暴露管理通过分析攻击路径和身份信息,提高风险评估能力

安全公司分析攻击路径,寻找弱点身份,以找到妥协路径和需要更好控制的关键资产。
暴露管理通过分析攻击路径和身份信息,提高风险评估能力

安全姿态管理公司Cymulate在6月份宣布了一个威胁暴露管理平台,它从多种来源(包括公司的资产清单、漏洞、潜在的攻击路径和对手的战术)收集数据,以创建一个风险度量。上周,暴露管理公司Tenable宣布在其Tenable One平台中发布了以身份为中心的功能,可以分析Active Directory和Azure AD实例,找出基于身份的弱点,比如过度授权的账户、孤立的用户和异常的身份。

Tenable的首席产品官Nico Popp表示,让企业能够从当前的企业IT环境中分析组合的漏洞和身份数据,是衡量暴露程度的一个关键部分。

他说:“如果你把漏洞管理和身份暴露结合起来,那么你就可以做一些非常有趣的事情。两者结合起来让你真正能够像攻击者一样思考,横向移动你的环境,基本上到达你最重要的资产。”

暴露管理是一个相对年轻的行业细分,它由分析机构(如Gartner)的预测推动,这些预测认为企业将从漏洞管理、攻击面管理和特权账户管理转向更全面的管理他们对威胁的暴露能力。

对于组织来说,暴露管理承诺了更好的方式来保护他们不断变化的信息技术环境,因为攻击也在演变。关注漏洞和弱身份,以及验证某些弱点代表的威胁,可以帮助企业在被利用之前解决最关键的安全问题。

结合各种数据(比如漏洞的严重程度、受影响资产的价值和攻击者利用被入侵系统的能力)可以让企业更好地评估风险,Forrester Research安全与风险组的高级分析师Erik Nost说。

他说:“所有组织都在寻找清点他们拥有什么,并提供一些关于他们需要担心什么的视角。通过攻击路径分析,组织可以理解攻击如何被串联起来,一个资产上的漏洞如何与某个恶意软件家族相关联,以及如果这个盒子上存在一些身份被攻击者利用或冒充,那么攻击者就可以移动到其他盒子。”

曝光日益聚焦于身份

虽然漏洞管理公司有自然演变为曝光管理的趋势,但身份管理和特权访问管理(PAM)提供商也越来越向这个方向转变。通常,曝光管理是关于漏洞和错误配置的,但许多公司仍然存在由于过度授权的账户或拥有大量常驻权限的用户而造成的弱点。

这些也是漏洞,SailPoint Technologies产品执行副总裁Grady Summers说。

“很长一段时间,身份管理被视为一种合规性事务,”他说。“但现在客户说,‘你能不能给我展示所有过度授权的访问或孤立的访问或无关联的访问?’他们只是意识到他们对此有一个盲点。”

攻击面管理和攻击模拟公司也可能将他们的重点转移到曝光管理上。Cymulate,前身是一家入侵和攻击模拟公司,已经转变为持续威胁曝光管理(CTEM),这是一个由Gartner创造的缩写,作为一种扩展其对攻击面和漏洞验证的关注的方式,Cymulate首席安全倡导者Carolyn Crandall说。

“现在安全团队面临更多的威胁……(曝光管理)帮助他们通过更好地优先处理需要修复的漏洞来领先于攻击者,”她说。“现在有更大的压力来进行测试……(看看)我们是否得到了我们期望的结果,如果没有,我们如何快速理解并改变?”

添加攻击路径验证威胁

曝光管理的一个关键组成部分是验证特定的漏洞是否能够被攻击者到达和利用。为了确定一个关键资产是否处于风险之中,公司一直专注于构建攻击者可能通过环境采取的潜在路径,利用不同系统中的漏洞达到最终目标。这样的攻击路径验证了漏洞扫描、分析权限和身份以及衡量资产重要性的组合是否导致了可衡量的风险。

一个常见的攻击路径可能涉及利用Log4j的一个漏洞攻陷一个Web服务器,升级权限,然后访问一个数据库。使用模拟来确定这种攻击是否可行,有助于组织优先进行补丁和实施新的控制,Cymulate的网络安全架构师兼总监Mike DeNapoli说。

“我们可以以一种对生产安全的方式重现这种攻击——实际运行它并确定,‘这仅仅是可行的,但我们有控制措施来弥补这些缺口?’或者,‘这是验证过的,这是一个威胁行为者可以使用的攻击路径?’”他说。

通常,妥协身份是达到同样目的的一种更短的方式,这就是为什么它对曝光管理如此重要,Tenable的Popp说。

“如果有一个非常重要的客户数据库由Nico管理,而Nico是一个特权用户,但他的身份有很多弱点——也许他的密码在暗网上,或者他没有MFA(多因素认证)——那么这是一个风险,”他说。“如果Nico被妥协了,这是一种纯粹的身份攻击,那么我的客户数据库就会被妥协,因为攻击者现在可以冒充Nico,完全访问我的客户数据库。”

推荐阅读:

谷歌将把暗网监测扩展到美国所有 Gmail 用户

Rhysida勒索软件将目标对准医疗机构

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20