什么是外部攻击面管理?绝对新手指南
外部攻击面管理(ASM)External attack surface management (ASM)是一个发现、列出、分类、分析、确定优先级和监控所有可能在互联网上收集的信息的过程,并通过搜索外部数字资产将敏感数据通知您的组织。
一个有用的ASM在互联网上跟踪您的整个数字足迹,发现并收集与您的公司有关的信息。但这可能是太多的信息,也可能是没用的信息。这就是为什么这些信息不是与你的公司共享,而是首先被 分析和分类 。在这一步之后, 将根据信息的敏感性对其进行优先级排序 。最后,监控是最后一步。
简而言之,攻击面就是攻击者在研究脆弱组织的威胁时所能发现的一切。
要管理这种动态攻击接口,组织必须确保他们拥有正确的安全控制,以减少攻击表面中攻击者可以利用的漏洞数量。这可以通过使用网络安全工具来最小化组织容易受到网络攻击的地方。
然而,这并不是不可能将一个组织的目标区域的巨大规模纳入观点;它只是需要以一种新的方式来看待它。通过主动映射数字足迹,监控在线通道的攻击指标,快速化解识别的威胁,并保护客户、员工和网络,可以进一步减少攻击面。为了保证组织的安全,重要的是要了解基础设施暴露和易受攻击的方式,然后对有助于减少攻击的活动进行优先级排序。一旦您了解了什么是网络攻击,它涉及什么,以及您自己的攻击范围有多大,安全专家就可以开始缩小您的基础设施可能受到的攻击类型。
ASM结合了先进的互联网数据情报和分析,以加快调查,了解攻击面,并采取行动应对数字威胁。持续安全监控是针对第三方可信任数字资产的攻击区域管理。ASM工具提供了对这些资产的洞察和可见性,以发现和监视Internet上与您的组织相关的一切,从而聚焦于您的攻击表面的巨大规模。
这种实时可见性对于违反攻击表面的风险至关重要,攻击表面是动态的和高度复杂的,因为它是任何组织的安全策略的关键组成部分。
因此,重要的是监控攻击面,以检测和管理攻击者在互联网、移动和云环境中的目标资产。您可以通过主动映射您的数字足迹、监控在线渠道的攻击指标、快速缓解已识别的威胁并保护您的客户、员工和网络,从而进一步减少攻击面。智能威胁接口管理还可以帮助您的IT安全团队从危机管理人员转变为真正的安全分析师,他们的见解可以保护您的底线。通过增加数字攻击区域的可见性和减少您的业务暴露,您可以找到并监视Internet发布的所有资产。
组织可以通过不断管理和减少攻击面来主动干预防御,使攻击者越来越难以成功。他们可以通过使用ASM来提高自己的安全地位;通过在云计算中使用可信和真实的欺骗来改进攻击面,从而降低风险。
您可能已经在网络周围设置了一个保护整个系统的边界,但是一个受控的攻击面可以帮助您避免当今组织面临的一些最常见的网络安全风险。对网络进行分割是有意义的,因为分割可以增加攻击者在试图通过网络时遇到的障碍数量,从而帮助减少攻击区域。通过定义软件的范围,您可以在网络边缘识别和阻止潜在问题,以免它们到达攻击面。减少新出现的端点攻击影响的另一个关键是使事件在端点处更可见。
良好的外部攻击面管理产品全天候监控所有系统,以发现新发现的新的安全漏洞。实时可见性对于检测攻击对企业中在线运行的一系列网络、软件、协议和服务的攻击表面的影响至关重要。考虑到在线业务中的网络、软件协议和服务的数量和复杂性,可能很难确定哪些部分的攻击是入侵和入侵的来源。伤害风险的识别是动态的、高度复杂的,其特点是需要探索几个复杂的领域,如网络基础设施、网络安全、数据安全和网络管理。
对于今天的组织来说,管理攻击面本身可以最大限度地减少对手利用漏洞的机会,并有助于防止数据泄露。
攻击接口是攻击者进入环境的点或向量,它仅仅是攻击者进入设备或网络并提取数据的所有可能方式的列表。换句话说,攻击接口可以描述为不同点的集合,未经授权的用户可以在这些点上渗透IT环境。攻击者可以从几个方面试图渗透环境,例如访问网络、从远程位置访问或通过网络连接访问。
攻击面描述了攻击者可以进入系统并访问数据的各个点。简单地说,攻击面包括攻击者可以利用来进行成功攻击的组织的网络环境,包括协议、接口、软件和部署的服务。它是暴露给企业的资源。
在现代公司中,攻击面是大规模的和超维的,鉴于当今数字环境的复杂性,我们开始更好地理解与外部攻击面管理相关的挑战。
攻击面可分为4组。所有攻击面可以是这4组中的至少一个。
攻击面是指任何对互联网开放并可被攻击者利用的资产,如域基础设施、网站服务、云技术等。它可以被描述为一个组织的网络接口、它的网络基础设施和资源。综上所述,攻击面包括:
已知资产: 已知资产是指网站、服务器等公司注册管理的资产。
未知资产: 未知资产就像为了营销目的而被安全 团队遗忘的域名 ,或者开发团队遗忘在存储库中构成未知实体的 一些敏感数据。
假冒资产: 恶意基础设施,如虚假域名,恶意社交媒体帐户看似属于公司,但由攻击者创建。
第三方资产: 攻击面最终不只是针对拥有资产和公司的公司。公司网站上的第三方javascript脚本或用于定位其资产的托管服务器是公司数据交换生态系统中攻击面的一部分。
要管理外部攻击面,首先需要识别所有对互联网开放的资产。发现阶段很重要,因为公司有许多他们不知道或忘记的资产,以及他们知道和管理的资产。例如,为了营销目的而打开的一些促销页面可能忘记关闭,或者没有通知安全团队。任何被遗忘或未进行安全配置的资产都可能对公司造成危害。因为攻击者总是更喜欢攻击公司而不是非托管资产。
另外,一些暴露的被攻击者用来模仿公司的PII(个人身份信息)数据和资产,如网站、sm账户等,也可以在外部攻击面管理的第一步被检测出来。
连接到公司资产的第三方应用程序或供应商也会出现在发现阶段,在这种情况下,它会扩大您的攻击面,因为它包含在公司的生态系统中。
发现过程从简单的扫描提供的IP地址和子网到更全面的OSINT(开源情报)和暗网浏览。
一些安全解决方案要求组织提供数据清单,以监控和管理外部攻击面,或在公司内部进行一些定位。
SOCRadar仅以域名地址作为输入,用于发现组织的攻击面。由于采用了先进的搜索方法,它使用OSINT方法在表面网、深层网和暗网上探索整个资产清单,而不触及和破坏公司的任何资产。
在发现资产之后,应该根据资产的类型、技术特征、业务关键性和遵从性需求,创建具有正确标签的库存。
组织需要不断更新的资产维护和保护。但是,每个部门管理的资产类型是不同的。例如,当网络团队想要监控DNS记录的变化时,社交媒体帐户的管理可能会在营销团队之下。希望能够快速访问其管理的资产的负责人。正因为如此,创建一个正确分类的库存是很重要的。
SOCRadar通过将资产分类到不同的类别,提供了对资产的轻松访问。它还具有一种授权机制,可以通知不同的人,这些人负责监视每个资产期间发生的发现。
在数字世界中,组织的资产不断更新,随着资产清单的增加,安全团队很难跟踪更新的资产。还有很多第三方应用程序在资产上运行,每天都有数百个容易被利用的安全漏洞在这些应用程序上发布。因此,必须确保对数字资产进行全天候监控,以发现新发现的漏洞和错误配置。
SOCRadar旨在持续监控检测到的资产,通知安全团队公司内部的任何误解或配置,并识别可能的攻击活动。通过漏洞跟踪模块,可以在攻击面内检测到具有弱点的应用程序。
持续安全监控涵盖由您的组织或授权的第三方操作的已知和未知数字资产。然而,攻击的范围远不止于此,还包括网络罪犯创建的恶意或欺诈资产。
这包括滥用你的商标或信誉的钓鱼网站,假装属于你的移动应用程序,或社交网络上的虚假账户等数字威胁。
因此,持续监视恶意实体和事件对于确保针对组织的攻击载体的整体可见性至关重要。
SOCRadar通过将海量数据点聚合并关联到可采取行动的情报警报中,构建了即时网络钓鱼领域识别、全互联网扫描和受损证书检测技术。
组织需要外部攻击面管理,以识别其数字资产可能出现的风险,并采取相关行动。
ASM帮助客户以自动化的方式获得关于未知外部数字资产严重性的额外可见性和上下文。通过SOCRadar先进的全互联网监控算法,AttackMapper为安全团队提供了对所有正在使用的面向互联网的技术资产以及IP、DNS、Domain和密码基础设施的资产的直接可见性。
SOCRadar只使用主域名地址信息来检测公司的数字足迹,并通过分类自动提取资产清单。
它定期监视组织的资产并检测与之相关的更改。通过监视构成攻击面的资产,它使我们能够跟踪攻击者并防止可能的攻击。此外,它还可以向安全团队提供关于公司内部丢失的安全配置、关键开放端口、过期的SSL证书/域等的信息。
当有关公司资产的漏洞在外部网络及其应用程序上可见时,SOCRadar会通知公司。
SOCRadar以服务的形式提供以下模块:
数字足迹发现
域/ IP监控
SSL证书监控
DNS监控
漏洞检测
重要端口检测
JavaScript监控
关键数据泄漏检测
什么叫做网络攻击?
网络攻击,Cyber Attacks,也称赛博攻击。是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。
对于计算机和计算机网络来说,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据,都会被视为在计算机和计算机网络中的攻击。
常见网络攻击手段:
1、口令入侵:不法分子非法登录你的账户,然后再实施攻击活动。
2、特洛伊木马:坏人放一个鱼饵,等你下载、安装、运行,然后你的账户将毫无秘密可言。
3、WWW欺骗:你要访问A网站,坏人动了手脚后导致你实际访问坏人的B网站,然后想怎么骗你都可以了。
4、电子邮件攻击:不法分子不停地发送垃圾邮件到你邮箱,让系统瘫痪,然后就可以干坏事了。
5、节点攻击:不法分子攻击并控制你的电脑后,再攻击并控制其他重要的网站,事后调查一般只能查到你这里,而你的电脑就成了俗称的肉鸡、僵尸机。
6、网络监听:在同一个网段内,不法分子开启某种工作模式后,能够接收到传输的所有信息。
7、黑客软件:不法分子能非法取得用户计算机的终极用户级权利,对其进行完全控制,除了能进行文件操作外,还能进行桌面抓图、取得密码等操作。
8、安全漏洞:许多系统都有安全漏洞,比如我们常用的Windows操作系统经常要打补丁,就是为了弥补出现的安全漏洞。这些漏洞如不补上,就会被坏人利用,获取你的电脑权限甚至电脑里的信息数据。
9、端口扫描:坏人通过这种方式,可以知道你电脑的端口是否处于激活状态、主机提供了哪些服务、提供服务中是否含有某些缺陷等,它往往是发起进一步攻击的前奏。
计算机网络安全攻击来与哪些方面,请使用例子详细叙述.对于这些攻击
黑客攻击的主要目的是:
(1) 窃取信息。
(2) 获取口令。
(3) 控制中间站点。
(4) 获得超级用户权限。
计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。网络的安全威胁方向也分为外部和内部。黑客攻击早在主机终端时代就已经出现,随着因特网的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。
1. 黑客攻击类型
任何系统的安全都是相对的,没有一个网络操作系统是绝对安全的。局域网上网即使有防火墙的保护,由于防火墙错误配置等其他原因,仍很难保证百分之百的安全。网络攻击主要类型如下。
⑴Data Diddling 未经授权删除档案,更改其资料。
⑵Scanner 利用工具寻找暗门漏洞。
⑶Sniffer 监听加密之封包。
⑷Denial of Service 拒绝服务,使系统瘫痪。
⑸IP Spoofing 冒充系统内网络的IP地址。
⑹其他。
2.防范黑客的措施
⑴选用安全的口令。据统计,大约80%的安全隐患是由于口令设置不当引起的。
⑵用户口令应包含大小写,最好能加上字符串和数字,综合使用能够达到更好的保密效果。不要使用用户姓名、常用单词、生日和电话号码作为口令。根据黑客软件的工作原理,口令长度设置时应遵循7位或14位的整数倍原则。口令应定期修改。
⑶建立账号锁定机制,一旦同一账号密码校验错误若干次即断开连接,并锁定该账号,至一段时间才解锁再次开放使用。
⑷实施存取控制。主要是针对网络操作系统的文件系统的存取控制。存取控制是内部网络安全理论的重要方面,它包括人员权限、数据标识、权限控制、控制类型和风险分析等内容。
⑸确保数据安全。完整性是在数据处理过程中,在原有数据和现行数据之间保持完全一致的证明手段。一般常用数字签名和数据加密算法来保证。您可以参照以下几个加密站点:(规定公共密钥加密),(RSA加密专利公司)。
⑹使用安全的服务器系统。虽然没有一种网络操作系统是绝对安全的,但Unix经过几十年来的发展已相当成熟,以其稳定性和安全性成为关键性应用的首选。
⑺谨慎开放缺乏安全保障的应用和端口。很多黑客攻击程序是针对特定服务和特定服务端口的,所以关闭不必要的服务和服务端口,能大大降低遭受黑客攻击的风险。
⑻定期分析系统日志。日志文件不仅在调查网络入侵时十分重要的,它们也是用最少代价来阻止攻击的办法之一。这里提供给大家一些比较有用的日志文件分析工具,具体如下。
NestWatch能从所有主Web服务器和许多防火墙中导入日志文件。它运行在Windows NT机器上,能够以HTML格式输出报告,并将它们分发到选定的服务器上。
LogSurfer是一个综合日志分析工具。根据它发现的内容,能够执行各种动作,包括告警、执行外部程序,甚至将日志文件数据分块并将它们送给外部命令或进程处理等。
⑼不断完善服务器系统的安全性能。无论是Unix还是Windows NT的操作系统都存在安全漏洞,他们的站点会不定期发布系统补丁,系统管理员应定期下载补丁,及时堵住系统漏洞。
⑽排除人为因素。要制定一整套完整的网络安全管理操作规范。
⑾利用网络管理软件对整个局域网进行动态站点监控,发现问题及时解决。
⑿扫描、攻击自己的站点。
⒀请第三方评估机构或专家来完成网络安全的评估。
⒁谨慎利用共享软件。
⒂做好数据的备份工作。有了完整的数据备份,我们在遭到攻击或系统出现故障时才可能迅速恢复系统。
⒃使用防火墙。
防火墙分为网络级防火墙和应用网关防火墙。 网络级防火墙一般是具有很强报文过滤能力的路由器,可以通过改变参数来允许或拒绝外部环境对站点的访问,但其对欺骗性攻击的保护很脆弱。 应用代理防火墙的优势是它们能阻止IP报文无限制地进入网络,缺点是它们的开销比较大且影响内部网络的工作。
什么是网络安全攻击
目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性,导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。网络互连一般采用TCP/IP协议,它是一个工业标准的协议簇,但该协议簇在制订之初,对安全问题考虑不多,协议中有很多的安全漏洞。同样,数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题,在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。
由此可见,针对系统、网络协议及数据库等,无论是其自身的设计缺陷,还是由于人为的因素产生的各种安全漏洞,都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可靠,则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备,从而确保网络运行的安全和可靠。
1.简述网络安全的概念及网络安全威胁的主要来源。
一、网络安全的概念
国际标准化组织(iso)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
二、internet的安全隐患主要体现在下列几方面:
1.
internet是一个开放的、无控制机构的网络,黑客(hacker)经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。
2.
internet的数据传输是基于tcp/ip通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。
3.
internet上的通信业务多数使用unix操作系统来支持,unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。
4.在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。
5.电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。
6.计算机病毒通过internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名ftp文件传送、也可以通过邮件和邮件的附加文件传播。
三、网络安全防范的内容
一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面:一是计算机病毒,二是黑客犯罪。
计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段,盗取密码侵入他人计算机网络,非法获得信息、盗用特权等,如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的发展和电子商务的展开,严防黑客入侵、切实保障网络交易的安全,不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全、国家经济秩序的稳定问题,因此各级组织和部门必须给予高度重视。
0条大神的评论