略。
根據Qualys的研究分析,隨著過去十幾年來的數位轉型,以及過去兩年遠距/混合工作模式的增長,大多數組織必須管理的攻擊面資產數量呈指數級增長,以目前而言,有52%的企業IT所要管理的資產,超過10,000 項。圖片來源/Qualys
用駭客思維來洞察數位資產的安全風險
近年來,駭客思維已成為企業資安檢視的主要方法之一,運用於滲透測試、紅軍演練和BAS攻擊模擬等作業,皆以駭客的角度來探測企業資安的真實狀況,旨在找出潛藏的威脅面向。
然而,企業擁有大量、多樣的數位資產,也意味著企業受到資安攻擊的表面增加,曝險的機率也提高。因此,利用ASM方法來幫助企業達成高效、即時且全面進行的數位資產管理,透過此一資訊情報則更能洞察出潛藏未知的風險,例如影子資產、不當的設定、未修補的漏洞、有問題的供應鏈,或是已經曝險於黑市的企業數位資產等。
目前,ASM方案有3大領域,分別是外部攻擊表面管理(EASM)、網路資產攻擊面管理(CAASM)、數位風險保護服務(DRPS),其中以EASM最廣泛,多用於企業對外的網站應用服務安全檢測。然而,作為一名資安專家,我建議企業應該以數位資產管理為重點來思考資產的屬性特質,而不是抱持「外部的世界才比較危險」或「駭客都是從外面打進來」的想法。
基本上,EASM對於安全管理的重點,在於企業在外部網路環境所呈現的「表面」,如DNS、Domain Name、Cloud、CDN、API等構成Web服務的元素。其實,面對現今的網路世界,我們可以用「數位生態系統」來想像:大量的企業數位資產之間,往往以供應鏈進行複雜的交互連結,從而產生各種的數位活動,以提供各種應用服務。此時若企業仍秉持舊的思維,就容易發生「見木不見林」的盲點,因為當企業汲汲營營於眼前的一個問題時,駭客很可能正從企業所未著眼的面向悄然而入。
除了EASM,CAASM和DRPS同樣是非常重要的資安領域。CAASM能對企業內部網路進行安全測試和管理,DRPS關注於企業數位資產在網絡外部的安全風險,例如,黑市所販售的敏感資訊、社交媒體上的誹謗行為等等。綜合上述三個方面的攻擊表面管理方案,我們可以對企業的數位資產進行全面的風險評估和管理。
然而,ASM並不是萬無一失,仍需不斷加強與改善。尤其是當企業數位資產逐漸向雲端、物聯網等新技術轉移,ASM的應用也需要相應地進化。此外,由於ASM的運用需要相當高的技術水平和豐富的經驗,因此,當企業在進行資安管理時,最好能夠借助專業資安團隊的支援。
外部攻擊表面管理(EASM)方案的主要應用涵蓋面相當廣泛,相較於傳統檢測方式來說,能夠幫助企業關注到更具資安敏銳度的領域。圖片來源/CybelAngel
如果我們以外部攻擊表面管理(EASM)的角度來檢視企業網站的風險性,能夠一口氣盤點不同型態的數位資產,包括已知、未知、假冒、及第三方的資產,以此為企業資安團隊提供更豐富的情報。圖片來源/SOCRadar
先知先覺,上兵伐謀
現今的資安已經是數位型態的戰爭,這種型態的戰爭雖然是無形,也不見血光,卻是無時無處都需要提防,而且,輕易就能扼殺企業辛苦經營成果。作為資安專家,我們必須加強資安防禦,盡可能透過「先知先覺」的策略來預防攻擊,避免企業的損失。
此處所提到的ASM並非是嶄新的資安技術方法,不過對於今日的數位環境所面臨的資安問題,確實能起到更好的幫助。透過貼近駭客思維的方法所進行的資安檢測具有更完善的攻防情報,對於企業的資安團隊在防護策略上,能夠達到與駭客近乎同時的問題探知跟覺察反應,實現「先知先覺」效果。
如孫子兵法所說「上兵伐謀」,我們必須破壞敵方的計謀,讓對手無從下手或者改變攻法,ASM能幫助企業更為主動積極發覺各路可能的攻擊面向,對於企業資安能量有限的情況下,可以更有效率地動態調度配置各項資安防禦作業與資源投入。
整體而言,ASM可以幫助企業全面掌握本身的資產狀態、降低資產面臨的攻擊風險、提高資產的可見性和掌握度、減少安全事件對企業的損失。未知資安威脅仍然是企業無法掌握的風險之一,但是企業可以運用ASM技術,從提高資產的可見性和掌握度、整合多種安全技術、建立全面的安全意識等方面入手,降低未知資安威脅對企業造成的風險和損失。
另外,資安防護不僅是技術的問題,更是一個完整的生態系統,需要企業內部各單位的積極參與和協同合作,從而實現全面的資安管理。因此,企業需要建立一個完善的資安管理體系,制定相應的政策和準則,並且持續進行培訓和教育,以便提高員工的資安意識和技能水平。
最後,我想強調,資安防護是一個持續進行的過程,需要企業保持高度警覺和積極因應,從而能抵禦不斷變化的資安威脅和攻擊手段。為能達成此目標,企業需要持續學習和更新資安知識,採用最新的技術和工具,並且建立有效的應急機制,以及定期進行測試和演練,以應對突發事件的來臨,及時恢復系統運作。文⊙懷生數位處長黃繼民
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29