Home 播客 ThreatTank -第3集-攻击面管理
Applications

ThreatTank -第3集-攻击面管理

About The Author

Outline

通过我们的安全专家提供的最新见解,保持网络威胁的领先地位。

立即订阅以接收:

ThreatTank简介–第3集:攻击面管理

Tom Gorup:欢迎使用Threat Tank,这是一个播客,内容涵盖最新的威胁情报,威胁响应以及有关全球安全形势的见解。 我是主持人,Edgio安全服务副总裁Tom Gorup。 Jeff Patzer和Chris Herrera今天和我一起。 欢迎您,杰夫和克里斯。

杰夫·帕特泽:是的,谢谢。

Chris Herrera:感谢您的邀请。

Tom Gorup:是的,男人,这将是一个伟大的谈话。 我们将深入探讨攻击面管理,它的价值,它是什么,所有这些伟大的东西。 但当我们在ThreatTank播客上建立一个传统时,我想用一个破冰的问题开场白。 如果这是你第一次收听,我不会告诉客人这些问题。 所以,他们不知道我要问什么。 当我一开始读这本书的时候,这本书实际上让我大笑起来。

问题是,Chris和Jeff,如果你做好准备,如果你是水果,你会是什么水果,你会如何避免被吃掉?

克里斯·埃雷拉:哦,天哪。 好吧,如果我们把它定义为一般人吃,那么我想也许是榴莲。 我的理解是,当你切入它们时,这些气味闻起来很难闻,他们甚至看起来不那么开胃。 但这可能只是我从无知中说话,因为我从来没有见过。

Tom Gorup:所以,你会是榴莲,因为你会避免被吃掉,你会看起来,看起来很糟糕,闻起来很糟糕,看起来很糟糕,闻起来很糟糕,可能味道很糟糕。

Chris Herrera:是的,味道不好。

Tom Gorup:好的,是的。

杰夫·帕特泽:他们甚至不喜欢在地铁上的榴莲,因为它们闻起来很可怕,在大多数地方,它们实际上是在季节生长的。 但他们被吃得非常重,克里斯,所以我不确定你能避免这种情况。 它们很美味。 你要怎样才能避免呢?

汤姆·戈鲁普:是的,我想象它就像jalapenos,每个人都觉得它们是如此的热,但仍然有一个市场,人们想要像最热的辣椒一样吃。 “那你想怎么样?”

Jeff Patzer:我要用FIG. 我是一个无花果,我不会试图避免被吃掉,因为,你知道,作为一个水果的全部要点就是被食用。

汤姆·葛鲁普:你想被消费的原因是因为这就是你如何传播和种植更多的果树基本上,对吧?

Jeff Patzer: 所以你可以通过任何类型的动物的消化系统和无花果都是绝对美味的,技巧是的,让它们在你可以真正得到新鲜的地方,因为大多数地方你必须像在商店买它们,它们只是不是新鲜的。 但如果你住在一个地方,你可以得到新鲜的水果,就像没有水果更好。

汤姆·戈鲁普:我可以向你保证,你把它描述为一个有趣的旅程,我很感兴趣。

杰夫·帕特泽:我的意思是,它是什么像神奇的校车,你可以在哪里加入,你知道通过消化系统的旅行吗? 相同。 我想也许不是每个人都能得到这个参考。

克里斯·埃雷拉(Chris Herrera): Rick和Morty的PG版本少了一点,当他们做非常相似类型的剧集时。

汤姆·戈鲁普:很好。

杰夫·帕特泽:没错。 恰恰如此。

汤姆·戈鲁普:所以,我会在想到这件事的时候一起玩,因为我在想也许是草莓。 但我会让我的种子像小BBS。 所以它们是如此的硬,你可以喜欢,如果你咬它们,你会切一颗牙齿,所以没有人会想吃它。 但到了你的观点,我可能不会被广泛和广泛地传播。

Chris Herrera:有趣的是,你对这个答案有一个问题,那就是他们会在吃了一口之后决定不想吃你。

Tom Gorup:哦,因为你臭了。 “我想你,我想你。”

Chris Herrera:我看起来不好。

Tom Gorup:太棒了。 好极了。 好的。 让我们开始吧。 希望破冰船对其他人来说是一样有趣的,因为它是让我们讨论。 但我们必须讨论这个话题,这个话题又是攻击面管理。 Chris,我想知道您能否像ASM这样向我们解释攻击面管理。

Chris Herrera:我会给出我希望和认为是一个非常准确的定义。 但一如既往,当您在其他安全人员,其他专家,您所在领域的任何其他人面前发言时,您总是会感到害怕,或者您可能会说一些错误或轻微偏离。

因此,如果我在这里的任何时候出错,请纠正我,但ASM,攻击面管理是一个简单的例子,它包含了识别,优先级划分,监控和分析数字资产的不同方面。 数字资产包括Web服务器,IP地址,API端点,应用程序,以及可能通过Internet或沿着这些线路暴露的环境中的任何数字化内容。 然后ASM进场。

攻击面管理,您可以想到这些单独的词语。 其中一部分是您在管理攻击面。 因此,可以看到,ping或探测的内容,或者互联网上被视为攻击面的任何内容。 ASM允许您确定可用的产品和服务。 你可能会发现你甚至不知道的东西在那里。 接下来,它还可以告诉您理想情况下哪些类型的应用程序,哪些服务器,哪些版本在后面运行。 甚至还有一个额外的步骤,它可以将这些漏洞与CVSS (通用漏洞评分系统)和零日漏洞等不同漏洞联系起来,让您更好地了解数字资产中的攻击面。 因此,还有很多事情要做。 显然,这就是我们今天要讨论的内容,但希望这是攻击面管理的一个良好起点。

汤姆·葛鲁普:是的。 就像用最基本的方式说一个工具,浏览互联网的互联网. 好吧,面向互联网的资产,并将它们聚合在某种工具中。

Chris Herrera:没错。

汤姆·戈鲁普:最基本的描述。

Chris Herrera:是的。 所以,我试图想象一个比喻如何想象这个。 我能想到的最好的事情是一种非常高科技的东西,我想象的像星际迷航或星球大战或者沿着这些线路的东西,你的船只在屏幕上有所有不同的组件,它监控着你的船只在外层空间中的每一个元素,这些元素可能会被激光或武器或沿着这些线路的任何东西击落。 除了告诉你有什么,它还告诉你他们的状态。

它告诉你他们是如何做到的。 它可能还会为您提供一些额外信息。 你知道,就你而言,如果你想了解更多关于其他资产的信息,你可以发送一个探测器,发送一些扫描件,获取一些关于其他人的信息,但它可能对其他人没有用处。 但对我来说,这是一个很好的方法,至少把ASM和现实世界的例子联系起来,因为星际迷航和星际大战。 但你知道这方面的一些东西。

汤姆·戈鲁普:这一定义缺少什么,杰夫?

Jeff Patzer:是的,你知道,我可能来自更多的像开发者背景,工程背景。 我也把它当作构建块一样,就像你所拥有的东西的内在运作。 所以,当您考虑我的攻击面是什么样子时,您构建的攻击面实际上也是攻击漏洞,对吗? 所以,如果你想从图书馆的角度或类似的内容添加到代码中,然后你就会发现,这不仅仅是互联网如何与你联系,而是一旦有了这些东西,它就可以在你的系统中发挥作用,对吗?

为了扩展星际迷航类比,监控引擎的状态与知道您知道您的激光保护领域在做什么一样重要,对吗? 所以,我想到它,嘿,如果你在使用一些外部库,如果你在使用任何类型的软件,你可以保证使用某种类型的开放源代码库来构建那些像较大的软件部分一样的库。 了解这些漏洞的内涵和可能存在的漏洞与人们交互的外部部分同样重要。

汤姆·戈鲁普:我的下一个问题是,为什么你说它和为什么它是有价值的一样重要。 运行ASM的价值是什么?

Chris Herrera:我的第一个想法是,如果我们具体谈论公司,或者您知道,即使是在家里的个人,很多安全团队都很容易做到。 好吧,不一定容易。 这是简单的确保你知道你拥有和熟悉的东西. 但正是按照Jeff的观点,您正在构建这些工具,这些环境是由许多单独的部分组成的。 而这些单独的碎片也会对攻击面,即您的整体表面产生影响。 我想不出比这更好的词了。 我会试着在这结束时想一想。

每一个个别的碎片,它都可以成为薄弱环节,或者,你知道,它是军队行进速度最慢的成员。 除了确保所有这些都列举在攻击面管理工具之外,库存技术还可以对这些工具进行优先级排序,并告诉您,嘿,如果这些工具出现故障,整个系统出现故障,或者它们可以对它们进行优先排序,嘿,在软件最过时的情况下,这些都是您最容易受到攻击的工具,或者它们容易受到最新的零日漏洞的影响。

或者你甚至可以优先排序它们,嘿,如果你想得到一些低垂的水果或者一些,你知道,你的脚湿,这些都是最简单的补丁。 不一定要派单,但要提高整体安全态势。

杰夫·帕特泽:是的。 你知道,我可能会补充一点,比如,对我来说,价值在于,如果没有某种监控系统,就不可能掌控一切,对吧? 系统变得越来越复杂。 你知道,我一直想到的ASM的类比是,在过去,我们做了什么,作为你建造一座城堡,防止入侵的军队? 走过围墙的唯一途径是几扇门,对吧? 因此,在某种程度上,端口就像是互联网的门。 你需要能够,你知道,它有点简单,像城堡是简单的,对吗? 就像它有墙壁,也许有护城河,也许有几个地方你可以进出。 但是,当你建立在复杂的环境中,能够监控这些情况时,你需要的不仅仅是像一对夫妇一样,告诉将军。 就像,这是那扇门的状态,对吧?

您正处在这样的位置,借助软件,您可以将控制权联合到团队成员手中,对吗? 所以任何人都可以在这一点上建造一扇门。 任何人都可以扩展这些功能。 如果你要依靠人们来管理所有这些问题,跟踪这种复杂性,它就会随着时间的推移而崩溃。 所以,对我来说,它的价值在于它可以让你增加复杂性,但也可以保持一点手持,比如允许人们做一些事情,但也可以监控正在发生的事情,就像他们所揭露的事情一样,并跟踪这些事情。 因为不然的话,随着事情变得越来越复杂,人类就无法跟踪这些类型的系统了。 我们也不应该这样做。

汤姆·葛鲁普:是的,是的,100%。 你们中的一些人曾经说城堡的比喻就是周边。 城堡防御是一种死;没有边界,对吗? 我们处在各种多云混合环境中,一些数据中心,一些位于Azure,一些位于AWS,一些位于GCP和Digital Ocean中;我们遍布各地。 我们知道所有的一切吗?

当我查看我对安全态势的看法时,我将其分为三个支柱:可见性,暴露和威胁。 我无法保护我看不到的东西。 我需要了解我的漏洞所在,也需要了解我是如何受到攻击的。 我听到的是攻击面管理确实为我们提供了前两个方面的很多信息,尤其是可见性和我不知道存在的东西。 开放端口,我在我的应用中使用的API技术,但也强调了我的环境中存在哪些漏洞,我可能会受到攻击。 所以,它看起来非常强大。 但是,比如,哪些团队通常运行这些工具? 我们是否只在应该运行AMS的安全团队中看到它?

Chris Herrera:从历史上看,我认为这是准确的说法,即安全团队负责或一直负责采购ASM工具,启动和运行ASM工具,始终如一地使用这些工具,解释结果并将这些结果带给组织内的不同团队。 如果他们发现了他们不知道存在的资产,他们不知道的主机名仍在正常运行,或者这些线路上的任何东西。

但我不一定知道这是否意味着它需要向前迈进。 有趣的是,技术的复杂性如何增加,但它可以为我们做什么,它在某种程度上模糊了不同团队之间的界限。 这就是为什么在历史上,我们使用dev SecOps或DevOps之类的术语,这些术语以及我们指构建应用程序的人员的方式。 正如一个具体的例子,在过去5-10年中,这种情况随着时间的推移而发生了变化。 我认为这可能是一个迹象,表明安全在某种程度上渗透到每个人的生活中。

现在,它不一定只是一个安全团队。 从我的经验来看,我很明显我甚至不知道我做什么,但安全不是我每天做的事情。 但我正在与其他团队的其他成员进行互动,他们名义上与安全无关,但他们知道很多,只是因为他们必须完成自己的工作。

Jeff Patzer:嗯,是的,我真的很喜欢你的说法, Chris。 我真的很喜欢你把它说成是每个人都在以某种或另一种形式与安全进行交互的方式,不管你是在打开电子邮件,还是在与安全问题进行交互。 您是否正在遭受网络钓鱼? 你知道,你是不是在检查事物? 从技术上讲,这是一种有人可能会攻击你的表面。

所以,我想当你问什么团队使用它时,我觉得你以往都喜欢它,开发者也是对的,就好像他们使用它是出于非常具体的原因。 但总的来说,它在不断增长,对吧? 正如我所说的,你知道,在这一点上,假设你想建立一个表格,让你有合作伙伴在注册某项内容或任何内容,对吧? 我可以构建自动化来获取这些信息,并将其发送给组织内部或组织外部的任何人。

就像我说过的那样,团队成员可以开始做一些以往可能不像构建Web服务器那样的事情,该服务器可以执行基于Web的特定任务,但仍是该组织数据收集的一部分。 当我们向前迈进的时候,如果你在某种意义上在线,不管你是什么方式,你都被曝光了。 你是以某种或某种形式互动的,是的。

Chris Herrera:我想,Tom在刚刚一分钟前提出的关于那些通常或预期负责这些工具的团队的问题。 我认为,安全过去和现在都负有这种责任,这是有意义的。 但是,考虑到ASM不仅可以提供安全信息,它也可以像我们在库存工具之前所说的那样使用,我可以明白为什么这对非安全团队非常有用。 在安全领域工作,我经常与不同的团队和不同的客户合作,并对日志和其他内容进行分析。

我向他们介绍了一些域名,嘿,这里有一些域名已经看到过一些攻击,当我遇到一个案例时,他们的回应是哇哦,我以为我们在12个月前就会关闭该域名,但事实证明它仍然处于开启状态,这对我来说总是很有趣。 它仍然是非常开放的互联网。 它仍然看到了大量的攻击。 因此,非安全人员可以经常使用IT的库存方面,事实上,可能需要视其易用性而定。

Tom Gorup:是的,我喜欢这一点,Jeff,谈论攻击面远不止停留在开放端口中,将其绑定到域中。 我们有子域接管。 您留下了一个与第三方连接的域,三年后,它被劫持,现在提供恶意软件,然后将您的域列入黑名单。 这是每个人的问题。 这是一个整体的业务问题。 但进一步看着你知道的电子邮件是完整的因素。

虽然有用于攻击面管理的工具,但攻击面本身是一个更广泛的对话,涉及业务的各个方面,不能仅限于安全团队正在监视的内容,对吗? IT需要参与,工程需要参与,营销需要参与。 所有这些团队都需要彼此进行交谈,以有效保护业务。

杰夫·帕特泽:汤姆,你和克里斯都有一个快速的问题。 Chris,您在谈论,嘿,我在查看日志,就像查看日志一样。 我的意思是很多人,他们不是在看日志线,对吧? 就像你向他们展示的那样,他们就像现在那是矩阵,我不做那件事。 对于可用于更好地向您认识的人传达攻击面的数据可视化类型,您有何看法,他们可能不是来自工程背景。 他们不是来自于IT背景,你知道,他们每天起床看日志线,你可以给他们一些东西,就像下面的矩阵解释一样。 你知道,你的家伙有什么想法,可以,你知道,有效地做到这一点?

Chris Herrera:哦,这是一个很好很有趣的问题。 我的第一个想法是,我从来不擅长数据可视化,但我看到数据可视化时就知道了,看到数据可视化效果也很好。 在我的脑海中,我看到了这种短暂的想法,我希望能够从Web应用程序的角度直观地看到它的外观。 我想查看哪些域可用于Internet。 不管这意味着什么,我都希望他们按相应的分组。 然后,我希望能够进入其中,查看他们运行的软件的版本。 在理想的环境中,单击”开”和”关”即可查看哪些漏洞可能适用于这些不同的端点。 但大多数情况下,我希望以可视化视图从高层次上查看到底发生了什么,然后能够从中深入了解。

汤姆·葛鲁普:是的。 我会双击这一点,说节点图超级强大,我看到在许多不同的方面(如一个角度),它就像事件响应过程,能够显示攻击者的进度。 log4j是一个很好的例子。 log4j从事件响应的角度来看,MDR的观点是攻击后的活动,因为它是零日攻击;你没有签名,对吧? 当log4j出现时,没有人有log4j漏洞的签名,因为没有人知道它。 但我们发现的是出站命令和控制流量。

如果您可以开始将无数资产带到单个命令和控制服务器,您的意思是更快地提取受损资产,但这些资产连接到了什么? 这就是像节点可视化这样的地方,我认为它可以帮助创建这些连接,否则这些连接本身就无法通过日志完成。 我总是想象它就像蝙蝠侠声纳,对吧? 在角落和位置可以看到这些视图,在其他情况下无法通过节点图看到这些视图的连接。 我可以整天在节点图上呆呆。

Chris Herrera:我的意思是,谁不能?

Jeff Patzer:是的,如果你想看到一个非常有自信的DataViz家伙会是什么样子,Chris Edward Tufte就是那个家伙。 他就像这方面的开创性作品,它应该是什么样的。 他很有自信心,但他有一些好东西。

Tom Gorup:喜欢它。 我将检查一下。 这一切对我来说都很棒。我部署了这个工具,我们称之为攻击表面管理,突然间我有一份清单,列出了所有开放到Internet的资产,端口号,API,应用程序服务等等。 我知道他们将如何易受攻击,以及如何受到攻击。 这一切都是以一个非常没有图表的形式呈现出来的,对吧? 那么,可能会出现什么问题? 此时,企业将面临哪些挑战?

Chris Herrera:没什么。 你已经完成了。

汤姆·葛鲁普:是的。 对。 挂断电话。

Chris Herrera: 不,我认为这与我们之前讨论的一些话题非常相似,其中很多团队都在合作,尽管每个团队都在做不同类型的工作,而且显然有很多不同领域的本地专家。 但是,我们今天讨论的这些ASM的输出类型以及之前讨论的内容,这些输出类型对许多不同团队都非常有用。 我想这种情况可以追溯到,任何团队合作都需要能够共享信息和协作。

这种工具不仅可以显著提高效率,而且还可以提高每个人的水资源,提高每个人对幕后幕后活动的了解,并划定前进道路,确保您的安全态势不会变得更糟,理想情况下会变得更好。

杰夫·帕特泽:是的,我的意思是,我想的一件事是,你如何分开这些工作的分散部分? 这很难,因为当你说,好吧,我需要去解决安全问题,姿势的东西,像一些可以很容易. 其中一些可能更难像升级你的WordPress版本. 我不知道,也许这很容易,也许不是。 但就像升级代码包一样,特别是在主要版本之间,比如需要花费大量的工作来查看这些东西,然后说,在这样做时,我会打破已经投入生产的东西吗? 就像从开发者的角度来看,它听起来很简单,是的,只要更新这个次要版本的东西,不是那么糟糕的主要版本的东西。 要有效地做到这一点真的很困难。 所以,我不知道。

对我来说,这几乎就像安全态势。 进来的工作几乎就像重构工作或处理旧代码,你需要去处理,对吗? 在某种意义上,它几乎就像一个杂务,或者它不是像建筑物的创造性方面。 它会回头看看你做了什么,喜欢做什么,修理和做这样的事情。 因此,我认为你拥有的任何工具都应该有助于打破这种分散的工作,让你将它联合到所有者手中,指派能够掌控它的人员。 因为在一天结束时,如果你有一个复杂的系统,就像我说的那样,你会有很多不同的事情要发生。 我相信,能够确保您可以管理这一点,然后对其进行审核并跟踪您的项目,例如实际的工作流程,这一点与知道您必须做到这一点同样重要。

汤姆·葛鲁普:是的。 想到的第一件事是可衡量的成果。 这是我经常从客户那里听到的。 我经常从客户那里听到两个问题:如何以可衡量的方式使我更安全? 你怎么能衡量它让我变得更好,让我更强壮。 接下来我需要做的最重要的事情是什么? 有效确定优先级。

好的,所以你知道,认为通过,因为我认为你的观点,你有很多工作也可以模糊. 我该如何实际解决这个问题? 这是代码更改吗? 这是配置更改吗? 或许我根本解决不了。 也许我们必须接受这种风险。 该过程是什么样的? 是的,这是一个很好的建议。

Jeff Patzer:我想你刚才让我想到的一件好事是噪音,比如噪音-信号比。 因此,这就像确保工具告诉您正在帮助您找出最重要的事情。 如果它是过度索引太多的东西,这不是一个大的交易。 这更像是一个警告类型的事情。 例如,嘿,这可能是您应该关注的问题,比如帮助区分噪声-信号比。 这同样重要,因为知道重点是什么,您需要从什么开始,对吧?

Chris Herrera:是的。 如果您收到1000个都是低优先级的通知,则可能会导致您认为您处于比实际情况差得多的位置。

汤姆·戈鲁普:我觉得这是你的打击区,对,克里斯? 主动确定客户的优先级。 想到任何场景,他们应该在这方面工作,或者您知道,或者您可能给出了不好的建议。 我很乐意听到这一点。

Chris Herrera:这很好。 不,我从来没有做过不好的推荐。 所以,您的第一个问题,即分析,对我来说是一个背景,当我谈到与客户合作时,我正在帮助他们保护他们的Web应用程序。 很多时候,当我介绍我的评论,我的建议以及我认为他们应该对其安全产品进行的任何微调调整时,很多次这是因为他们的应用程序从一开始就没有考虑到安全问题。 但不仅如此,也不是以一种很容易作出更改从他们的一边写的方式。

这就是为什么从我们的角度来看,从我的安全团队的角度来看,我们可以通过制定自定义的安全规则来在应用程序内进行虚拟修补,这一切都是沿着这些路线进行的。 我认为这种方法可以解答有关进行安全审查以及如何让客户做得更好的问题。 你知道,关于我提出不好的建议,我从来没有错误地发现一个错误的阳性。

杰夫·帕特策:从来没有这样做过。 它从来没有发生过。

Chris Herrera:我认为在我的职业生涯早期,我可能对推荐某些IP地址或将其列入黑名单有些过分热心。 随着您对它的适应程度越来越高,这是此时的最后一道防线。 是的,这可能是有史以来最糟糕的决定,像这样的小错误。

Tom Gorup: 我认为您所谈论的是ASM的某种力量,即能够了解您的企业,您的攻击面以及您的企业正在承受的风险,并找到利用您现有工具缓解这些风险的方法。 有时,修补程序不是您今天可以完成的事情。 我曾经处理过一个我不知道的事件,可能十年前,他们最重要的资产之一受到Conficker感染,正在进行取证调查。

我不知道你是否还记得Conficker,那个机器今天可能仍然受到威胁,因为他们对这台机器的反应是,这台机器让我们每分钟都赚了太多的钱。 它正在做一些过程,使他们太多的钱。 他们的决定是为了将其从网络中取下,让其继续工作,但它仍然受到感染。 事实上,我认为他们在上面签名,就像不连接到网络,这就是他们解决这个问题的方式。 因为从业务角度来看,不值得拆下该机器并冒着与之相关的收入风险。 他们宁愿让IT处理处于妥协状态。

我确信,在某种程度上,Windows XP计算机仍在生产中。 虽然WAF很棒,但我们拥有正确的工具,就像我们一样,虚拟修补是一个很棒的例子,嘿,我们现在无法修补。 在此期间,我们会做什么? 我们如何解决这一问题并利用您的专业知识,我认为这是一个伟大的,伟大的建议,一种细微差别的问题。

我当时想,如果使用ASM,本地部署和云之间会有什么区别? 结果是否会改变,刀具的价值是否会改变? 他期望这两种解决方案之间有什么区别?

Chris Herrera:哦,哇。 我马上就想到了,所以可能会有这么多的变化。 最后,他们只是做了与目标相同的事情,即识别库存,找出漏洞所在,等等。 但内部部署与基于云的,这是某种程度上的;我的意思是,它类似于许多安全产品以及它们在过去十年左右的时间里所取得的进步。

就您而言,关于WAF,至少那些过去完全是本地的。 这是非常昂贵的数十万美元的机器,这些机器只限于您知道一台机器所能处理的处理能力,现在大多数机器都是基于云的,用户不必担心他们可以检查多少流量或沿线的任何东西。 因此,与基于云的ASM相比,这在技术功能和计算功能方面具有许多相同的相似性。

但不仅如此。 它将是谁负责对基础架构进行更改的二分法。 您购买硬件,然后您必须确保所有这些功能都正常工作。 而如果它是基于云的解决方案,则可能属于您购买或使用服务并向其支付使用权的任何人的权限。 此外,它们具有不同的功能,与内部部署和基于云的其他安全产品非常相似。

因此,基于云的ASM在主动扫描其自身网络外的功能以及在整个全球的互联网上进行扫描方面可能会有更多的功能。 而至少在我看来,内部部署解决方案可能仅限于其自身的环境。 如果您只关心这一点,这可能是有意义的。 但是,如果您想查看攻击者在您的环境中还可以看到其他什么,或者从他们的角度来看有什么可供使用,这也是一个考虑因素。

杰夫·帕特泽:我想补充一下,克里斯。 我想有时候人们会认为,内部部署是,您拥有自己的硬件,您运行自己的硬件。 我想这种情况已经很长一段时间了。 但也可能有这样一个想法,你运行自己的软件,你拥有自己的所有权. 所以,让我们像一个开放源代码软件包一样,你已经决定你知道,而不是自己从头开始构建东西,而是利用现有的开放源代码,你要在你自己的云网络中运行它,但你要管理它的运行,对吧。

总体意图是,您不知道您购买了一项由您付费购买并由他们管理的第三方服务,而是实际上您拥有对该服务的管理,即使该服务仍在云缩放器上运行。 对我来说,结果仍然是一样的,就像您仍然需要做与您所做的相同的事情一样,无论您使用的是第三方的东西,还是运行您自己的开放源代码软件包,无论这可能是什么软件。 我认为在这一点上试图区分它,这不是一个很好的利用时间,因为在一天结束时,他们都只是以某种或另一种形式暴露出来,它可以从超级简单到非常复杂,任何捕捉到重要的东西。

汤姆·葛鲁普:是的,很有趣。 其中一个区别是云的分布性质和从全球不同地方扫描的能力,这在我的脑海中是显而易见的。 我在中国的网络是什么样的? 它是什么样子从俄罗斯? 与我的客户所在的地区相比,拉脱维亚的情况如何? 从他们的角度来看,这是什么样子的? 也许能够以这种方式划分世界并以不同的方式管理它可能是有趣的。 但与此同时,随着ORB网络和操作中继箱的使用日益增加,您知道地理围栏实际上已经消失了。 没关系。 无论它来自何处,我们都应该将其锁定。

这是伟大的。 杰夫,让我谈谈有关攻击面管理的所有最终想法。 最后的想法。

Jeff Patzer:在一天结束时,我将ASM视为另一种工具,让您深入了解您正在构建的东西,以及您需要注意的东西。 我以前说过,我会再说一次,我现在就说。 任何工具都不能取代批判性思维。 在一天结束时,你需要看看它在告诉你什么,你必须理解它,才能做一些有意义的事情。 你可以买到世界上所有的工具,但如果你不打算坐在那里,思考我要做的是什么,那么在一天结束时,这对你没有任何用处。

Chris Herrera:是的。 我最后的想法是,有些人可能会把它看作是一个小警察,但AI显然不会在短期内随时随地走到任何地方,如果有的话,它会在你去的任何地方都有更多的立足点。 Jeff提到批判性思维无法替代,我使用AI聊天,ChatGPT几乎每天都在我的工作中使用,显然它不能为我完成工作,但它绝对能让我朝着正确的方向前进。 我提出这一点的原因是针对ASM提出的,包括建议,向前迈进的步骤,以及可以在类似工具的输出中呈现的大量数据。 我认为人工智能几乎是当务之急,它需要某种类型的作用,不管是巨大的,还是在向人类呈现这种作用并使其具有人性相关性方面的小的作用。

汤姆·戈鲁普:是的,我喜欢这一点。 我喜欢这种思维过程,尤其是当我们合并各种数据集时。 我再次谈谈安全态势,可见性,暴露和威胁。攻击面管理为我们提供了大量可见性和大量暴露,并将其与您的威胁结合在一起,这些信息将成为帮助您做出决策和整体调整安全态势的输入。 但就Jeff而言,批判性思维是一项要求。 你不能只是设置它而忘记它。 就像任何工具一样。 就您而言,AI并不总是恰当的,就像您无法为您完成自己的工作,但它可以帮助引导您。

我认为这是一次很棒的谈话,非常有趣,我可能会再花30-40分钟谈论攻击面管理并挖掘所有的兔子洞。 但我们必须停止。 这就是我们今天所拥有的一切。 感谢您加入ThreatTank。

要随时掌握Edgio的最新威胁情报,您可以在EDG.io在线订阅。 Jeff和Chris,感谢您再次光临。 这真是太棒了。 感谢你抽出时间。