近日工商銀行、波音公司、迪拜環(huán)球港務(wù)集團(tuán)等巨頭因未能及時(shí)修復(fù)暴露資產(chǎn)的高危漏洞或錯(cuò)誤配置而接連遭遇勒索軟件攻擊，再次凸顯了攻擊面管理（ASM）的重要性。

根據(jù)Sevco最新發(fā)布的《2023年企業(yè)攻擊面調(diào)查報(bào)告》11%的企業(yè)IT資產(chǎn)缺少端點(diǎn)保護(hù)，15%的IT資產(chǎn)未被企業(yè)補(bǔ)丁管理解決方案覆蓋，31%的IT資產(chǎn)未被企業(yè)漏洞管理系統(tǒng)覆蓋。中小企業(yè)的情況更糟，未使用托管安全服務(wù)的中小企業(yè)中，21%的IT資產(chǎn)缺少端點(diǎn)保護(hù)。

攻擊面管理是加強(qiáng)主動(dòng)防御能力的關(guān)鍵所在，但對于大多數(shù)企業(yè)（尤其是中小企業(yè)）來說，隨著數(shù)字化和云計(jì)算應(yīng)用的不斷深入，資產(chǎn)增長、遷移、變動(dòng)加劇，提高攻擊面可見性變得越來越有挑戰(zhàn)性。雪上加霜的是，很多企業(yè)安全團(tuán)隊(duì)往往缺乏足夠的人才和預(yù)算實(shí)施成熟的商業(yè)攻擊面管理解決方案。

為了幫助缺乏足夠資源的企業(yè)提高攻擊面管理能力，本文我們將介紹“DIY”攻擊面管理方案的工具和方法。

如何修補(bǔ)和強(qiáng)化未知資產(chǎn)？

今天，企業(yè)的資產(chǎn)規(guī)模不斷擴(kuò)大，除經(jīng)營實(shí)體外，還蔓延到云和第三方托管設(shè)施。不同規(guī)模的企業(yè)資產(chǎn)，例如域名、子域名和企業(yè)IP地址范圍內(nèi)的資產(chǎn)數(shù)量動(dòng)輒數(shù)千、數(shù)十萬甚至數(shù)百萬不等。

臨時(shí)的錯(cuò)誤配置或暴露可能隨時(shí)出現(xiàn)，雖然可以很快修復(fù)，但檢測難度很大。因此，攻擊面管理工具必須有極高的可擴(kuò)展性和速度，才能平衡可接受的準(zhǔn)確性損失水平，縮短查找資產(chǎn)和檢測短暫風(fēng)險(xiǎn)的時(shí)間。對于數(shù)百萬資產(chǎn)規(guī)模的攻擊面，傳統(tǒng)的慢速掃描已經(jīng)過時(shí)了。

攻擊面管理可以看作是一種遞歸發(fā)現(xiàn)練習(xí)，不斷地以新知識(shí)（信息）為基礎(chǔ)來識(shí)別更多的資產(chǎn)和組織環(huán)境。通常只需一個(gè)初始域名或“種子數(shù)據(jù)點(diǎn)”即可開始。

用于發(fā)現(xiàn)資產(chǎn)的許多數(shù)據(jù)源可以完全被動(dòng)地運(yùn)行，且無需與目標(biāo)組織的基礎(chǔ)設(shè)施交互。

在執(zhí)行基本的資產(chǎn)發(fā)現(xiàn)任務(wù)時(shí)，企業(yè)安全團(tuán)隊(duì)需要回答一些初始問題：

外部攻擊者如何觀察我的企業(yè)？例如歷史收購、垂直行業(yè)、歷史事件等，以及：

• 我的企業(yè)控制多少個(gè)域名？
• 我的企業(yè)有多少個(gè)子域名？
• 我的企業(yè)有多少個(gè)網(wǎng)段？
• 資產(chǎn)分布在哪些云提供商上？
• 在已發(fā)現(xiàn)的資產(chǎn)中，有多少擁有活躍的DNS記錄？
• 在發(fā)現(xiàn)的資產(chǎn)中，有多少擁有開放端口/可定位服務(wù)？
• 其中有多少資產(chǎn)已登記在資產(chǎn)清單中？

安全團(tuán)隊(duì)可以通過無數(shù)途徑來獲取企業(yè)的攻擊面信息，可謂“條條大道通羅馬”，這也意味著企業(yè)完全可以DIY自己的攻擊面管理用例。

如何用開源工具DIY攻擊面管理方案

攻擊面管理如今已經(jīng)從“小眾”網(wǎng)絡(luò)安全市場迅速成長為大多數(shù)企業(yè)安全策略的“剛需”和重要組成部分。用戶市場關(guān)注度的飆升推動(dòng)了攻擊面識(shí)別方法和技術(shù)的創(chuàng)新和研究。大量的開源工具套件已被開發(fā)出來，可通過SaaS平臺(tái)甚至第三方專業(yè)人士提供攻擊面管理服務(wù)。

企業(yè)可以使用開源命令行工具快速深入了解其攻擊面的全貌，這些工具可用于搭建簡單、可重復(fù)和可擴(kuò)展的攻擊面管理工作流程，幫助識(shí)別資產(chǎn)邊界變化。

如果企業(yè)無法獲得商業(yè)攻擊面管理供應(yīng)商的支持，那么利用開源工具自行搭建這些工作流程和方案也可以支持許多安全用例，其效果和競爭力甚至不比某些付費(fèi)工具差。

以下是企業(yè)可以使用流行開源工具輕松創(chuàng)建的安全用例：

• 發(fā)現(xiàn)與企業(yè)主域名關(guān)聯(lián)的子域名：使用開源工具（例如Project Discovery的subfinder）可以從各種被動(dòng)數(shù)據(jù)源（例如證書透明度）獲取信息，以識(shí)別與域關(guān)聯(lián)的歷史和當(dāng)前子域。
• 通過活動(dòng)DNS記錄識(shí)別企業(yè)的全部資產(chǎn)：使用開源工具（例如Project Discovery中的dnsx或ZMap Project中的zdns）可以深入了解各種查詢類型中具有當(dāng)前DNS記錄的資產(chǎn)。此外，通過當(dāng)前A/AAAA/CNAME記錄識(shí)別資產(chǎn)可以使組織確定資產(chǎn)的優(yōu)先級(jí)，以進(jìn)行額外審查和進(jìn)一步豐富。
• 識(shí)別企業(yè)所有活躍的Web應(yīng)用程序：使用Project Discovery中的httpx或ZMap Project中的zgrab2等開源工具可以識(shí)別Web應(yīng)用程序及其關(guān)聯(lián)的Web框架并對其進(jìn)行指紋識(shí)別。此外，創(chuàng)建包含常見標(biāo)頭信息（例如HTTP服務(wù)器、HTTP標(biāo)題、圖標(biāo)哈希值）的易于閱讀的CSV/JSON文件并存儲(chǔ)Web應(yīng)用程序響應(yīng)，可以輕松識(shí)別某些攻擊技術(shù)以響應(yīng)新披露的漏洞。
• 識(shí)別常見的文件泄露和錯(cuò)誤配置：使用Project Discovery中的nuclei等開源工具，企業(yè)可以快速評估其面向公眾的Web應(yīng)用程序是否存在常見的錯(cuò)誤配置和高風(fēng)險(xiǎn)文件泄露（例如配置文件）。確保根據(jù)可接受的風(fēng)險(xiǎn)級(jí)別適當(dāng)?shù)貙彶槁┒茨０濉Ｓ行┞┒蠢檬乔秩胄缘模赡軙?huì)留下痕跡。

上述用例未必是識(shí)別某些特定資產(chǎn)類型的最全面或最有效的方法，但足以幫助企業(yè)輕松建立一個(gè)初始的可重復(fù)機(jī)制，用來發(fā)現(xiàn)企業(yè)資產(chǎn)邊界的盲區(qū)，確定需要改進(jìn)的地方。

最后，大多數(shù)企業(yè)經(jīng)常在第三方網(wǎng)站和代碼托管平臺(tái)（例如GitHub）上存放重要資產(chǎn)，這些網(wǎng)站和代碼托管平臺(tái)可能會(huì)無意中公開暴露敏感信息。如果機(jī)密信息掃描儀沒有及時(shí)發(fā)現(xiàn)和標(biāo)記這些敏感信息，將導(dǎo)致憑證和敏感信息的長期暴露。

企業(yè)可以使用GitHub事件API開源工具實(shí)時(shí)監(jiān)控可歸因于其主域名的公共GitHub提交，從而保持領(lǐng)先一步。雖然這不是檢測企業(yè)機(jī)密信息泄露的完整方法，但與GitHub預(yù)提交掛鉤和更廣泛的安全策略結(jié)合使用時(shí)，可以顯著縮短修復(fù)信息漏點(diǎn)的時(shí)間并改善整體安全狀況。

總之，大量收集企業(yè)資產(chǎn)相關(guān)信息只是一個(gè)起點(diǎn)，企業(yè)應(yīng)該建立持續(xù)的監(jiān)控和評估機(jī)制，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)，及時(shí)發(fā)現(xiàn)和響應(yīng)安全事件，定期評估安全策略的有效性，并根據(jù)評估結(jié)果進(jìn)行調(diào)整優(yōu)化。