互联网协议(IP)地址及其背后的设备、网络服务和云资产是现代企业的生命线。但公司经常积累数千个数字资产,无序的状态给IT和安全团队造成了无法管理的混乱。如果不仔细地加以检查,一个被遗忘、遗弃或未知的数字资产对于公司来说就是网络安全定时炸弹。
为什么查看和管理网络中的每个数字事物都应是重中之重?这当中存在一种可能:它们是您组织基础设施中增长最快的部分。有效的数字资产管理——包括IP地址可见性——是您阻止攻击者对网络资产发动攻击的最基础也是最有效的途径。
在过去的二十年里,安全团队一直专注于解决内部资产风险。面向公众的数字资产和IP地址是“非军事化区”的一部分,“非军事化区”是一个防御的强化但非常有限的周边地区。但在全球大流行和随之而来的居家办公趋势的推动下,数字化转型随之而来,网络边界变得不再清晰,都需要让位于当今一切托管服务的现代架构。
过去两年的业务数字化转型引发了一场新的网络应用程序、数据库和物联网设备的海啸。他们为威胁组织创造了一个巨大的新攻击面,其中包括复杂的云原生IT基础设施。可能暴露的是数千个API、服务器、物联网设备和SaaS资产。
管理不善的数字资产是一颗定时炸弹。例如,在网络应用程序中存在巨大风险。在最近的CyCognito调查中,我们发现Global 2000组织平均每个组织有5000个暴露的Web界面,占其外部可能受到攻击表面的7%。在这些Web应用程序中,我们发现不乏开源JavaScript漏洞库问题,如jQuery、JQuery-UI和Bootstrap。SQL注入、XSS和PII暴露漏洞也不短缺。
任何面向外部的资产未知或管理不善,都可以被视为邀请对手破坏您的网络的机会。然后,攻击者可以窃取数据、传播恶意软件、破坏基础设施并实现持续的未经授权访问。
当我们与公司谈论他们的攻击面时,我们很少听到他们对掌握数字资产表示信心。许多公司仍然通过Excel电子表格跟踪IP地址,并反过来连接资产。这种措施是否高效?事实上这仅适用于最小的组织。ESG在2021年的一项研究发现,73%的安全和IT专业人士依赖他们。
数据安全是头等大事,这也是贵公司的皇冠珠宝。我认为,保护IP地址和连接资产应该采取更现代的管理方法,这样就可以在问题出现之前解决这些问题。
但即使是善意的公司也可能犯错误。假设企业服务台创建的内部票务系统只能通过内部URL访问。对手可能会利用URL的基础IP地址,并通过添加“:8118”来打开网络后门(或端口)。这就是为什么IP地址,包括端口、域和证书等相关技术,可能带来巨大的安全和声誉风险。
其结果可能是数字资产软点的墓地,这些软点经常成为对手的切入点,例如被遗忘或管理不善的DevOps或SecOps工具、云产品和设备Web界面。
在当今复杂的企业中,系统管理员通常只能看到他们负责管理的设备子集。如果资产不在您的雷达屏幕上,您将无法真正地降低风险。
在过去的12个月里,通过对CyCognito的客户群观察调研,我们看到组织内IP地址(和相关数字资产)的数量增长了20%。这一增长至少部分归功于云的采用以及对居住在公司网络的连接设备和Web应用程序的依赖。但经常被忽视的是,当公司增长或萎缩时,基础设施会蔓延。
例如,在绕过IP地址管理方面,合并和收购(并购)活动通常会让企业保持平稳。假设酒店集团收购了较小的竞争对手。当这种情况发生时,它还继承了一个由未管理和未知的IP地址和域组成的潜在雷区。
死亡域名和被遗忘域名——一种不同类型的数字资产——经常成为所谓的悬垂DNS记录的牺牲品,对手可以通过重新注册来接管被遗忘的子域名。这些子域以前连接到公司资源,但现在完全由不良行为者控制,然后可用于改变公司的网络流量,造成数据丢失和声誉损害。
同样,子公司的剥离可能导致基础设施被遗弃,成为孤儿数字资产和相关网络应用程序。这些被遗忘的资产经常被IT团队忽视,但绝对不会被机会主义黑客忽视。
更糟糕的是,不安全的端口使设备可以进行默认凭据攻击。毕竟,对于对手来说,要扫描和查找开放的端口,他们需要管理不善的云服务或IP连接的硬件。
最后,通过收购获得的不受管理的IT基础设施和资产可能会浪费宝贵的时间。考虑一下管理不善的IP地址如何向IT安全团队发送高度戒备状态,以了解为什么公司资产在它不开展业务的国家/地区被使用。
为了保护关键数据,阻止恶意软件感染并防止漏洞,部分答案是进行有效的数字资产管理以及提高IP地址可见性。太多的系统管理员仍然受制于这个过时的基于电子表格的资产管理系统。
此外,忽略攻击载体并仅检测已知资产中CVE的遗留扫描仪无法评估与公司内部大量数字资产相关的风险。例如,在之前的内部票务系统中——通过URL https://X.X.X.X[:]8118意外暴露在互联网上——该IP上的端口扫描充其量只能找到HTTP服务。扫描仪肯定不会理解曝光的背景和关键性。公司拥有的云资产上意外打开目录也是如此,尽管这些目录可能包含员工凭据和TB的敏感数据。
当然,默认情况下,数字资产并不危险。相反,风险与IT堆栈的管理以及系统管理员处理与预置、非预置、托管和非托管服务绑定的众多连接应用程序的能力有关。
难题摆在公司的面前:“你如何管理你不知道的东西?”
实施网络分割,零信任解决方案和积极的IP和端口扫描,以及资产发现,都是对减轻威胁问题的必要响应。但这些解决方案并没有100%解决问题。
这就像根据20%的居民的检测,给社区一份干净的新冠肺炎健康法案。没有其他80%的测试,你真的不知道自己是否安全。即使对90%的攻击表面进行完美的漏洞管理,当10%可能看不见和不受管理时,这也不是无关紧要的事。
与低效的发现工具相关的成本和修复发现问题的IT资源有限也是有效攻击表面管理的障碍。
攻击表面管理需要围绕“发现”暴露的关键资产的新心态。持续发现那些大规模攻击者抵抗力最小的路径,加上安全测试和将宝贵资产被盗的风险联系起来,至关重要。CyCognito正在围绕暴露和风险管理与缓慢、有限范围和昂贵的漏洞管理开拓这个想法。
想象一下,看到您的整个攻击表面——以及您的子公司的攻击表面——并能够根据风险简介对修复进行优先排序,该风险简介告诉您特定资产被黑客入侵的概率。在数字资产的背景下,了解您的整个IP环境并优先考虑需要首先解决的问题,可以大大有助于实现更安全的IT环境。
大局?对手总是寻求阻力最小的道路。他们避免了更难的攻击路径,因为它们往往很吵,增加了后卫检测和响应的风险。现代外部攻击表面管理方法应该利用资产补救优先级相同的最不耐药性路径原则,同时减少回收(MTTR)的时间,并回答以下问题:“我们安全吗?”
Rob Gurzeev是外部攻击表面管理公司CyCognito的首席执行官兼联合创始人。他是一名进攻性安全专家,专注于提供网络安全解决方案,帮助组织找到并消除攻击者利用的路径。
参考及来源:https://threatpost.com/digital-asset-tsunami/179917/