Attack Surface

Attack Surface vs. Attack Vector

如果存在攻击面，那么攻击向量究竟是什么? 我们知道，“向量”是一个事物访问另一个事物的方式. But, 就网络安全而言，这意味着什么?它与整体表面的区别是什么?

攻击向量只是指威胁行为者试图访问网络的单一途径. 攻击面由整个网络上的所有向量组成，威胁参与者可能会利用这些向量.

攻击向量本质上是攻击者进入系统的切入点. From there, 攻击者会采取深思熟虑的攻击路径来获取他们想要的信息或资源. Malware, for example, 有三种主要的载体类型——特洛伊木马, virus, 蠕虫——利用典型的通信方式，如电子邮件.

单个攻击向量会创造出小的开口, 但是，所有这些入口点的组合创造了一个更大的漏洞，可以将普通网络变成动态攻击面. 如果您的网络已成为一个动态攻击面, 那么从整体上考虑安全项目可能是个好主意, including 扩展检测和响应(XDR), cloud security, and 漏洞风险管理(VRM).

操作电脑的人, systems, security, 当网络钓鱼等社会工程攻击开始发挥作用时，网络也可以被认为是攻击媒介.

Types of Attack Surfaces

开始思考攻击面是什么样的, 它有助于将其置于个体组织的背景中. 每个组织都有不同的目标，因此每个人 attack surface management 方法看起来会有所不同.

Digital Attack Surface

数字攻击面包括部署在任何设备上的所有web应用程序， APIs, cybersecurity programs，以及网络上任何可以归类为“数字”或非物理的东西. 如果企业与供应链合作伙伴签订合同, 然后，他们的攻击面自然会延伸到他们特定组织的外围.

Physical Attack Surface

物理攻击面包括对维护网络至关重要的任何非数字硬件. 这可以是一个详尽的列表，包括服务器，端口，布线或网络电缆，物理 endpoints 比如手机、笔记本电脑、智能手表、智能耳机和数据中心.

这种类型的表面攻击需要潜在攻击者的不同行为，因为他们必须获得或访问这些有形资产才能操纵它们.

社会工程攻击面

如上所述，人类主要构成了与社会工程相关的攻击面. This includes phishing attacks, honeypots，链接欺骗和搭便车. 这种类型的攻击旨在使网络上的人类用户相信他们所看到的是完全有效的.

It could be a fake email designed to get a user to click a link that installs malware on that endpoint; it could be someone piggybacking into an office, attempting to convince an actual employee they forgot their badge; or social engineering could come in the form of a text message sent to a user that appears to be from their manager or someone else in the company.

如何识别你的攻击面

在网络安全计划的最关键部分——一个动态的部分——创建过程中，识别攻击者可能攻击的攻击面路径是一项练习, multifaceted, and continuous.

According to the 开放全球应用程序安全项目，攻击面分析可以帮助识别: 

1. 系统的哪些功能和部分需要检查/测试安全漏洞
2. 需要深度防御的高风险代码区域，以及需要防御的系统部分
3. 当您更改了攻击面并需要进行某种威胁评估时

最后一点与分析和识别攻击面的需求一致 continuously. 它还要求安全从业人员知道公司和安全目标何时发生了变化，以便他们能够调整风险概况. 什么可能被认为是优先的补救措施，以加强防御沿 attack path 昨天可能在今天的列表中排名更低. 

如果攻击面包含攻击者可以利用的网络上的点的集合, 考虑一下，根据调整后的风险概况，该集合的变化频率.

减少攻击面最佳实践

让我们深入研究一些最佳实践，它们可以帮助安全组织最大限度地减少威胁参与者正在寻求利用的许多漏洞/媒介/侵入点. 

• Leverage automation安全组织可以使用自动化来删除过时的数据(旧密码), former employee data, old backups, etc.) or 身份和访问管理(IAM) 这些政策可以简单地阻止相当大比例的潜在威胁行为者试图获得访问权限. 自动漏洞扫描还可以帮助减少弱点，从而减少攻击面.
• Educate employees员工往往是安全链中最薄弱的一环. 培训团队了解攻击者如何使用数字足迹窃取凭证以试图突破攻击面，这是无可替代的. For example, 重要的是不要使用任何个人身份信息(PII)或可公开访问的信息. 它还有助于识别有权访问最敏感系统的关键员工，并投入时间教育他们进一步保护这些关键系统.
• 了解数字攻击面: To know where weak points lie, 安全组织应该了解他们完整的数字足迹，并像攻击者一样看待它. It is, of course, 对内部数字资产进行详尽的了解以及它们如何在后端连接在一起并相互影响至关重要. But, 具备基本的互联网搜索技术, 组织也可以像非雇员或攻击者那样开始映射和快速了解他们的互联网存在.
• 建立持续威胁暴露管理(CTEM): CTEM 框架是否主要关注于暴露并帮助安全团队修复对其特定业务最重要的持续和/或直接威胁. 这个框架可以包括攻击模拟，这样安全组织就可以根据威胁的严重程度来确定威胁的优先级.

Leveraging tools like cloud risk management (CRM), 扩展检测和响应(XDR), 现在，人工智能驱动的云异常检测可以加速安全团队减少攻击面的任务，并帮助他们快速准确地消除威胁.

阅读更多关于攻击面安全的信息 

博客:网络资产攻击面管理101

攻击面安全:最新的Rapid7博客文章