作為一家全球咨詢和科技公司,埃森哲深知攻擊面會迅速擴大并暴露于網絡威脅之下的風險。
“我們一直以來都有很強的安全態勢,但隨著公司的發展,我們注意到防御體系中存在一些弱點。”埃森哲的CISO Kristian Burkhardt表示。
為了實現對其IP資產的全面可視化,埃森哲將多種技術整合到一個定制的ASM(攻擊面管理)項目中。Burkhardt將該項目描述為“將一套工具整合到一個流程中”,該流程結合了滲透測試、定制掃描和攻擊模擬,并融入了人類的創造力與團隊合作。
全面攻擊面可視化的必要性
Burkhardt指出,要構建一個攻擊面管理框架,企業首先必須具備以下條件:
• 技術衛生——確保基礎設施、云資源和工作站經過正確配置、打補丁并強化防御,以抵御攻擊。
• 強大的資產管理——了解所有資產,知道它們的位置,并確保它們處于適當的治理之下。
“如果技術衛生和資產管理不到位,會影響攻擊面管理的實施,”Burkhardt說,“在埃森哲,這些工作都做得很好,但這并不能完全防止邊緣案例和獨特的攻擊場景。”
和大多數企業一樣,埃森哲擁有標準的防御措施來檢測和阻止大部分自動化攻擊:終端保護、防火墻、電子郵件過濾、多因素身份驗證、補丁和配置管理、URL屏蔽等。
盡管埃森哲成功保護了超過99%的資產免受威脅,但由于并購帶來的攻擊面擴展,99%的防護已經不再足夠。
Burkhardt和他的團隊首次在進行眾包滲透測試時注意到其安全態勢中的漏洞。測試發現了一些小問題,這些問題是常規工具無法檢測到的,例如Apache中的默認密碼或GitLab或WordPress的弱配置,Burkhardt解釋道。
“滲透測試讓我們意識到,有些途徑可以進入我們的網絡,而商業漏洞掃描器永遠無法發現,”他說,“我們知道我們必須做得更好。”
多元化的ASM技術與團隊合作
2023年年中,埃森哲的信息安全團隊開始開發自己的工具,并開展定制活動,作為其攻擊面管理項目的一部分。
該項目將內部開發的工具與埃森哲購買并定制的第三方工具相結合,以針對特定漏洞進行掃描。
“我們制定了所有流程、嚴謹性和紀律,以確保安全團隊正在修復其應當修復的問題。”Burkhardt說。
構成埃森哲攻擊面管理(ASM)項目的技術和流程包括:
• 眾包滲透測試:針對關鍵應用進行測試,為漏洞專家提供發現埃森哲弱點的機會,確保壞演員未能先行。安全團隊分析測試結果,修復問題,并防止類似問題再次出現。
• 威脅情報響應:應急響應能力,使埃森哲能夠快速發現環境中的新漏洞,從而針對性地進行修復。
• 定制開發的高級檢測和復雜獵殺能力:這些能力在軟件配置中創建,是市售產品無法發現的。例如,這些工具能夠識別使用默認密碼的第三方平臺,從而形成漏洞。
• 監控埃森哲的互聯網足跡:確保公司IP資產得到識別和清點,包括埃森哲的域名和IP以及新收購公司的IP清單。
• 管理埃森哲的外部聲譽:第三方聲譽供應商消除誤報,并驗證埃森哲的安全檢測工具和流程是否正常運作。
• 侵入和攻擊模擬:該工具旨在持續檢測和防護已知威脅。如果攻擊者在埃森哲的某項服務上占據立足點,該工具將測試攻擊者實際能夠達到的程度,并在其移動時進行跟蹤。
更早發現漏洞并防止攻擊
根據Burkhardt的說法,定制的攻擊面管理程序的兩個主要目標是防止攻擊和提高在攻擊期間的響應速度。
“這兩個領域我們確實都有所改善,”他說,“我們現在對最后1%的IP空間有了可視化。證明在于,我們沒有被攻擊者未被察覺地訪問我們不知存在的系統所打擊,這一年多以來一直沒有發生過。”
Burkhardt描述了一個真實場景,埃森哲的快速響應流程發現并阻止了由新收購公司引發的漏洞。
“公司在完成收購時必須實施的一個控制措施是,所有遠程訪問必須啟用雙因素認證。”他說。
“這家特定公司遵守了這一規定并簽署了交易,但當我們用工具掃描他們的IP地址空間時,發現了一種非商業性的遠程訪問工具,該工具存在攻擊漏洞。公司甚至不知道自己在使用這個工具。我們能夠在攻擊者發現之前將其關閉,從而避免了未來可能遭受攻擊。”
憑借其定制的ASM項目,埃森哲榮獲了2024年CSO獎,該獎項旨在表彰在安全項目中展現出卓越思想領導力和業務價值的項目。
展望未來:將AI注入攻擊面管理
通過威脅情報源搜索漏洞和滲透測試人員模擬針對埃森哲的攻擊,ASM項目形成了Burkhardt所稱的“良性循環”,這一循環不斷強化其攻擊面,同時確保安全團隊及時掌握信息。
展望未來,Burkhardt正致力于如何將人工智能集成到ASM項目中。
“AI可以學習如何分析我們的威脅情報和滲透測試結果,以執行更高級、更快速的攻擊測試。”Burkhardt表示。
遺憾的是,他補充道,威脅行為者也了解這一點,并且他們也在使用AI。
“目前正在進行一場AI軍備競賽,威脅行為者可能占據了上風,”他說,“像我們這樣的防御者需要迎頭趕上。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號