作為一家全球咨詢和科技公司,埃森哲深知攻擊面會迅速擴大并暴露于網(wǎng)絡(luò)威脅之下的風(fēng)險。
“我們一直以來都有很強的安全態(tài)勢,但隨著公司的發(fā)展,我們注意到防御體系中存在一些弱點。”埃森哲的CISO Kristian Burkhardt表示。
為了實現(xiàn)對其IP資產(chǎn)的全面可視化,埃森哲將多種技術(shù)整合到一個定制的ASM(攻擊面管理)項目中。Burkhardt將該項目描述為“將一套工具整合到一個流程中”,該流程結(jié)合了滲透測試、定制掃描和攻擊模擬,并融入了人類的創(chuàng)造力與團隊合作。
全面攻擊面可視化的必要性
Burkhardt指出,要構(gòu)建一個攻擊面管理框架,企業(yè)首先必須具備以下條件:
• 技術(shù)衛(wèi)生——確?;A(chǔ)設(shè)施、云資源和工作站經(jīng)過正確配置、打補丁并強化防御,以抵御攻擊。
• 強大的資產(chǎn)管理——了解所有資產(chǎn),知道它們的位置,并確保它們處于適當?shù)闹卫碇隆?/p>
“如果技術(shù)衛(wèi)生和資產(chǎn)管理不到位,會影響攻擊面管理的實施,”Burkhardt說,“在埃森哲,這些工作都做得很好,但這并不能完全防止邊緣案例和獨特的攻擊場景。”
和大多數(shù)企業(yè)一樣,埃森哲擁有標準的防御措施來檢測和阻止大部分自動化攻擊:終端保護、防火墻、電子郵件過濾、多因素身份驗證、補丁和配置管理、URL屏蔽等。
盡管埃森哲成功保護了超過99%的資產(chǎn)免受威脅,但由于并購帶來的攻擊面擴展,99%的防護已經(jīng)不再足夠。
Burkhardt和他的團隊首次在進行眾包滲透測試時注意到其安全態(tài)勢中的漏洞。測試發(fā)現(xiàn)了一些小問題,這些問題是常規(guī)工具無法檢測到的,例如Apache中的默認密碼或GitLab或WordPress的弱配置,Burkhardt解釋道。
“滲透測試讓我們意識到,有些途徑可以進入我們的網(wǎng)絡(luò),而商業(yè)漏洞掃描器永遠無法發(fā)現(xiàn),”他說,“我們知道我們必須做得更好。”
多元化的ASM技術(shù)與團隊合作
2023年年中,埃森哲的信息安全團隊開始開發(fā)自己的工具,并開展定制活動,作為其攻擊面管理項目的一部分。
該項目將內(nèi)部開發(fā)的工具與埃森哲購買并定制的第三方工具相結(jié)合,以針對特定漏洞進行掃描。
“我們制定了所有流程、嚴謹性和紀律,以確保安全團隊正在修復(fù)其應(yīng)當修復(fù)的問題。”Burkhardt說。
構(gòu)成埃森哲攻擊面管理(ASM)項目的技術(shù)和流程包括:
• 眾包滲透測試:針對關(guān)鍵應(yīng)用進行測試,為漏洞專家提供發(fā)現(xiàn)埃森哲弱點的機會,確保壞演員未能先行。安全團隊分析測試結(jié)果,修復(fù)問題,并防止類似問題再次出現(xiàn)。
• 威脅情報響應(yīng):應(yīng)急響應(yīng)能力,使埃森哲能夠快速發(fā)現(xiàn)環(huán)境中的新漏洞,從而針對性地進行修復(fù)。
• 定制開發(fā)的高級檢測和復(fù)雜獵殺能力:這些能力在軟件配置中創(chuàng)建,是市售產(chǎn)品無法發(fā)現(xiàn)的。例如,這些工具能夠識別使用默認密碼的第三方平臺,從而形成漏洞。
• 監(jiān)控埃森哲的互聯(lián)網(wǎng)足跡:確保公司IP資產(chǎn)得到識別和清點,包括埃森哲的域名和IP以及新收購公司的IP清單。
• 管理埃森哲的外部聲譽:第三方聲譽供應(yīng)商消除誤報,并驗證埃森哲的安全檢測工具和流程是否正常運作。
• 侵入和攻擊模擬:該工具旨在持續(xù)檢測和防護已知威脅。如果攻擊者在埃森哲的某項服務(wù)上占據(jù)立足點,該工具將測試攻擊者實際能夠達到的程度,并在其移動時進行跟蹤。
更早發(fā)現(xiàn)漏洞并防止攻擊
根據(jù)Burkhardt的說法,定制的攻擊面管理程序的兩個主要目標是防止攻擊和提高在攻擊期間的響應(yīng)速度。
“這兩個領(lǐng)域我們確實都有所改善,”他說,“我們現(xiàn)在對最后1%的IP空間有了可視化。證明在于,我們沒有被攻擊者未被察覺地訪問我們不知存在的系統(tǒng)所打擊,這一年多以來一直沒有發(fā)生過。”
Burkhardt描述了一個真實場景,埃森哲的快速響應(yīng)流程發(fā)現(xiàn)并阻止了由新收購公司引發(fā)的漏洞。
“公司在完成收購時必須實施的一個控制措施是,所有遠程訪問必須啟用雙因素認證。”他說。
“這家特定公司遵守了這一規(guī)定并簽署了交易,但當我們用工具掃描他們的IP地址空間時,發(fā)現(xiàn)了一種非商業(yè)性的遠程訪問工具,該工具存在攻擊漏洞。公司甚至不知道自己在使用這個工具。我們能夠在攻擊者發(fā)現(xiàn)之前將其關(guān)閉,從而避免了未來可能遭受攻擊。”
憑借其定制的ASM項目,埃森哲榮獲了2024年CSO獎,該獎項旨在表彰在安全項目中展現(xiàn)出卓越思想領(lǐng)導(dǎo)力和業(yè)務(wù)價值的項目。
展望未來:將AI注入攻擊面管理
通過威脅情報源搜索漏洞和滲透測試人員模擬針對埃森哲的攻擊,ASM項目形成了Burkhardt所稱的“良性循環(huán)”,這一循環(huán)不斷強化其攻擊面,同時確保安全團隊及時掌握信息。
展望未來,Burkhardt正致力于如何將人工智能集成到ASM項目中。
“AI可以學(xué)習(xí)如何分析我們的威脅情報和滲透測試結(jié)果,以執(zhí)行更高級、更快速的攻擊測試。”Burkhardt表示。
遺憾的是,他補充道,威脅行為者也了解這一點,并且他們也在使用AI。
“目前正在進行一場AI軍備競賽,威脅行為者可能占據(jù)了上風(fēng),”他說,“像我們這樣的防御者需要迎頭趕上。”
企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國內(nèi)主流的to B IT門戶,旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。