如何确定应用程序的攻击面?

日期:2017-7-19作者:赵长林

【TechTarget中国原创】

任何希望管理安全风险的企业都需要理解自己究竟是如何被暴露的。企业运行的应用程序占据了这种攻击的很大数量,这是因为应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是,在健全的风险管理发生之前,企业能够确认攻击面。

在确认应用程序的攻击面时,我们必须首先判定哪些是企业范围之内的,哪些是范围之外的。企业部署了很多不同类型的应用程序,而且从风险管理的观点来看,每种应用程序都被区别对待。常见的应用程序类型包括Web应用程序、Web和微服务、移动应用以及已部署的其它类型的软件。根据软件的来源不同,软件也可区别对待。有些应用程序可以是本地开发的定制软件,而有些可能是由第三方开发的软件,或是商品化软件,或者是由外部的大小厂商提供的外部软件。非常重要的一点是,统计出企业应用程序的攻击面中的任何云服务,这是因为这些服务常被用于存储和管理敏感信息。

确定应用程序范围的目标是,尽可能决定最全面的清单。确切地说,构建这个清单是一个反复的过程,并且很难真正地实现。为什么攻击面的清查过程如此困难?在多数企业中,原有的应用程序是在调查开始之前就部署好了,这就需要分析人员在对已有的应用程序的“存货”进行清查。此外,新的应用程序又在不断地开发,或者由于公司的合并或收购而产生新的应用程序。云供应商和云服务还使得各种企业和行业以一种“去中心化”的方式获得了更多的攻击面。最后,在很多企业中,随着现有的应用程序被重新设计和扩展,开发运维和其它的战略构想还可能导致各种微服务和其它软件攻击而的激增。

那么,分析人员如何找到部署在企业中的应用程序呢?其方法依据企业而不同,但是企业的规模可能影响攻击面以及攻击面的发现方式。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

赵长林
赵长林

TechTarget中国特邀作者

产品应用安全>更多

  • 谷歌尝试通过机器学习解决Android应用隐私问题

    谷歌尝试通过利用机器学习来改进应用扫描,从而保护用户免受Android应用隐私侵犯和过多权限的问题,但对于这一做法是否有效,专家持有不同意见。

  • 如何确定应用程序的攻击面?

    应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是,在健全的风险管理发生之前,企业能够确认攻击面……

  • 企业是否应信任第三方代码?

    软件日益成为企业从事各种业务的核心,而合作伙伴提供软件中的漏洞可能会成为企业的漏洞。企业是否该信任第三方代码呢?

  • 如何着手构建应用安全程序?

    近日在罗马举行的2016年OWASP AppSec大会,专家们与来自全球各地近700名与会者探讨了构建应用安全程序“从哪里开始”的问题……

相关推荐

  • 隐私vs.安全:该如何平衡?

    中国的《网络安全法》已于今年6月1日正式开始实行,这给现代企业在维护信息隐私和安全性方面带来更多的挑战,也将对如何平衡隐私和安全性的探讨推上风口浪尖。

  • 抵御WannaCry等攻击?这里有一波资源来袭……

    连续几天勒索蠕虫WannaCry都作为霸屏一般的存在,且该勒索病毒源头软件背后的黑客黑客组织放话还要在6月持续放大招,不免令人担心。那么为了应对潜在的恶意攻击,企业该怎么做呢?

  • VeriSign iDefense威胁情报功能一览

    VeriSign iDefense威胁情报为选定系统提供实时威胁数据,同时,该服务还可提供有关国家和区域新兴事件的可操作情报报告,以及针对特定行业和企业风险问题的定制报告。

  • 解决数据安全问题:企业需有针对性地进行防御

    据统计,黑客们利用仅仅是有限的少量应用程序漏洞,但针对这些程序的攻击却占据了绝大多数。如果企业重视监视和防御有限的这些易被攻击的应用程序,攻击者的日子就要难过得多……

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
【TechTarget中国原创】

任何希望管理安全风险的企业都需要理解自己究竟是如何被暴露的。企业运行的应用程序占据了这种攻击的很大数量,这是因为应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是,在健全的风险管理发生之前,企业能够确认攻击面。

在确认应用程序的攻击面时,我们必须首先判定哪些是企业范围之内的,哪些是范围之外的。企业部署了很多不同类型的应用程序,而且从风险管理的观点来看,每种应用程序都被区别对待。常见的应用程序类型包括Web应用程序、Web和微服务、移动应用以及已部署的其它类型的软件。根据软件的来源不同,软件也可区别对待。有些应用程序可以是本地开发的定制软件,而有些可能是由第三方开发的软件,或是商品化软件,或者是由外部的大小厂商提供的外部软件。非常重要的一点是,统计出企业应用程序的攻击面中的任何云服务,这是因为这些服务常被用于存储和管理敏感信息。

确定应用程序范围的目标是,尽可能决定最全面的清单。确切地说,构建这个清单是一个反复的过程,并且很难真正地实现。为什么攻击面的清查过程如此困难?在多数企业中,原有的应用程序是在调查开始之前就部署好了,这就需要分析人员在对已有的应用程序的“存货”进行清查。此外,新的应用程序又在不断地开发,或者由于公司的合并或收购而产生新的应用程序。云供应商和云服务还使得各种企业和行业以一种“去中心化”的方式获得了更多的攻击面。最后,在很多企业中,随着现有的应用程序被重新设计和扩展,开发运维和其它的战略构想还可能导致各种微服务和其它软件攻击而的激增。

那么,分析人员如何找到部署在企业中的应用程序呢?其方法依据企业而不同,但是企业的规模可能影响攻击面以及攻击面的发现方式。

大企业往往拥有更多的业务、服务和产品,而这些往往与应用程序的暴露密切相关。在小企业中,与其它部门(如会计部门)合作时,使用非技术手段也许更可行。企业所属行业也可能影响到攻击面。大型银行或金融服务公司往往比大型的矿业公司拥有更多的定制软件开发,因为后者往往依赖的是封装好的软件和大量的特定行业软件。IT的成熟度和集中化会影响到确认应用程序的过程,由于拥有更高成熟度的公司其资产管理方法更好,因而其清查应用程序的起点就可能更好。

云的利用也影响到攻击面的确认过程。未利用云服务的企业和依赖自有数据中心的企业可能更容易发现已部署的应用程序。不过,必须重视的趋势是,企业日益将其大量的服务推送给云供应商,用以支持开发运维(DevOps)和其它的灵活性策略。

技术手段和非技术手段都可以确认应用程序。确认应用程序的技术方法可包括扫描数据中心的IP范围,其目的是为了确认在网络中存在哪些系统。目标nmap扫描与脚本的结合有助于为更多的人工分析提供起点。获取web应用程序主页的标志并进行审查可以知道基础架构的不同部分部署了哪些应用。此外,检查企业拥有域的DNS记录也可以知道配置了哪些应用和服务。搜索应用商店也可以找到企业已经发布的移动应用。

确认应用程序的非技术手段包括与会计部门的协作,确认由云供应商管理的外部应用程序。还有一些厂商可以帮助企业分析和优化云计算的花费。与这些厂商协作的另一个作用是厂商还往往能够帮助企业确认与未知的应用程序攻击面有关联的云计算花费。此外,分析人员可以与IT部门协作,可以检查灾难恢复计划。如果一个系统足够重要,以至于需要人员来保持持续运行,那么,监视其安全性也往往是很重要的事情。与来自不同业务的人员进行讨论还往往能够确定一些关于应用程序攻击面的令人吃惊的信息。发现能够增加攻击面的应用程序的最佳方法往往就是与来自不同业务的人员进行内部的沟通。这种交流还可以使安全分析者找到他们了解的应用程序,也可以发现放弃老应用程序的一些机会,或者是安装和部署新应用程序的可能性。对于一些IT部门不太成熟和不集中的企业来说,这往往是获悉不断演变的应用程序组合的重要方法之一。

在得到应用程序清单后,如何处理?技术上的发现向分析人员提供了决定攻击面的原始材料。非技术方面的发现可以向分析人员提供关于应用程序和服务的很多有价值的元数据(元信息)。然后,分析人员就需要整合这些材料,其目标是形成一个清单,根据被管理的数据、业务的重要程度、有关的合规要求等对应用程序进行评级。这种补充的元数据可以为日后实施关于测试和修复的风险管理决策提供材料。

应用程序资产的管理过程是一个不断重复的过程,无论是发现早期遗漏的信息,还是应对企业攻击面的不断演变问题,都是如此。甚至一个不完整的清单也要比根本不理解企业的攻击面都要好得多,因为未知的攻击面是无法防御的。