攻擊面定義
攻擊面(Attack Surface)是用來描述攻擊者可能的區域,涵蓋組織面對威脅時的各種弱點。攻擊面包括從營運基礎架構(例如硬體、軟體、雲端服務與應用程式)到運作和使用基礎架構的人員(例如員工、IT 和安全人員、合作夥伴與廠商)。當網路犯罪分子試圖未經授權存取網路、系統或資料時,會特別考量組織的整體攻擊面。
攻擊面由以下部分組成:
- 已知資產
這些是攻擊面中最容易管理的部分,因為已知資產會被盤點並加以控管。已知資產包括已核准的使用者設備(例如電腦、筆記型電腦、行動裝置、印表機)、組織的網站、伺服器,以及在其上運作的軟體。 - 惡意資產
這是指惡意基礎設施,例如惡意軟體(Malware)或仿冒域名。 - 未知資產
雖然未知資產本身未必具有惡意,但仍可能構成威脅。這些資產可能包括使用者自行安裝的印表機或物聯網 (IoT , Internet of Things) 裝置,以及未經 IT 部門知情而建立的開發或行銷網站。 - 第三方和第四方
任何有權存取內部系統的第三方,都是攻擊面的一部分。這包括所有廠商及其分包商,以及合作夥伴與承包商。
攻擊面分為兩類:數位攻擊面和實體攻擊面。
什麼是數位攻擊面?
數位攻擊面涵蓋組織所使用的已知與未知的硬體與軟體(例如,應用程式、雲端服務代碼、IoT 裝置、連接埠、伺服器和網站)。除此之外,還有一些常被忽略的數位攻擊面組成要素,包括:
- 應用程式介面 (Application programming interface, API)
- 網路連接埠、通道、無線存取點、防火牆與通訊協定的組態
- 韌體
- 面向網際網路的資產,例如網站、Web 應用程式與 Web 伺服器
- 仍連接至網路的過時裝置、資料或應用程式
- 作業系統 (Operating systems, OS)
- 影子 IT
- 共享資料庫和與目錄
- 軟體
- 使用者認證
什麼是物理攻擊面?
雖然數位攻擊面受到廣泛關注,但實體攻擊面同樣重要,且因更容易接觸,常被網路犯罪分子加以利用。實體攻擊面包括:
- 廢棄硬體
- 端點裝置,例如桌上型電腦、硬碟、IoT 裝置、筆記型電腦、行動裝置,以及 USB(通用序列匯流排)隨身碟
- 存放資源的辦公室或工作區
- 記錄使用者認證的紙本記錄
攻擊面與攻擊向量
攻擊面與攻擊途徑彼此相關,但有所不同。
| 攻擊面(Attack Surface) | 攻擊向量(Attack Vector) |
|---|---|
| 攻擊面是指網路犯罪分子可用來取得未經授權存取權限的區域或漏洞。它涵蓋所有可能被未授權使用者嘗試進入或從環境中擷取資料的實體與數位接觸點。每當組織新增一項軟體安裝、裝置連接或使用者存取點時,其攻擊面就會擴大。 | 攻擊向量是網路犯罪者用來取得未經授權存取權限的策略。它本質上是發動網路攻擊所採用的方式或技術。攻擊向量是利用攻擊面上發現的弱點的特定策略。 |
攻擊面的大小與複雜程度會直接影響可被利用的潛在攻擊向量。攻擊面越大,攻擊者可利用的機會與方式(即攻擊向量(Attack Vector))就越多。縮減攻擊面是一種主動策略,能有效降低可用攻擊向量的數量。
管理攻擊面涉及識別和保護多個潛在暴露點,需要採取全面而整體的安全措施。相較之下,防禦攻擊向量則需要針對特定類型的威脅制定特定的防禦措施。
| 攻擊面範例 | 攻擊向量範例 |
|---|---|
| 雲端系統與儲存 電腦 電子郵件 行動裝置 網路 可抽取式媒體 伺服器 供應鏈 使用者認證 | 密碼外洩 惡意軟體 中間人攻擊 開放連接埠 過期或未修補的軟體 網路釣魚 勒索軟體 弱加密 無線攻擊 |
定義攻擊面
要定義攻擊面,必須識別潛在的弱點並評估漏洞。釐清使用者角色與權限等級也是其中一項重要因素。
定義攻擊面時的考慮因素包括:
- 資料儲存在本地端和雲端儲存中的位置
- 敏感資料在組織內部與外部之間的流通路徑
- 構成攻擊面的實體和數位元素
- 為保護資產而設定的安全控制措施(例如,存取控制、驗證、授權、活動記錄、資料驗證與加密)
- 組織蒐集、儲存與處理的敏感資料(例如財務資訊、智慧財產、關鍵業務資料、個人可識別資訊 (personally identifiable information, PII) 和受保護的健康資訊 (protected health information, PHI))
- 有權存取哪些資料和資源的使用者,以及有權存取的系統
進入點
一旦設計了攻擊面,使用視覺化工具建立攻擊面圖會很有幫助。這應包括所有進入點,以及誰擁有授權存取權限與已部署的安全防護措施等資訊。
利用攻擊面
為了防禦攻擊面,瞭解網路攻擊(Cyber Attack)與社交工程(Social Engineering)如何被用來加以利用是非常重要的。
網路攻擊
網路攻擊針對組織攻擊面的特定元素,以利用漏洞、存取敏感資訊或干擾營運。以下是幾種常見的網路攻擊類型,它們會針對攻擊面的不同部分進行利用:
- 進階持續性威脅 (APT , Advanced Persistent Threat)
- 跨網站指令碼攻擊 (XSS , Cross-site scripting)
- 拒絕服務 (DoS , Denial of Service)
- 偷渡式下載
- 利用攻擊
- 惡意軟體(Malware)
- 中間人攻擊 (MitM , Man in the Middle)
- 密碼攻擊
- 勒索軟體(Ransomware)攻擊
- SQL 注入(SQL injection)
- 零時差漏洞
社交工程
社交工程攻擊是透過操控人類心理,而非技術性駭客手法,來利用攻擊面。以下是幾種常見的社交工程攻擊方式:
攻擊面管理
攻擊面管理是透過結合用於識別和緩解漏洞的流程與技術來執行。攻擊面管理的關鍵組成要素包括以下內容。
資產發現與盤點
只有準確盤點所有資源(即已知和未知),才能有效進行資產管理。攻擊面管理解決方案應定期執行資產發現作業,並將新發現的資產納入盤點清單。資產發現範圍應涵蓋組織所有面向網際網路的 IT 資產,包括本地端與雲端資源。
持續監控
攻擊面管理解決方案應持續即時監控所有已盤點的資源,以偵測任何可能成為攻擊向量的漏洞。
評估與優先順序
攻擊面管理應包含對潛在漏洞的評估與優先排序。可透過根據資產的安全風險與漏洞程度分配風險分數,以協助釐定修補與緩解的優先順序。
減少與修補
當偵測到漏洞時,攻擊面管理解決方案可以幫助安全團隊採取行動,減少攻擊面。
減少攻擊面的最佳實務
保護攻擊面的最佳方法之一是減少攻擊面。以下是幾種減少攻擊面的方法。
定期進行漏洞掃描
定期進行網路掃描與分析,可以透過找出需要緩解的漏洞,來幫助減少攻擊面。漏洞掃描還可以透過協助識別應消除或納入 IT 管理的惡意或未知資源,來支援減少攻擊面的工作。
教育使用者認識網路威脅與安全規範
定期進行網路安全意識培訓,能將員工從潛在風險轉化為資安守護者。透過教育他們如何遵守並執行安全規範,以及瞭解網路威脅(Cyber Threats)與風險,使用者便能協助減少攻擊面。
實作零信任架構資安模型
零信任架構(Zero Trust)安全方法有助於透過限制暴露來減少攻擊面。在零信任架構下,只有經過授權且有明確需求的使用者才能存取資源,進而將可能遭到入侵的存取點降至最低。
保持軟體更新
建立定期安裝修補程式與軟體更新的流程。
利用身分管理
身分管理可以透過提供對誰有權存取哪些資源的可視性,然後移除任何不必要或未經授權的存取,來幫助減少攻擊面。
限制開放連接埠
雖然開放連接埠是必要的,但許多組織往往開放過多。妥善關閉未使用的連接埠,有助於減少攻擊面。
分段網路
網路分段透過使用防火牆和微分段(Microsegmentation)(即將網路劃分為更小的單元)等策略,來建立包含資源的受保護「孤島」,進而將攻擊面減少至最低。
簡化系統與流程
將複雜性降至最低對於減少攻擊面具有顯著成效。這包括最佳化管理流程與安全原則,並透過停用過時或未使用的軟體和裝置來減少端點。
使用嚴格的存取控制
應實施並嚴格管理存取控制(Access Control),以限制對內部和外部敏感資料和資源的存取,並追蹤特定使用者所存取的應用程式與資料。納入實體存取控制措施至關重要。
攻擊面常見問答集
人為攻擊面的範例是什麼?
人為因素往往是組織攻擊面中最不可預測且最脆弱的部分。以下是幾種人員可能被利用、進而危害攻擊面的常見方式:
- 誘餌攻擊
- 網路釣魚攻擊(Phishing)
- 冒名攻擊
- 社交工程電話攻擊
- 尾隨闖入
- 針對潛在的惡意內部人員
- 使用過弱的密碼
- 水坑攻擊
攻擊面的同義詞是什麼?
攻擊面的同義詞是暴露足跡。
如何識別攻擊面?
識別攻擊面涉及找出所有可能被攻擊者利用的漏洞與進入點。識別攻擊面的關鍵步驟包括:
- 盤點所有資產。
- 記錄網路架構。
- 識別所有進入點,包括所有與系統互動的外部服務與 API。
- 考慮儲存關鍵系統與資料的設施的實體存取點。
- 審查哪些使用者可以存取關鍵系統與資料,以及所授予的存取等級。
- 檢查過時或不支援的軟體、未修補的系統,以及所使用軟體中的常見漏洞。
減少攻擊面,提升安全等級
儘管要全面掌握攻擊面的範疇可能令人望而卻步,但大多數組織仍可透過遵循攻擊面管理與縮減的最佳實務,實質提升其網路安全(Cybersecurity)態勢。與其他網路安全計畫一樣,提升資安防護的機會將帶來整體正面的影響。
