ThreatTank簡介–第3集:攻擊面管理
Tom Gorup:歡迎收聽Threat Tank,這是一個播客,內容涵蓋最新的威脅情報,威脅響應和全球安全形勢的見解。 我是您的主持人,Edgio安全服務副總裁Tom Gorup。 今天和我一起的是Jeff Patzer和Chris Herrera。 歡迎,Jeff和Chris。
Jeff Patzer:是的,謝謝。
Chris Herrera:感謝您的邀請。
Tom Gorup:是的,這將是一次很棒的談話。 我們將深入研究攻擊面管理,它的價值,它是什麼,所有這些偉大的東西。 但是當我們在ThreatTank播客中建立傳統的時候,我想用一個破冰船問題來開啟話題。 如果這是你第一次來,我不會告訴客人這些問題。 所以,他們不知道我要問什麼。 當我最初閱讀時,這本書實際上讓我大聲笑起來。
問題是,克里斯和傑夫,如果你準備好了,如果你是一個水果,你會是什麼水果,你會如何避免食用?
Chris Herrera:噢,天哪。 嗯,如果我們把它定義為一般人吃,那麼我想也許是榴蓮。 我的理解是,當你切進他們的時候,他們聞起來很臭,他們看起來也不那麼開胃。 但這可能只是我從無知中說的話,因為我從來沒有見過這樣的。
Tom Gorup:所以,你會是榴蓮,因為你會避免被吃,你會看,看上去很糟糕,聞起來很糟糕,聞起來很糟糕,可能嘗起來很糟糕。
Chris Herrera:是的,味道不好。
Tom Gorup:好的,是的。
Jeff Patzer:他們甚至不喜歡在地鐵上的榴蓮,在這個季節,他們實際上生長了的榴蓮,因為它們聞起來很難聞。 但是他們吃得很飽,克里斯,所以我不確定你是否能避免這種情況。 它們很美味。 這有點像,你怎麼避免呢?
Tom Gorup:是的,我想它就像jalapenos,每個人都喜歡他們的辣味,但仍然有一個市場,適合那些想吃辣味的人。 那麼,你能得到什麼,Jeff?
Jeff Patzer:我只是跟無花果一起 我是無花果,我也不想避免吃,因為,水果的整體意義就是要吃。
Tom Gorup:你想要消費的原因是因為這就是你如何傳播和種植更多果樹的本質,對吧?
Jeff Patzer: 所以你可以通過各種動物的消化系統進行有趣的旅程,無花果也絕對美味,技巧是是的,你可以在那裡買到新鮮的食物,因為大多數地方你必須像在商店裡買到它們,它們只是不是新鮮的。 但如果你住在一個新鮮水果的地方,沒有比這更好的水果了。
Tom Gorup:我可以保證,我最感興趣的是,您描述這是一次有趣的經歷。
Jeff Patzer:我的意思是,這是什麼像魔術學校巴士,你可以在那裡加入,你知道這次旅行是通過消化系統的? 相同。 我想也許不是每個人都能得到這種參考。
Chris Herrera:Rick和Morty的PG版本少了一點,他們做的是非常相似的一集。
Tom Gorup:很好。
Jeff Patzer:沒錯。 完全正確。
湯姆·戈魯普:所以,我會在思考的時候和這個一起玩耍,因為我想的可能是草莓。 但我要把種子製成像小BBS。 所以它們是如此的硬,你會喜歡,如果你咬進它們,你會切一顆牙齒,所以沒有人會想吃它。 但到你的觀點來說,我可能不會那麼廣泛和廣泛地傳播。
Chris Herrera:有趣的是,你對這個答案有一個問題,那就是他們會在吃了一口之後決定不想吃你。
Tom Gorup:哦,因為你有臭味。 我想他們不想吃你。
Chris Herrera:我看起來很糟糕。
Tom Gorup:太棒了。 好極了。 好的。 讓我們開始吧。 希望破冰船對其他人來說和我們討論一樣有趣。 但我們必須討論這個主題,這又是攻擊面管理。 Chris,我想知道您能否像攻擊面管理(簡稱ASM)一樣向我們解釋什麼是攻擊面管理。
Chris Herrera:我會給出我所希望的,我認為這是一個非常準確的定義 但是當你在其他保全員人員,其他專家,任何在你的領域裡的人面前說話時,你總是或者你應該害怕你會說一些錯誤或輕微的事情。
因此,如果我在這裡有任何問題,請更正我,但ASM,即攻擊面管理簡單而言,它包含了識別,優先排序,監控和分析數字資產的不同方面。 通過數字資產,例如Web伺服器,IP地址,API端點,應用程式等,在某種環境中進行數字化的任何內容,這些內容可能通過網際網路或類似於這些內容。 然後ASM就會發揮作用。
攻擊面管理,你可以想到這些單詞。 其中一部分是您正在管理攻擊面。 因此,可以看到,ping或探測的內容,或者Internet上被視為攻擊面的任何內容。 ASM允許您確定可用的內容和內容。 您可能會發現一些您甚至不知道的東西。 然後,它還進一步告訴您應用程式的類型,伺服器以及後面執行的版本。 甚至還有一個步驟,它可以將這些漏洞與CVSS (常見漏洞評分系統)和Zero-day漏洞等不同的漏洞聯繫起來,從而使您更好地了解數字資產中的攻擊面。 因此,它還有很多不僅僅是這一點。 顯然,這就是我們今天要討論的內容,但希望這是一個很好的起點,可以了解什麼是”攻擊面管理”。
Tom Gorup:是的。 就像用最基本的方法來說,這是一個工具,它可以在網際網路上搜尋網際網路。 那麼,您的面向網際網路的資產和某種方式將它們聚合到某種工具中。
Chris Herrera:沒錯
Tom Gorup:最基本的描述。
Chris Herrera:是的。 所以,我想用一個比喻來形容這一點。 我能想到的最棒的事情是我想象的像星際迷航或星球大戰這樣的東西,你可以在顯示器上看到你的船的監視器,上面有所有不同的部件,它可以監視你的每一個在外空的船,可能被雷射或武器或任何沿這些線的物體擊落。 除了告訴你那裡有什麼,它還告訴你他們的狀態。
它告訴你他們是怎麼做的。 它還可能為您提供一些附加資訊。 你知道,如果你想要了解更多關於其他資產的資訊,你可以發送一個調查,發送一些掃描,獲取一些關於其他人的資訊,這對其他人可能沒有幫助。 但對我來說,這是一種很好的方法,至少可以通過星際迷航和星球大戰將ASM與非真實的例子聯繫起來。 但你知道這些方面的東西。
Tom Gorup:在這個定義中缺少什麼東西,Jeff?
Jeff Patzer:是的,你知道,我可能來自更多的開發人員背景,工程背景。 我也想到的是它的構建塊,就像你所擁有的東西的內在運作。 因此,當您思考我的攻擊面是什麼樣的,您構建它的基礎也是攻擊漏洞,對吧? 如果您正在考慮從圖書館角度或類似的內容添加到代碼中,然後用於公開,那麼您知道,這不僅僅是關於網際網路如何聯繫到您,而是一旦有了這些內容,它就能在您的系統中執行。
為了擴展您的星際迷航類比,監控發動機的狀態,與了解您知道您所知道的雷射防護場正在做什麼一樣重要,對吧? 所以我來的時候想,如果你在使用一些外部庫,如果你在使用任何類型的軟體,那麼你保證使用某種開放原始碼庫來構建那些像更大的軟體。 了解這些因素的內涵和可能存在的漏洞,與人們將與之互動的面向外部的部分同樣重要。
Tom Gorup:我的下一個問題是您為什麼說監控與監控的重要性一樣重要。 運行ASM有什麼價值?
Chris Herrera:我的第一個想法是,許多安全團隊如果我們專門談論公司或您知道的公司,即使是在家中的個人,都很容易。 嗯,不一定容易。 保護您知道和熟悉的東西很簡單。 但正如Jeff所說,您正在構建這些工具,這些環境是由許多單獨的部分組成的。 每一件作品都會對攻擊面,整體表面造成影響。 我想不出更好的詞來形容這一點了。 我會盡量在這個結束時想想。
每一件作品都可能成為薄弱環節,或者,你知道,是軍隊中最緩慢的行進成員。 除了確保所有這些都是攻擊面管理工具之外,清點技術還能優先處理這些問題,並告訴您,這些是您最重要的問題,因為這些問題是停機,整個系統停機,或者他們可以根據這些問題的優先級來確定,這些是最新的軟體或是最新的零日漏洞。
或者你甚至可以優先考慮他們,嘿,這些是最簡單的修補,如果你想得到一些低懸的水果,或者一些,你知道,只是把你的腳弄溼。 不一定會派單,但會提高整體安全狀況。
Jeff Patzer:是的。 你知道,我可以補充一下,比如,對我來說,價值在於,如果沒有某種監控系統,根本就不可能掌握一切,對吧? 系統變得越來越復雜。 你知道,我一直在想的ASM的比喻是,你知道,在過去,我們做了什麼,在你建造城堡的時候,防止入侵軍隊? 穿過牆壁的唯一方法是幾扇門,對吧? 因此,在某種程度上,端口就像互聯網的門。 你需要能夠,你知道,它有點簡單,就像城堡很簡單,對吧? 就像它有牆壁和護城河,還有幾個地方你可以進出 但隨著復雜性的發展,能夠監控這些情況,您需要的不僅僅是一對跑者在告訴將軍。 就像,這是那扇門的狀態,對吧?
您現在正處於這樣的階段:借助軟體,您可以將控制權真正交給團隊成員,對吧? 所以任何人都可以在這個時候建造一扇門。 任何人都可以擴展這些功能。 如果您要依賴他人來管理所有這些,請跟蹤這種復雜性,隨著時間的推移,這種情況將會崩潰。 所以,對我來說,它的價值在於它可以讓你增加復雜性,但也可以保持一點把手,比如允許人們做事情,同時監控正在發生的事情,並跟蹤這些事情。 否則,隨著事情變得越來越復雜,人類根本無法跟蹤這些類型的系統。 我們也不應該這樣做。
Tom Gorup:是的,是的,100%。 你們當中有些人曾經說過,城堡比喻是周邊。 城堡防禦是一種死寂,沒有邊界,對吧? 我們處於各種多雲混合環境中,一些數據中心,一些位於Azure,一些位於AWS,一些位於GCP和數字海洋;我們遍布各地。 我們是否知道所有的事情?
當我看一看我對安全態勢的看法時,我將其歸納為3個支柱:可見性,暴露性和威脅。 我無法保護看不到的內容。 我需要了解我的漏洞所在,也需要了解我是如何受到攻擊的。 我聽說的是攻擊面管理真的給我們提供了前兩個方面的很多,尤其是可見性和我不知道存在的東西。 開放埠,我在應用程式中使用的API技術,但也強調了我的環境中存在哪些漏洞,我可能從中受到攻擊。 所以,它似乎非常強大。 但是,像這樣,哪些團隊通常執行這些工具? 我們是否只在應該執行AMS的安全小組中看到它?
Chris Herrera:從歷史上看,我認為這可以準確地說,安全小組負責或曾經負責采購ASM工具,啟動並執行這些工具,一致地使用這些工具,解釋結果,並將這些結果傳達給組織內的不同團隊。 可能是他們發現了他們不知道的資產,他們不知道的主機名仍在執行,或者發現了這些方面的任何東西。
但我不一定知道這是否意味著這就是它需要向前發展的方式。 有趣的是,技術如何增加復雜性,同時也能為我們做些什麼,它在某種程度上模糊了不同團隊之間的界線。 這就是為什麼在歷史上我們使用諸如開發SecOps或DevOps等術語,這些術語以及我們指代正在構建應用程式的人員的方式的原因。 就像一個具體的例子一樣,這種情況在過去5-10年裡發生了變化。 我認為這可能是一個跡象,表明安全是如何滲透到每個人的生活中。
現在,它不再只是一個安全小組。 我知道在我的經驗中,顯然我甚至不知道我做什麼,但安全不是我每天都要做的事情。 但我正在與其他團隊的其他成員互動,他們名義上與安全無關,但他們知道很多,只是因為他們必須完成工作。
Jeff Patzer:沒錯,我真的很喜歡你的表情,Chris 我真的很喜歡你所說的每個人都以某種形式與安全性互動,無論是如果你此時打開電子郵件,你都在與安全問題互動。 就像,你被網路釣魚了嗎? 你知道,你是在檢查事情嗎? 從技術上講,這是一種有人可能攻擊您的表面。
所以,我認為當你問哪些團隊使用它時,我確實覺得過去你對它和開發人員都很滿意,就像他們使用它是出於非常具體的原因。 但總的來說,它在增長,對吧? 正如我所說的,現在,假設你想要建立一個表格,因為你有夥伴在登記某件事情或任何事情,對吧? 我可以構建自動程序來獲取這些資訊,我可以將其發送給組織內部或組織外部的任何人。
就像我說過的那樣,團隊成員可以開始做一些事情,這些事情在過去可能並不像構建Web伺服器那樣,它可以執行特定的基於Web的任務,但仍然是該組織數據收集的一部分。 當我們向前邁進時,每個人都會覺得你在某種程度上網,無論你是以何種方式,你被暴露,對吧。 您正在以某種形式進行互動,是的。
Chris Herrera:我想,Tom從一分鐘前開始回答你關於可能通常或預期負責這些工具的團隊的問題。 我認為,安全在過去和現在都負有這一責任是有意義的。 但考慮到ASM不僅可以提供安全資訊,而且還可以像我們之前說的那樣使用庫存工具,我可以明白為什麼這對非安全團隊非常有用。 在安全領域工作時,我經常與不同的團隊和不同的客戶合作,並對日誌和內容進行分析。
我向他們展示,嘿,這裡有一些網域已經看到一些攻擊,當我遇到一個案例時,他們的回應是哇,我覺得我們應該在12個月前關閉該網域,結果它仍然開啟。 它仍然非常開放網際網路。 它仍然看到很多攻擊。 因此,非安全人員可以經常使用它的庫存方面,事實上,它可能會根據它的易用性而定。
Tom Gorup:是的,我很喜歡,Jeff說攻擊面遠遠大於只是停留在將其綁定到域中的開放埠。 我們已經接管了子域。 您離開了一個與某些第三方聯結的域,三年後,該域被劫持,現在正在提供惡意軟體,從而使您的域被正確列入黑名單。 這是每個人的問題。 這是一個整體的業務問題。 但進一步看一下,您知道收到的電子郵件是完整的因素。
儘管存在攻擊面管理工具,但攻擊面本身是一個涉及業務各個方面的更廣泛的對話,不能僅限於安全團隊正在監控的內容,對吧? IT需要參與,工程需要參與,行銷需要參與。 所有這些團隊都需要彼此進行對話,以有效保護業務。
Jeff Patzer:Tom和Chris就這個問題給你一個簡短的問題。 Chris,你在談論,嘿,我在查看日誌,就像查看日誌一樣。 我指的是很多人,他們不看日誌線,對吧? 就像你向他們展示的那樣,他們就像現在的矩陣一樣,我不做那些事情。 您對哪些類型的數據可視化效果有何想法,這些可用於更好地向您認識的人傳達攻擊面,他們可能不是來自工程背景。 他們並不是來自IT背景,他們每天都會上來查看日誌行,您可以向他們提供類似於下麵的矩陣解釋的資訊。 你有什麼想法,你知道,你的傢伙有什麼方法可以有效地做到這一點?
Chris Herrera:哦,這是一個很好很有趣的問題。 我的第一個想法是,我從來不擅長於數據可視化,但當我看到數據時,我就知道了,當我看到數據可視化時,我就知道了良好的數據可視化。 在我的腦海中,我看到了這種短暫的想法,即我希望能夠從Web應用程序的角度直觀地看到它的外觀。 我想知道我有哪些網域可供網際網路使用。 我希望它們按此歸類,無論這意味著什麼。 然後我想要進入其中,看看他們執行的是哪個版本的軟體。 在理想情況下,單擊打開和關閉,即可查看哪些漏洞可能適用於這些不同的端點。 但最重要的是,我想要一個視覺視圖,從高層看到底發生了什麼事情,然後從那裡深入了解。
Tom Gorup:是的。 我要雙擊這一點,說節點圖非常強大,我看到,在許多不同的方面(例如從一個角度),它就像一個事件響應過程,能夠顯示攻擊者的進展。 log4j就是一個很好的例子。 log4j從事件響應的角度來看,MDR的觀點是入侵後的活動,因為它是零日攻擊;您沒有簽名,對吧? 當log4j出爐時,沒有人擁有log4j漏洞的簽名,因為沒人知道。 但我們所學到的是出站命令和控制流量。
如果您可以開始收集多種資產,並將其延伸至單一命令與控制伺服器,您的意思是更快地收集受到威脅的資產,但這些資產連接到了什麼? 就像節點可視化一樣,我認為這有助於創建那些您無法通過日誌自身實現的連接。 我總是想像它就像蝙蝠俠聲納,對吧? 可以在角落和位置獲得這些視圖,並在其他情況下通過節點圖無法看到的地方查看連接。 我整天都能在節點圖上找到答案。
Chris Herrera:我的意思是,誰不能?
Jeff Patzer:是的,如果你想看到一個非常有想法的DataViz傢伙是什麼樣子,Chris Edward Tufte就是那個傢伙。 他就像是這方面的開創性作品,這就是它應該是什麼樣子。 他很有自信,但他得到了一些好的東西。
Tom Gorup:喜歡 我來看看。 這一切聽起來很不錯。我部署了這個工具,我們稱之為攻擊面管理,突然我就有了所有開放網際網路的資產清單,埠號,API,應用程式服務等等。 我知道他們會如何容易受到攻擊,以及如何受到攻擊。 所有這些都是用一個無圖形呈現的,對吧? 那麼,什麼會出錯呢? 此時,企業會面臨哪些挑戰?
Chris Herrera:沒錯。 您已經完成了。
Tom Gorup:是的。 對。 掛斷電話。
Chris Herrera: 否,我認為這與我們之前討論的一些主題非常相似,其中很多團隊都在一起工作,即使每個團隊都在從事不同類型的工作,而且顯然在不同領域有很多本地專家。 但我們今天討論的這些ASM的輸出類型以及我們之前討論的輸出類型對許多不同的團隊都非常有用。 我想這種情況可以追溯到,任何團隊合作都需要能夠共享資訊和協作。
這種工具不僅可以顯著提高效率,而且可以通過增加每個人對幕後幕後所發生的事情的了解,並確定前進的道路,確保您的安全狀況不會惡化,理想情況下會顯著改善,從而為每個人增加水量。
Jeff Patzer:是的,我想的一件事是,你如何推翻這件事必須做的離散的工作? 這很困難,因為當你說,好的,我需要解決安全問題,姿勢問題,比如一些問題可能很容易。 其中有些可能更難,比如升級你的WordPress版本. 我不知道,也許這很容易,也許不是。 但是,就像升級代碼包一樣,特別是在一個主要版本之間,就像這樣需要花大量的工作來看待這些東西,然後說,這樣做,我會破壞已經在生產中的東西嗎? 就像從開發人員的角度來看,聽起來很簡單,是的,只要更新這個次要版本的資料,不是那麼糟糕的主要版本資料。 要有效地做到這一點確實很困難。 所以,我不知道。
對我來說,這幾乎就像是安全狀況。 所帶來的工作幾乎就像重構工作或處理舊代碼一樣,您需要處理這些工作,對吧? 在某些意義上,這幾乎像是一件繁瑣的事,或者不是像建築這樣的創意方面。 回顧你做了什麼,喜歡把東西堆起來,修理和做這樣的事情。 因此,我認為,任何工具都應該幫助你把離散的工作分解出來,讓你把它聯合到所有者,分配可以負責它的人。 因為最後,如果你像我所說的那樣擁有一個復雜的系統,你將會有很多不同的事情發生。 我相信,能夠確保您能夠管理,然後審核並跟蹤您的項目,就像工作的實際流程一樣重要,就像知道您必須這樣做一樣。
Tom Gorup:是的。 第一件事是可衡量的結果。 這是我經常從客戶那裡聽到的。 我一直從客戶那裡聽到兩個問題:如何以可衡量的方式使我更安全? 如何衡量這一點?它讓我變得更好,讓我變得更強。 那麼,我接下來需要做的最重要的事情是什麼? 有效確定優先級。
好的,你知道,思考一下,因為我認為你的觀點是,你的許多工作也可能是模糊的。 如何實際解決此問題? 是代碼更改嗎? 這是配置更改嗎? 也許我根本無法解決這個問題。 也許我們必須接受這種風險。 該過程是什麼樣子的? 好的,這是個好建議。
Jeff Patzer:我想你剛纔讓我想到的一個優點是噪音,比如噪聲與信號比。 所以,這就像是確保工具告訴您是在幫助您找出最重要的事情。 如果過度索引過多的內容,這並不是一件大事。 這更像是一種警告類型的東西。 比如,嘿,這可能是您應該關注的問題,比如幫助區分信噪比。 這同樣重要,因為知道要關注的是什麼,你需要從什麼開始,對吧?
Chris Herrera:沒錯。 如果您收到的1000個通知都是低優先級,則可能會使您認為您所處的位置比實際的情況差得多。
Tom Gorup:我覺得這就是你的擊球區,對吧,Chris? 主動確定客戶優先級。 任何場景都會出現在你心目中,他們應該在這個方面工作,或者你知道,或者你做了一個不好的推薦。 我很想聽到這個消息。
Chris Herrera:很好。 不,我從來沒有做過不好的推薦。 因此,您的第一個問題,即分析,對我來說,當我談論與客戶合作時,我將幫助他們保護Web應用程式的安全。 很多時候,當我介紹我的評論,我的建議以及我認為他們應該對其安全產品進行的任何微調時,很多時候,這是因為他們的應用程式從一開始就沒有考慮到安全性。 但不僅如此,編寫的方式也不容易從他們的角度進行更改。
這就是為什麼從我們的角度來看,從我的安全團隊的角度來看,我們可以通過制定自定義的安全規則來在應用程式中執行虛擬修補。 我認為這種方法可以回答有關進行安全審查的問題,以及如何說明客戶可以如何做得更好。 關於我提出的不好的建議,我從來沒有錯誤地發現過誤報。
Jeff Patzer:從來沒做過。 這種情況從來沒有發生過。
Chris Herrera:我認為在職業生涯的早期階段,我可能對推薦某些IP地址或將其列入黑名單有點過於熱情。 隨著您對它的使用變得更加熟悉,這就像是此時的最後一道防線。 但是的,這可能是有史以來最糟糕的決定,像這樣的小錯誤。
Tom Gorup: 我認為,您所說的是ASM的強大功能,它能夠審視您的企業所面臨的風險,攻擊面以及您的企業所面臨的風險,並通過現有的工具尋找減輕這些風險的方法。 有時,修補不是您目前所能完成的任務。 我曾處理過一起事件,我十年前還不知道,在他們最重要的資產之一受到Conficker感染時,有一項法醫調查。
我不知道您是否記得Conficker,而這臺機器今天仍可能遭到破壞,因為他們的反應是這臺機器每分鐘讓我們賺了太多錢。 它正在進行一些過程,使他們賺的錢太多了。 他們的決定是將它排除在網路之外,讓它繼續工作,但它仍然受到感染。 事實上,我認為他們在網站上注冊,就像不連接到網路一樣,這就是他們如何解決的。 因為從業務角度來看,不值得停機並冒著相關收入的風險。 他們寧願將IT處理工作置於受損狀態。
我確信,在某種程度上,仍有大量Windows XP機器在生產中。 就像我們已經準備好了正確的工具一樣,雖然WAF很棒,但我認為虛擬修補是一個很棒的例子,我們現在無法修補這個。 我們在此期間會做些什麼? 我們如何解決這一問題並利用您的專業知識,我認為這是一個很棒的建議,也是一個細微的問題。
我想ASM是否會有內部部署和雲之間的區別? 結果會改變,工具的價值會改變嗎? 他期望這兩種解決方案之間有何不同?
Chris Herrera:噢,哇! 我馬上想到了,所以可能會有這麼多變化。 最後,他們只是在目標方面做同樣的事情,即識別庫存,找出漏洞所在等。 但內部部署與基於雲的,這是一種;我的意思是,它類似於許多安全產品以及它們在過去十年左右的發展。
就您而言,關於WAF,至少那些過去完全僅在本地部署的WAF。 這是非常昂貴的數十萬美元機器,只有您知道的處理能力和一臺機器能夠處理的能力一樣大,現在大多數機器都基於雲,用戶無需擔心他們可以檢查多少流量或這些線路上的任何內容。 因此,使用基於雲的ASM與內部部署的ASM,在技術功能和計算功能方面有許多相同的相似點。
但不僅如此。 它將有一個二分法,即誰負責對底層體系結構進行更改。 你購買了硬體,然後你必須確保所有這些東西都能正常工作。 然而,如果它是基於雲的解決方案,則它可能屬於您購買或使用服務並向其支付使用權限的任何人員的權限範圍。 此外,他們的功能也各不相同,與本地安全產品和基於雲的其他安全產品非常相似。
因此,基於雲的ASM在主動掃描其自身網路之外的功能以及在整個全球的網際網路上進行掃描方面,可能會有更多的功能。 但至少在我看來,內部部署解決方案可能僅限於其自身的環境。 如果這是您所關心的一切,這可能是有意義的。 但是,如果您想要查看其他內容,或者從攻擊者的角度來看,您的環境中還有哪些可供攻擊者使用,這也將是一個考慮因素。
Jeff Patzer:我還要補充一下,Chris。 我想有時人們會想到,你自己的硬體,你自己的硬體。 我認為這種情況已有很長時間了。 但也可能有這樣的概念,即在執行自己的軟體時,您擁有自己的軟體所有權。 就像某種類型的開放原始碼軟體包一樣,在您決定知道的地方,而不是從頭開始構建,而是採用現有的開放原始碼軟體,您將在自己的某種類型的雲網路中執行,但您正在管理它的執行。
總體意圖是,您不知道自己購買了自己支付的第三方服務並由他們管理,而您實際上擁有IT管理,即使它仍在雲擴展器上執行。 對我來說,結果仍然是一樣的,就像你仍然需要做同樣的事情,無論你是在使用第三方的東西,還是在運行自己的開源軟件包,無論你是在使用什麼軟件。 我想在這一點試著區分它,這不是一個很好的時間利用因為在一天結束的時候,它們都只是以某種形式暴露,它可以從超級簡單到非常復雜,而且任何捕獲的東西都很重要。
Tom Gorup:是的,很有趣。 唯一的不同之處,在我的腦海中,這是雲的分布式特性以及從全球不同位置進行掃描的能力。 我在中國的網路是什麼樣的? 從俄羅斯來看是什麼樣子? 與我的客戶所在地區相比,拉脫維亞的情況如何? 從他們的觀點來看,這是什麼樣子? 也許能夠以這種方式分割世界並以不同的方式管理它會很有趣。 但與此同時,隨著ORB網路和操作中繼盒的使用日益增加,地理圍欄實際上已經失效。 沒關係。 我們應該將其鎖定,無論其來自何處。
這很好。 Jeff,讓我談談關於攻擊面管理的最後想法。 最後的想法。
Jeff Patzer:今天結束時,我將ASM視為另一種工具,讓您深入了解您正在構建的事物,需要注意的事物。 我以前說過,現在我要再說一遍。 沒有任何工具可以取代批判性思維。 在一天結束時,你需要看看它告訴你什麼,你必須了解它才能做出有意義的事情。 你可以買到世界上所有的工具,但如果你不坐在那裡思考一下我想要完成的是什麼,那對你來說沒有什麼用處。
Chris Herrera:是的。 我最後的想法是,有些人可能會把它看作是一種小小的COP-Out,但AI顯然不會在任何時候發生,如果有什麼,它只會在你去的任何地方都有更多的立足點。 Jeff提到,批判性思維無法替代,我幾乎每天都使用AI聊天,ChatGPT來處理我的工作,很明顯,它無法為我做好工作,但它肯定會讓我走上正確的方向。 我提出這一點的原因是ASM的建議,前進的步驟,以及這樣的工具輸出中可以呈現的數據量。 我認為,人工智慧幾乎是必要的,它要扮演某種角色,無論它是巨大的,在向人類展示和使其具有人性的關聯性方面,它都是小的。
Tom Gorup:是的,我很喜歡。 我喜歡這種思維過程,尤其是當我們合併各種數據集時。 我再次回到安全態勢,可見性,暴露和威脅。攻擊面管理使我們獲得了大量可見性和大量暴露,並將其與您的威脅聯繫起來,這些都成為幫助您做出決策和整體調整安全態勢的輸入。 但Jeff認為,批判性思維是一項要求。 您不能只是設定就忘記它。 就像任何工具一樣。 就您而言,人工智慧並不一定是關鍵,就像您無法為您完成工作一樣,但它可以為您提供指導。
我認為這是一次很棒的談話,很有趣,我可能還會再花30-40分鐘談論攻擊面管理並挖掘所有兔子洞。 但我們必須停止。 這就是我們今天所擁有的一切。 感謝您加入ThreatTank。
要了解Edgio的最新威脅情報,您可以在EDG.io線上訂閱。 Jeff和Chris,感謝您再次光臨。 這太棒了。 感謝您抽出時間。