外部攻击面管理 (EASM) 常见问题解答

Ivanti Neurons for External Attack Surface Management (EASM) 拥有技术合作伙伴关系,可实现资产发现和风险检测,并遵守 MITRE ATT&CK 框架、NIST、OWASP 等知名行业标准。

  1. 用于资产检测的协议。

    Ivanti Neurons for EASM 工具使用第 4 层和第 7 层协议来检测资产上的开放端口和风险。 第 4 层包括 UDP、TCP 和 ICMP。 而第 7 层包含一组更大的常用协议和既定准则。

  2. 如何发现泄露的电子邮件?

    Ivanti Neurons for EASM 工具通过分析可公开访问的来源(例如 DNS 记录、泄露的数据存储库和 OSINT 源)来发现电子邮件。

  3. 如何检测数据泄露?

    Ivanti Neurons for EASM 整合了来自各种可信安全来源的情报,以识别与组织相关的潜在违规相关风险。 这包括检测泄露的凭据、暴露的电子邮件地址和对手可能利用的其他敏感数据。 通过提供对此类风险的早期可见性,Ivanti 可帮助组织在威胁出现之前主动保护其攻击面。 我们从多个经过审查的来源(包括违规数据库和安全研究源)汇总情报,确保准确性和相关性,同时对收集方法保持严格保密。

  4. 您如何检测资产,尤其是在横向领域?

    “横向”一词源自 MITRE ATT&CK 框架中使用的策略之一“横向移动”。 Ivanti 结合使用公开数据和安全情报技术来映射组织的扩展域生态系统。 这确保安全团队能够完全了解其外部攻击面,而无需仅仅依赖内部资产清单。

  5. 您如何确定资产是否易受攻击?

    Ivanti Neurons for EASM 工具根据多种信号评估漏洞,包括公开披露的安全漏洞、错误配置和过时的软件版本。 这种方法可确保准确检测,同时最大限度地减少误报,为安全团队提供可操作的洞察,以有效降低风险。

  6. 可以公开发现 EASM 中报告的所有资产吗? 资产分为私有资产和公共资产。 在这种情况下,“私有”是什么意思?

    是的,所有资产都是可供公开发现的,但有时由于 DNS 配置错误,主机资产(子域)可能会解析为任何内部 IP 范围。 每当任何资产的 IP 地址解析为任何内部 IP 范围(A 类、B 类和 C 类)时,该资产就会被标记为私有资产。

  7. 如果将 API、ASN 或网络块配置为种子,扫描是否专门查找类似的外部发布的 API 或那些特定的资产类型,还是也识别其他资产类型,例如同一域内和其他域内的服务器?

    当 API 配置为种子时,利用扫描可识别托管 API 的服务器,执行端口扫描,并检测该服务器上的漏洞。 但是,它不会搜索指定种子之外的类似的外部发布的 API。 对于 ASN(自治系统编号),利用扫描可识别任何相关的 Netblock (CIDR),枚举这些 Netblock 中的各个 IP 地址,扫描开放端口并检测漏洞。 在这两种情况下,扫描都着重于与种子相关的基础设施,而不是广泛寻找其他资产类型,例如域或不相关的服务器,除非它们明确地与种子的范围相关。

  8. 与使用域或 URL 相比,使用 API、ASN 或网络块作为种子时,扫描结果是否有任何变化?

    是,扫描结果确实会根据种子资产的类型而有所不同,因为每种资产都会以不同的方式影响发现和漏洞检测的范围。 例如,当使用域作为种子时,利用扫描可以发现互联网上暴露的凭据泄漏并执行子域枚举 - API,ASN 或 Netblock 种子不具备这些功能,因为它们缺乏此类发现所需的域上下文。 相反,API 和 Netblock 种子更注重服务器级别的洞察(例如端口和漏洞),而 ASN 提供了更广泛的网络级别视图,从而可根据起点产生不同的结果。

  9. 是否存在特定场景或用例,在其中将 API 或 ASN 设置为种子对于资产发现或风险检测特别有效?

    API 种子的功能与 URL 种子类似,产生可比较的结果,例如服务器详细信息、开放端口以及与该端点相关的漏洞。 这对于查明特定服务中的风险尤其有用。 另一方面,ASN 对于管理数据中心或大型网络基础设施的公司尤其有价值。 这些组织通常优先识别其服务器上的开放端口及其后面运行的服务。 在此背景下,ASN 种子通过提供网络的全面视图表现出色,能够在其拥有的 IP 范围内进行有效的资产发现和风险检测。