攻击面
本文约需 2 分钟阅读
攻击面 (Attack Surface) 是指攻击者为入侵系统或窃取数据而能够利用的所有点的总和。从公开的 Web 服务、API 端点、员工的社交媒体账号,到办公室的物理入口,凡是从攻击者视角看到的「入口」都属于攻击面。安全的基本原则就是将这个攻击面保持得尽可能小。即使存在漏洞,攻击面越窄,被利用的概率也会大幅降低。
攻击面的三大分类
攻击面按其性质可分为三个领域。要实现全面的防御,需要对所有领域进行无遗漏的掌握。
- 公开的 Web 服务与 API
- 云基础设施 (S3、VM)
- 邮件服务器
- VPN 网关
- DNS 记录
- 办公室出入管理
- 服务器机房
- USB 端口与设备
- IoT 设备
- 废弃介质
- 员工的社交媒体发帖
- 公开的个人资料
- 招聘信息 (暴露技术栈)
- 会议演讲资料
- 供应链相关方
攻击者会充分利用OSINT (开源情报)来收集这些信息,并尝试从最薄弱的点入侵。如果招聘信息中写着「使用 Apache Struts 2.x」,攻击者会立即调查该版本的已知漏洞。
ASM 工具的崛起
ASM (Attack Surface Management,攻击面管理) 是用于持续发现、监控和评估组织攻击面的安全领域。相比传统渗透测试那样快照式的评估,ASM 工具全年无休、全天候自动扫描暴露在互联网上的资产,并实时通知新发现的资产和配置变更。随着云环境的普及,开发者无需经过 IT 部门即可搭建基础设施,导致未被掌握的公开资产 (类似影子 IT 的基础设施) 不断增加,ASM 的重要性正在迅速提升。
攻击面缩减流程
与零信任的关系
零信任是建立在「即使在网络内部也不信任」这一前提上的安全模型。在传统的边界防御模型中,防火墙内侧被视为可信区域,但随着上云和远程办公,边界本身变得模糊。零信任将所有访问都纳入验证对象,对攻击面的各个点施加单独的防御。其结果是,即使某一个点被突破,也能实现损害不易横向扩散的结构。
常见的误解
「只要用防火墙阻断来自外部的访问,攻击面就为零」这种认识是错误的。物理入侵、社会工程、经由供应链的攻击等,绕过网络边界的攻击路径有很多。此外,正规用户使用的 VPN 和远程桌面本身也是攻击面的一部分,一旦这些认证被突破,就会让攻击者得以入侵内部网络。网络安全相关书籍 (Amazon)推荐用来进行系统性的学习。
现场使用案例
“在引入 ASM 工具的第一天,就发现了一台三年前为活动而启动后一直被搁置的 EC2 实例。其上运行着旧版本的 WordPress,存在多个已知漏洞。我们立即将其停用,成功防患于未然,避免了一起重大事件。”
关于打造组织的安全基础,我们在初创公司安全检查清单中详细说明;关于 IoT 环境的攻击面,请见IoT 设备安全的文章;关于远程办公环境的对策,请见远程办公安全的文章。
这篇文章对您有帮助吗?