Gartner发布攻击面管理创新洞察:CTEM、VA、EASM、CAASM、ASA、DRPS、BAS、VM等攻击面管理相关技术及关系

安全运营团队负责管理跨内部和外部数字资产的复杂攻击面。这项研究概述了攻击面评估空间,以帮助安全和风险管理领导者驾驭技术并改善其安全状况。

主要发现

  • 随着本地和云中的技术环境变得越来越复杂和分散,组织必须管理不断增长的攻击面。 SaaS 应用程序和供应链接触点正在扩大攻击面。容器和网络物理系统(例如物联网)也呈现出新的攻击面。

  • 传统上,攻击面解决方案主要侧重于识别外部可见资产的安全卫生方面的缺陷。这些解决方案正在迅速扩展,超越对外部客户拥有的技术的传统评估,重点关注品牌风险、声誉风险以及来自 SaaS 和第三方系统的风险。

  • 尽管人们对攻击面评估作为一个独立主题的兴趣相对浓厚,但许多攻击面解决方案正在与其他市场领域的解决方案进行整合。外部攻击面管理 (EASM)与漏洞评估 (VA)相结合,创建了更广泛的暴露评估市场。

  • 事实证明,网络资产攻击面管理 (CAASM) 对于安全团队提高资产可见性的要求很有价值。作为次要好处,它可以改进整个组织的配置管理数据库 (CMDB)。

建议

作为安全运营职能的一部分,负责管理组织攻击面的安全和风险管理领导者应该:

  • 根据更广泛的暴露面管理流程和计划(例如持续威胁暴露管理 (CTEM))的目标投资攻击面解决方案。

  • 建立有效的自有资产登记册,包括身份、应用程序和第三方 SaaS、IaaS 和 PaaS 功能。准确的记录可以更广泛地了解和报告与组织的外部和内部管理的攻击面相关的网络安全风险。

  • 在寻找利基或离散攻击面技术提供商之前,先研究现有技术提供商的升级和更集成的产品,例如漏洞扫描器、云安全技术和 ITSM 工具。

战略规划假设

  • 到 2027 年,90%的EASM 和数字风险保护服务 (DRPS)将成为更广泛的现有安全平台投资的特征,从而取代单点解决方案。

  • 到 2028 年,对提高可见性和减少暴露的主动技术的投资增长速度将是对检测和响应事件的反应技术的投资增长速度的两倍。

介绍

尽管人们普遍理解,“攻击面管理”(ASM) 是一个不准确的术语,用于描述持续发现、盘点和情境化组织资产的技术和服务。资产可以是物理的,也可以是数字的,可以是内部的,也可以是外部的,可以是自有的,也可以是订阅的一部分。发现、盘点和情境化是一个评估过程,而不是一个管理过程。因此,“攻击面评估”(ASA)是一个更准确的术语。

攻击面:系统、系统元素或环境 [资产] 边界上的一组点,攻击者可以尝试进入该系统、系统元素或环境,对该系统、系统元素或环境造成影响或从中提取数据。”

美国国家标准与技术研究院 (NIST)

通过建立攻击面的可见性并实施管理流程来确定优先级、验证和动员响应,安全团队可以减少恶意威胁行为者利用的风险。暴露管理的每个支柱都有自己的目标,并回答 Gartner 客户提出的具体问题(见图1和注释 1)。本研究仅关注暴露管理的攻击面能力(攻击面支柱)。

图 1:暴露管理的组成部分

ASA是更广泛的暴露评估功能集的被动机制(见注1和注2)。它不涉及直接测试。相比之下,更主动的评估方法(如漏洞扫描)会探测与攻击面相关的细节。最常见的是,ASA 是非侵入性的,因此无法被防御组织检测到。它通过用于常规业务功能的日常 IT 应用程序(例如 Web 浏览器)收集信息。

执行 ASA 的工具主要位于三个市场领域之一:

  • 外部攻击面管理 (EASM)

  • 数字风险保护服务(DRPS)

  • 网络资产攻击面管理 (CAASM)

ASA技术和功能在 CAASM 等新兴市场和VA 等整合市场中不断发展。这些技术帮助组织有效地评估更多的攻击面,并优先考虑影响受控和不受控数字资产的风险。大多数 ASA 技术提供两类功能:

  • 可见性:扩大所覆盖资产的范围,并提高人们对网络风险的认识,从而提高攻击者的可见性可能会对这些资产造成的影响。

  • 吸引力:评估特定资产的吸引力以及该资产可能成为第三方攻击目标的可能性。

ASA 功能与其他安全技术的功能互补或重叠,例如 VA、漏洞优先级技术 (VPT) 和各种安全态势管理工具(请参阅注释 3)。

描述

定义

评估攻击面主要涉及在三个市场领域使用技术:

  • 外部攻击面管理 (EASM)是指为发现面向互联网的企业资产、系统和相关风险而部署的流程、技术和托管服务。示例包括暴露的服务器、公有云服务配置错误以及可能被对手利用的第三方合作伙伴软件代码漏洞。

  • 数字风险保护服务 (DRPS)是一组以技术为主导的服务,可实现品牌保护、第三方风险评估和发现外部威胁以及对已识别风险的技术响应。这些解决方案提供对开放(表面)网络、社交媒体、暗网和深网来源的可见性,以识别对关键资产的潜在威胁。它们提供有关威胁行为者、他们的策略以及进行恶意活动的流程的上下文信息。

  • 网络资产攻击面管理 (CAASM)专注于帮助安全团队克服资产可见性和暴露挑战。它使组织能够主要通过API 与现有工具集成,获得其资产(内部和外部)的近乎完整的视图;查询综合数据;确定安全控制中的暴露范围和差距;并修复问题。

然而,由于它们支持的一些用例存在重叠,因此对这三者仍然存在一些困惑:

  • EASM更注重技术和运营。它支持从事 VA、渗透测试和威胁狩猎等活动的安全运营专业人员。一些 EASM 提供商还通过收购与入侵和攻击模拟 (BAS)、VA 技术和其他安全技术提供商进行整合。

  • 与 EASM 相比, DRPS主要支持更多以业务为中心的活动,例如企业数字风险评估、合规性以及品牌和高管保护。 EASM 和 DRPS 之间的另一个重要区别是,后者通常提供服务覆盖来执行删除等功能。

  • CAASM 的运作方式有所不同。其发现功能主要通过 API 与现有 IT 工具集成来发挥作用,而不是匿名扫描或探测系统。由于 CAASM 可以更方便地访问内部环境,因此它通常可以提供更丰富、更可靠的数据。然而,CAASM 填充的资产清单的完整性取决于组织现有数据源的质量。CAASM 的第二个目标是提供组织资产清单 (CMDB) 的整体视图,协调重复或不一致的数据,并启用一些自动步骤来更新数据。资产盘点对于组织来说是一个常见且众所周知的问题,只有 17% 的组织能够清楚地识别和盘点其大部分(95% 或更多)资产。

CAASM 是来自其他来源的数据聚合器,而 EASM 和 DRPS 是两个 ASA 驱动的记录来源,可提供 CAASM 的集中可见性。由于这些操作差异,CAASM 尚未看到其他 ASA 技术所引起的兴趣或整合。最终用户不应过度投资 CAASM。相反,他们应该考虑为期一年的订阅,并准备好在现有提供商提供成本更低/免费的替代方案时更换它。

不可避免的是,没有一个组织具有相同类型和分布的业务资产。因此,选择正确的 ASA 技术组合取决于所需的输出。驾驭这些市场的一个好方法是了解每种技术的构建主要是针对某些核心用例(参见图 2 和注释 4)。因此,这些核心用例是每种技术最适合支持的。

图 2:CAASM、EASM、DRPS 和 VA Intersection 支持的用例

这些技术可以帮助组织了解其攻击面,例如提供攻击者的观点、对攻击者首先看到的问题进行优先级排序以及聚合安全用例的资产数据。但管理组织的风险并理解这些细节需要特定的技能。

此外,考虑到组织环境和威胁形势的多样性和复杂性,传统安全技术存在能力差距,导致其不足。例如,VA 仅提供组织配置工具扫描的内容(例如 IP 地址)的可见性。

ASA 技术提供了组织资产清单(包括未知资产)的更全面视图。一些 ASA 技术甚至可以显示 VA 缺少扫描的位置。

优点和用途

  • 提高资产可视性使组织能够避免盲点和不受管理的技术(例如“影子 IT ”),从而加强其安全状况并支持更全面的风险管理。

  • 了解潜在的攻击入口点有助于组织优先考虑安全控制部署和配置。这种优先顺序反过来又有助于减少对互联网和公共领域的可利用暴露。

  • ASA 提供了组织可以利用的上下文:

o   在漏洞管理和暴露验证流程中更好地优先考虑暴露风险

o   启用额外的风险评分

o   优化检测和响应功能的防御措施

  • 更准确、最新且完整的资产和安全控制报告可实现更快的审计合规性报告。

  • ASA 减少了数据收集的阻力,并能够更广泛地了解IT 缺乏治理和控制的影子 IT组织、已安装的第三方系统和业务线应用程序。安全团队需要了解与这些资产相关的存在和风险,而 IT 团队可能不需要。

  • 从 ASA 技术中获得可操作的情报和有意义的指标,并且可以随着时间的推移进行跟踪。这些有助于证明 CTEM 成为网络安全计划一部分的价值。

风险

  • 自 2023 年中期以来,许多 EASM 和 DRPS 解决方案已被较大的技术供应商收购。这种趋势可能会持续下去,一些ASA市场之间的整合是不可避免的。这些变化将影响现有的最终用户投资和跨工具兼容性。

  • ASA功能主要是开源功能的集合,进入这个市场的门槛很低。因此,产品的质量差异很大。大型安全平台供应商(例如VA提供商)正在构建和获取功能,以便为购买其更大的网络安全工具生态系统的组织提供更强大的 ASA 功能。

  • 每种 ASA 技术都可以是孤立的,并且可能会在经过培训的人员的配置、管理和维护方面产生额外的开销。

  • 尽管ASA 技术通过聚合和协调来自其他记录系统(例如 CMDB)的数据来提高资产可视性,但它本身并不能从源头上解决数据质量差和粒度问题。如果没有人愿意真正管理其技术投资,组织就不会成功。安全团队必须与源系统所有者合作修复记录系统。

  • ASA 技术有可能收集大量暴露数据,因此需要与 VM 流程进行稳健集成。如果没有适当的集成,已经不堪重负的漏洞管理流程可能会因缺乏有效的优先级而受到影响,并可能提供不准确的结果。

  • ASA 技术很少与当前预算的特定要素保持一致。这些工具通常对于现有的漏洞解决方案来说是多余的,并且在当前的金融环境下获得额外的预算来增加工具的数量可能特别困难。

采用率

Gartner 估计,不到25 %的组织已采用一种或多种 ASA技术来解决其攻击面。许多人依靠部分或手动 ASM 流程来评估其资产和任何相关风险。

建议

  • 根据采用既定流程(例如 CTEM)投资攻击面解决方案,以界定和细化攻击面评估。基于量化的业务风险进行可见性差距分析将确保高级领导层能够认识到任何投资的好处。

  • 建立有效的自有资产登记册。评估组织的关键风险驱动因素,以了解应该优先考虑哪些技术。一般来说,组织应在 CAASM 之前安装和管理 EASM 和/或 DRPS,因为 CAASM 技术可在管理 EASM 和 DRPS 输出方面进行扩展,以完成其资产清单。

  • 研究现有技术提供商的升级和更集成的产品,并确定是否通过短期合同采购单点解决方案。ASA技术和供应商正在迅速成熟,未来三到五年内极有可能合并为更大的供应商。评估相关的权衡,例如更高的折扣和同比价格上涨。每年重新评估市场,直到创新和市场变化的浪潮放缓。

代表性供应商

以下是提供ASA 功能的供应商的代表性(非详尽)列表。

纯 CAASM 供应商

  • Axonius

  • JupiterOne

  • Noetic Cyber

具有 ASA 功能的广泛产品组合安全供应商

  • CrowdStrike(通过收购 Reposify)

  • IBM(通过收购 Randori)

  • 微软(通过收购 RiskIQ)

  • Palo Alto Networks(通过收购 Expanse)

  • Tenable(通过收购 Bit Discovery)

纯EASM 供应商

  • IONIX(以前称为 Cyberpion)

  • CyCognito

  • watchTowr

缩写词关键和术语表

ASA

攻击面评估

ASM

攻击面管理

BAS

入侵和攻击模拟

CAASM

网络资产攻击面管理

CTEM

持续威胁暴露管理

DRPS

数字化风险保障服务

EASM

外部攻击面管理

VA

漏洞评估

VM

漏洞管理

注1:暴露管理的三大支柱

1.    攻击面支柱:“从攻击者的角度来看,我的组织是什么样的?它应该如何发现攻击者首先会看到的问题并确定其优先级?”

2.    漏洞支柱:“存在哪些软件,以及我的组织设置了哪些安全态势,使其容易受到攻击?”

3.    测试/模拟支柱:“如果攻击者对我组织的基础设施发起攻击,会发生什么?它的防御将如何应对,流程将如何执行?”

注2:CAASM、EASM 和 DRPS 的主要用例

以下是构成攻击面评估的三个主要市场领域,以及它们支持的主要用例:

  • CAASM:审计合规性、安全控制存在、资产管理、风险评分

  • EASM:可见性识别、漏洞识别、控制间隙识别、错误配置检测、数字资产发现

  • DRPS:品牌保护、数据泄露情报、虚假信息监控、高管保护、社交媒体监控

值得注意的是,资产管理、风险评分、漏洞识别、控制差距识别、错误配置检测、数字资产发现和数据泄漏情报似乎是所有这些市场的功能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/572262.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

wordpress 突然报错Error establishing a database connection

wordpress 突然报错Error establishing a database connection 通过在宝塔端多种方式检测测,查看到时Mysql服务挂了,重启Mysql即可

cad中快速计算多个矩形面积的方法

1、输入命令reg,选中矩形创建面域 2、输入命令uni,选中刚刚创建的面域,组合成一个面域 3、输入命令:LI ,选中面域,即可查看面积和周长 需注意的一点,开始创建的矩形或者多段线要在一个面内,就是…

OpenCV——Bernsen局部阈值二值化方法

目录 一、Bernsen算法1、算法概述2、参考文献二、代码实现三、结果展示Bernsen局部阈值二值化方法由CSDN点云侠原创,爬虫自重。如果你不是在点云侠的博客中看到该文章,那么此处便是不要脸的爬虫。 一、Bernsen算法 1、算法概述 Bernsen 算法是另一种流行的局部阈值二值化方…

美硕科技授权世强硬创代理,继电器具备控制功率小、电磁干扰小特点

受工业自动化、智能制造、物联网以及可再生能源等领域发展的推动,全球继电器市场在过去几年中持续增长,预计未来几年将继续保持这一趋势。 为满足日益增长的市场需求,世强先进(深圳)科技股份有限公司(下称…

摸龙头 交好运 五一就来龙卦山加载好运吧!

龙卦山国风嘉年华又又又来啦! 让我看看是谁还没有上车!赶紧把五一的行程安排起来! 甲辰龙年全新玩法等你来解锁! 准备好了吗,接下来跟我一起开启你在龙卦山的一天! 五一特种兵的早八时间 8:00AM - 8:00…

Cooper在线协同插件:赋能团队,共筑高效协作新篇章

在数字化浪潮席卷全球的今天,高效协作已成为项目成功的关键要素。为了满足现代团队对协作的迫切需求,我们隆重推出Cooper在线协同插件——一款专为代码项目协作量身打造的精英级工具。凭借卓越的安全性、高效性和易用性,Cooper正迅速成为团队…

代理IP供应商的代理池大小怎么看?

代理池作为网络爬虫、数据采集和隐私保护等领域中的重要工具,扮演着连接真实网络和爬虫之间的桥梁。代理池的大小是影响其性能和可用性的关键因素之一。在这篇文章中,我们将深入探讨代理池的大小对业务的影响,并探讨在不同情况下如何选择合适…

代理IP干货:如何正确使用防范风险?

在今天的数字时代,代理IP地址已成为互联网世界中不可或缺的一部分。无论您是寻求绕过地理限制、保护个人隐私还是执行网络任务,代理IP地址都发挥着关键作用。我们将为您探讨代理IP地址的重要性以及如何防范潜在的风险和威胁。 一、代理IP地址的潜在风险 …

【OceanBase系列】—— 常用运维操作(备忘)

作者简介: 花名:绪宁,OceanBase 数据库解决方案架构师 创建租户 方法一:OCP 创建 确认可分配资源 具体可以分配多少内存,可以通过【资源管理】查看各节点的剩余资源 2. 新建租户 3. 填写租户信息 zone 优先级主要是 p…

WMS系统如何满足多种仓储模式需求

一、WMS系统的基本功能 WMS系统通常具备以下基本功能:入库管理、出库管理、库存管理、订单管理、报表分析等。这些功能能够实现对仓库内货物的实时监控、追踪和查询,确保货物的准确、高效流通。 二、WMS系统如何适应不同的仓储模式 静态仓储模式 静态…

PyCharm开发工具安装plugins插件

一. 简介 通过前面的学习,我们知道 python开发常用的一个开发工具(即IDE)是 PyCharm。 本文来简单介绍一下,PyCharm开发工具是如何安装 plugins插件的。其实与 vscode软件安装插件类似。 本文来学习 PyCharm开发工具安装一个中…

Github2024-04-25 开源项目日报Top10

根据Github Trendings的统计,今日(2024-04-25统计)共有10个项目上榜。根据开发语言中项目的数量,汇总情况如下: 开发语言项目数量Python项目4非开发语言项目2TypeScript项目2PowerShell项目1C++项目1Dart项目1JavaScript项目1GPT4All: 在边缘运行开源大型语言模型 创建周期:…

【数据结构(邓俊辉)学习笔记】向量04——有序向量

文章目录 0.概述1.比较器2.有序性甄别3.唯一化3.1低效算法3.1.1实现3.1.2 复杂度3.1.3 改进思路3.2 高效算法3.2.1 实现3.2.2 复杂度 4.查找4.1统一接口4.2 语义定义4.3 二分查找4.3.1 原理4.3.2 实现4.3.3 复杂度4.3.4 查找长度4.3.5 不足 4.4 Fibonacci查找4.4.1 改进思路4.4…

项目_预览和模拟器运行_真机运行鸿蒙应用---HarmonyOS4.0+鸿蒙NEXT工作笔记002

然后再来看如何使用预览,可以看到 右侧有个preview,点开就可以了 然后再有一个tools,这里 Device Manager,这个是模拟器 点开以后可以看到让我们连接,本地模拟器,还是远程模拟器,还是远程设备 这里我们选择phone 如果选择remote device,这个需要登录华为账号,会自动弹出来登…

PyTorch深度解析:Tensor——神经网络的核心构建块

在深度学习和神经网络的研究与应用中,Tensor(张量)无疑是一个核心概念。特别是在PyTorch这一强大的深度学习框架中,Tensor更是扮演了举足轻重的角色。本文将深入探讨PyTorch中的Tensor,从其基本定义、特性、操作到实际…

2024年度西安市创新联合体备案申报条件时间要求须知

一、申报条件 组建市级创新联合体需具备牵头单位、成员单位、组建协议、首席科学家等四个条件。 (一)牵头单位 1.牵头单位应为在西安市注册登记的省市产业链龙头骨干企业,重点支持市级重点产业链“链主”企业; 2.牵头单位一般为1家。 (二)成员单位 1.成员单位…

5分钟——快速搭建后端springboot项目

5分钟——快速搭建后端springboot项目 1. idea新建工程2. 构建pom.xml文件3. 构建application.yml配置文件4. 构建springboot启动类5. 补充增删改查代码6. 运行代码7. 下一章 1. idea新建工程 点击右上角新建一个代码工程 别的地方不太一样也不用太担心,先创建一个…

linux驱动-CCF-0基础

1. 时钟设备 晶振:提供基础时钟源的(可分为有源晶振、无源晶振两种); PLL: 用于倍频的锁相环; mux: 用于多路时钟源选择; Divider: 用于分频的; gate: 用于时钟使能的与门电路等 注册函数…

Python基础09-装饰器深度解析与应用

在Python中,装饰器(Decorator)是一种设计模式,用于修改或增强函数或方法的行为,而无需更改其实际代码。装饰器允许我们以一种灵活且可重用的方式向函数添加新的功能。本文将深入探讨Python装饰器的多种用法&#xff0c…

2024最新版JavaScript逆向爬虫教程-------基础篇之JavaScript密码学以及CryptoJS各种常用算法的实现

目录 一、密码学介绍1.1 为什么要学密码学?1.2 密码学里面学哪一些 二、字符编码三、位运算四、Hex 编码与 Base64 编码4.1 Hex 编码4.2 Base64 编码 五、消息摘要算法5.1 简介5.2 JS中的MD5、SHA、HMAC、SM3 六、对称加密算法6.1 介绍6.2 加密模式和填充方式6.3 CryptoJS 中D…