来源：https://detectify.com/external-attack-surface-management

外部攻击面管理(EASM)的完整指南

深入了解什么是外部攻击面管理，如何保护不断增长的攻击面，以及这对您和您的组织意味着什么。

一、定义EASM和攻击面

什么是外部攻击面管理?

应用程序的外部攻击面管理(EASM)是在各种系统和技术中寻找漏洞和异常的持续实践，例如基础设施、第三方服务和可能利用公共接口上的入口或出口点的应用程序。规划攻击面将帮助您了解内部和外部系统接口之间的相互通信。

EASM领域正在增长，对于那些在网络安全第一线工作的人来说，识别和监测外部攻击面变化对于辨别采取什么行动来保护攻击面至关重要。

二、什么是攻击面?

攻击面指的是任何接口，物理或数字的，攻击者可以在其中尝试输入自己的输入或部署攻击矢量，以获得对系统的未经授权访问并提取数据或其他敏感信息。它也可以被用作一系列攻击中的一个点。

企业越来越依赖SaaS服务和产品，这意味着数字攻击面不仅仅是防火墙和网络。它现在是互联网上公开可访问的不同web应用程序的可用入口点的总和——包括已知和未知资产。

已知的资产

已知资产是指您知道并特别注意监控的资产。这包括域名下的多个子域、安全检查apache安装、监视主应用程序和登录界面。

未知的资产

总是会有未知的资产在攻击面上制造弱点。如果没有正确的流程和工具，对于不断增长的业务来说，这些问题可能更难发现，而且通常发生在代码出错、安装了流氓或影子IT软件或供应链不安全的结果时。也有一些情况下，现有代码中出现了新的漏洞，这些漏洞来自于测试者或道德黑客的纯粹创造力，他们查看了其他人没有发现的地方。

三、不同类型的攻击面

容易发生错误配置的常见攻击面

3.1 中间件

软件开发可以在多种云环境、语言、工具和框架上进行，并且可以使用中间件。中间件以一种可扩展和有效的方式管理web开发的复杂性。这包括使用web服务器、内容管理系统、应用服务器，以及支持应用程序开发所需的其他工具。Detectify的内部研究团队已经演示了包括Nginx web服务器在内的中间件是如何发生安全配置错误的。

然而，在现代组织中，传统的中间件正在被集成和编制所取代。随着中间件编制成为开发团队中的规范，这将变得更加复杂。软件集成以及每个组件如何交互给安全团队和他们的攻击面带来了新的挑战。

3.2 云存储

像Amazon Web Services (AWS)这样的云存储提供商在保护实例运行的服务器硬件方面做得很好。不过，云的安全配置和访问管理是组织的责任。云提供商正在通过增加安全特性来解决人们的担忧，但我们仍然看到云中的数据因配置错误而受损。对错误配置的监视和正确的访问管理控制现在可以实现自动化。

3.3 第三方服务

随着对第三方软件或技术的每一次新的依赖，组织的攻击面都会增加。随着新公司的合并和收购，对第三方软件的依赖也可能会更加突出。根据德勤的数据，第三方供应商的使用在过去五年中呈指数级增长。

3.4DNS域和子域

域名接管的基本原理可以总结如下:

在浏览互联网时，访问网站或进行搜索的请求被发送到域名服务器(DNS)，将用户流量引导到请求的网站。当攻击者拦截DNS请求的流量并将其重定向到另一个网站时，DNS就可能被劫持，通常是带有恶意的。

入侵顶级域名(TLD)意味着黑客已经能够控制注册在com、co-uk或io上的网站的名称服务器，并随后控制发送到这些网站的请求。Detectify联合创始人兼安全研究员Fredrik N. Almroth写了一篇精彩的文章，讲述了他如何道德地劫持了一个主权国家的顶级域名，并暂时占据了该顶级域名50%的所有DNS流量，这很容易被恶意黑客利用。

流量劫持也可能发生在子域级别。恶意子域名接管是由侦测安全研究人员创造的一个术语，攻击者注册并声称已被原始网站所有者遗忘或放弃的子域名的所有权。在Detectify，我们有超过350种技术来识别由我们自己的安全团队开发的子域接管。

新的研究表明，子域名收购正在上升，但由于域名包含更多的漏洞，监管也越来越难。

下图展示了子域接管可能发生的情况:

3.4 服务器配置错误

错误配置的服务器，如电子邮件服务器是其中一种方式域的风险，强制欺骗电子邮件。2016年，Detectify安全研究团队对Alexa排名前500的网站进行了电子邮件服务器配置错误研究。他们发现，只有不到一半的域名配置了正确的电子邮件身份验证，以防止假冒的电子邮件被发送，这意味着用户有可能收到来自他们信任的域名的虚假电子邮件。

3.5 其他容易出错的常见攻击面:

路由器

网络vpn

端口

托管应用程序，如问题跟踪工具

框架

Github回购

物理员工设备

四、攻击向量和方法

什么是攻击向量?

网络安全中的攻击向量是指攻击者利用漏洞、突破攻击面所采取的路径或路径。攻击向量方法包括:

1、弱或被盗的凭证

攻击者可以购买或收集这些文件，然后使用暴力强迫或凭证填充攻击来通过登录界面。

2、零日攻击(0-day)

零日攻击矢量利用技术创建者不知道的软件或技术中的漏洞。

3、流量劫持

不正确的加密流量可能会导致攻击者窃取敏感的用户数据，如用户名、密码和信用卡详细信息。

4、网络钓鱼

一种社会工程攻击，攻击者发送欺诈性消息，诱使人类受害者透露敏感信息。

5、子域名接管

当攻击者接管子域时发生，当子域指向不再使用的第三方提供程序时可以发生。

6、社会工程

社会工程攻击是一种利用心理操纵来让你泄露机密信息或执行特定行动的艺术。

7、拒绝服务

DoS攻击是指作恶者试图通过暂时或无限期地中断连接到网络的主机的服务来使机器或网络资源不可用。

8、OWASP 2021年排名前十

这个针对开发人员和web应用程序安全的标准意识文档代表了关于web应用程序最关键的安全风险的广泛共识。

五、越来越多的攻击面和例子

今天，软件和科技企业每天都在以速度和规模发展。这意味着可用的网络攻击面正在增加，特别是对数字组织而言。每当一个面向web的资产公开时，例如一个新的营销活动子域或在Github中提交用户输入，你的可用攻击点就会增加。

安全团队经常努力维护每个新资产的可见性。与此同时，被恶意黑客发现的未知攻击载体或意外暴露的技术堆栈也增加了表面。

但这一切意味着什么呢?简而言之，您的攻击面正在大规模增长，而且可能比您意识到的还要快。

现实生活中的攻击面例子

被破坏的攻击面可能发生在任何组织。由于第三方软件漏洞和远程访问应用程序的意外暴露，最近发生了一些备受关注的案例。一些最著名的例子包括:

Solarwinds

一群黑客通过对太阳风公司猎户座(Orion)软件的一次泄露更新，进入了政府和太阳风公司的其他系统。Detectify于2021年2月将这一零日漏洞CVE-2020-10148 solarwind Orion认证旁路添加到其扫描仪中。

Kaseya

2021年7月的一次勒索软件攻击使Kaseya的软件受损，影响了多达1500家组织。恶意黑客利用Kaseya的VSA软件漏洞对多个托管服务提供商(MSP)及其客户进行了供应链勒索软件攻击。

佛罗里达水处理设施

2021年2月，一名黑客对佛罗里达州的一个水处理设施发起了攻击，该设施曾短暂地将氢氧化钠水平调整到危险水平。幸运的是，一个警惕的团队成员看到了正在发生的入侵企图并阻止了它。