應對數字資產海嘯

網際網路協議（IP）地址及其背後的裝置、網路服務和雲資產是現代企業的生命線。但公司經常積累數千個數字資產，無序的狀態給IT和安全團隊造成了無法管理的混亂。如果不仔細地加以檢查，一個被遺忘、遺棄或未知的數字資產對於公司來說就是網路安全定時炸彈。

為什麼檢視和管理網路中的每個數字事物都應是重中之重？這當中存在一種可能：它們是您組織基礎設施中增長最快的部分。有效的數字資產管理——包括IP地址可見性——是您阻止攻擊者對網路資產發動攻擊的最基礎也是最有效的途徑。

在過去的二十年裡，安全團隊一直專注於解決內部資產風險。面向公眾的數字資產和IP地址是“非軍事化區”的一部分，“非軍事化區”是一個防禦的強化但非常有限的周邊地區。但在全球大流行和隨之而來的居家辦公趨勢的推動下，數字化轉型隨之而來，網路邊界變得不再清晰，都需要讓位於當今一切託管服務的現代架構。

數字資產：死亡、遺忘和危險

過去兩年的業務數字化轉型引發了一場新的網路應用程式、資料庫和物聯網裝置的海嘯。他們為威脅組織創造了一個巨大的新攻擊面，其中包括複雜的雲原生IT基礎設施。可能暴露的是數千個API、伺服器、物聯網裝置和SaaS資產。

管理不善的數字資產是一顆定時炸彈。例如，在網路應用程式中存在巨大風險。在最近的CyCognito調查中，我們發現Global 2000組織平均每個組織有5000個暴露的Web介面，佔其外部可能受到攻擊表面的7%。在這些Web應用程式中，我們發現不乏開源JavaScript漏洞庫問題，如jQuery、JQuery-UI和Bootstrap。SQL注入、XSS和PII暴露漏洞也不短缺。

任何面向外部的資產未知或管理不善，都可以被視為邀請對手破壞您的網路的機會。然後，攻擊者可以竊取資料、傳播惡意軟體、破壞基礎設施並實現持續的未經授權訪問。

當我們與公司談論他們的攻擊面時，我們很少聽到他們對掌握數字資產表示信心。許多公司仍然通過Excel電子表格跟蹤IP地址，並反過來連線資產。這種措施是否高效？事實上這僅適用於最小的組織。ESG在2021年的一項研究發現，73%的安全和IT專業人士依賴他們。

資料安全是頭等大事，這也是貴公司的皇冠珠寶。我認為，保護IP地址和連線資產應該採取更現代的管理方法，這樣就可以在問題出現之前解決這些問題。

善意可能會出錯

但即使是善意的公司也可能犯錯誤。假設企業服務檯建立的內部票務系統只能通過內部URL訪問。對手可能會利用URL的基礎IP地址，並通過新增“:8118”來開啟網路後門（或埠）。這就是為什麼IP地址，包括埠、域和證書等相關技術，可能帶來巨大的安全和聲譽風險。

其結果可能是數字資產軟點的墓地，這些軟點經常成為對手的切入點，例如被遺忘或管理不善的DevOps或SecOps工具、雲產品和裝置Web介面。

在當今複雜的企業中，系統管理員通常只能看到他們負責管理的裝置子集。如果資產不在您的雷達螢幕上，您將無法真正地降低風險。

為什麼管理IP連線的資產就像養貓一樣

在過去的12個月裡，通過對CyCognito的客戶群觀察調研，我們看到組織內IP地址（和相關數字資產）的數量增長了20%。這一增長至少部分歸功於雲的採用以及對居住在公司網路的連線裝置和Web應用程式的依賴。但經常被忽視的是，當公司增長或萎縮時，基礎設施會蔓延。

例如，在繞過IP地址管理方面，合併和收購（併購）活動通常會讓企業保持平穩。假設酒店集團收購了較小的競爭對手。當這種情況發生時，它還繼承了一個由未管理和未知的IP地址和域組成的潛在雷區。

死亡域名和被遺忘域名——一種不同型別的數字資產——經常成為所謂的懸垂DNS記錄的犧牲品，對手可以通過重新註冊來接管被遺忘的子域名。這些子域以前連線到公司資源，但現在完全由不良行為者控制，然後可用於改變公司的網路流量，造成資料丟失和聲譽損害。

同樣，子公司的剝離可能導致基礎設施被遺棄，成為孤兒數字資產和相關網路應用程式。這些被遺忘的資產經常被IT團隊忽視，但絕對不會被機會主義黑客忽視。

更糟糕的是，不安全的埠使裝置可以進行預設憑據攻擊。畢竟，對於對手來說，要掃描和查詢開放的埠，他們需要管理不善的雲服務或IP連線的硬體。

最後，通過收購獲得的不受管理的IT基礎設施和資產可能會浪費寶貴的時間。考慮一下管理不善的IP地址如何向IT安全團隊傳送高度戒備狀態，以瞭解為什麼公司資產在它不開展業務的國家/地區被使用。

為了保護關鍵資料，阻止惡意軟體感染並防止漏洞，部分答案是進行有效的數字資產管理以及提高IP地址可見性。太多的系統管理員仍然受制於這個過時的基於電子表格的資產管理系統。

此外，忽略攻擊載體並僅檢測已知資產中CVE的遺留掃描器無法評估與公司內部大量數字資產相關的風險。例如，在之前的內部票務系統中——通過URL https://X.X.X.X[:]8118意外暴露在網際網路上——該IP上的埠掃描充其量只能找到HTTP服務。掃描器肯定不會理解曝光的背景和關鍵性。公司擁有的雲資產上意外開啟目錄也是如此，儘管這些目錄可能包含員工憑據和TB的敏感資料。

無知不是幸福&看到就是相信

當然，預設情況下，數字資產並不危險。相反，風險與IT堆疊的管理以及系統管理員處理與預置、非預置、託管和非託管服務繫結的眾多連線應用程式的能力有關。

難題擺在公司的面前：“你如何管理你不知道的東西？”

實施網路分割，零信任解決方案和積極的IP和埠掃描，以及資產發現，都是對減輕威脅問題的必要響應。但這些解決方案並沒有100%解決問題。

這就像根據20%的居民的檢測，給社群一份乾淨的新冠肺炎健康法案。沒有其他80%的測試，你真的不知道自己是否安全。即使對90%的攻擊表面進行完美的漏洞管理，當10%可能看不見和不受管理時，這也不是無關緊要的事。

與低效的發現工具相關的成本和修復發現問題的IT資源有限也是有效攻擊表面管理的障礙。

攻擊表面管理需要圍繞“發現”暴露的關鍵資產的新心態。持續發現那些大規模攻擊者抵抗力最小的路徑，加上安全測試和將寶貴資產被盜的風險聯絡起來，至關重要。CyCognito正在圍繞暴露和風險管理與緩慢、有限範圍和昂貴的漏洞管理開拓這個想法。

想象一下，看到您的整個攻擊表面——以及您的子公司的攻擊表面——並能夠根據風險簡介對修復進行優先排序，該風險簡介告訴您特定資產被黑客入侵的概率。在數字資產的背景下，瞭解您的整個IP環境並優先考慮需要首先解決的問題，可以大大有助於實現更安全的IT環境。

大局？對手總是尋求阻力最小的道路。他們避免了更難的攻擊路徑，因為它們往往很吵，增加了後衛檢測和響應的風險。現代外部攻擊表面管理方法應該利用資產補救優先順序相同的最不耐藥性路徑原則，同時減少回收（MTTR）的時間，並回答以下問題：“我們安全嗎？”

Rob Gurzeev是外部攻擊表面管理公司CyCognito的執行長兼聯合創始人。他是一名進攻性安全專家，專注於提供網路安全解決方案，幫助組織找到並消除攻擊者利用的路徑。

本文翻譯自：https://threatpost.com/digital-asset-tsunami/179917/如若轉載，請註明原文地址。