外部攻击面管理 (EASM) 常见问题解答

Ivanti Neurons for External Attack Surface Management (EASM) 拥有技术合作伙伴关系，可实现资产发现和风险检测，并遵守 MITRE ATT&CK 框架、NIST、OWASP 等知名行业标准。

1. 用于资产检测的协议。
   
   Ivanti Neurons for EASM 工具使用第 4 层和第 7 层协议来检测资产上的开放端口和风险。 第 4 层包括 UDP、TCP 和 ICMP。 而第 7 层包含一组更大的常用协议和既定准则。

2. 如何发现泄露的电子邮件？
   
   Ivanti Neurons for EASM 工具通过分析可公开访问的来源（例如 DNS 记录、泄露的数据存储库和 OSINT 源）来发现电子邮件。

3. 如何检测数据泄露？
   
   Ivanti Neurons for EASM 整合了来自各种可信安全来源的情报，以识别与组织相关的潜在违规相关风险。 这包括检测泄露的凭据、暴露的电子邮件地址和对手可能利用的其他敏感数据。 通过提供对此类风险的早期可见性，Ivanti 可帮助组织在威胁出现之前主动保护其攻击面。 我们从多个经过审查的来源（包括违规数据库和安全研究源）汇总情报，确保准确性和相关性，同时对收集方法保持严格保密。

4. 您如何检测资产，尤其是在横向领域？
   
   “横向”一词源自 MITRE ATT&CK 框架中使用的策略之一“横向移动”。 Ivanti 结合使用公开数据和安全情报技术来映射组织的扩展域生态系统。 这确保安全团队能够完全了解其外部攻击面，而无需仅仅依赖内部资产清单。

5. 您如何确定资产是否易受攻击？
   
   Ivanti Neurons for EASM 工具根据多种信号评估漏洞，包括公开披露的安全漏洞、错误配置和过时的软件版本。 这种方法可确保准确检测，同时最大限度地减少误报，为安全团队提供可操作的洞察，以有效降低风险。

6. 可以公开发现 EASM 中报告的所有资产吗？ 资产分为私有资产和公共资产。 在这种情况下，“私有”是什么意思？
   
   是的，所有资产都是可供公开发现的，但有时由于 DNS 配置错误，主机资产（子域）可能会解析为任何内部 IP 范围。 每当任何资产的 IP 地址解析为任何内部 IP 范围（A 类、B 类和 C 类）时，该资产就会被标记为私有资产。

7. 如果将 API、ASN 或网络块配置为种子，扫描是否专门查找类似的外部发布的 API 或那些特定的资产类型，还是也识别其他资产类型，例如同一域内和其他域内的服务器？
   
   当 API 配置为种子时，利用扫描可识别托管 API 的服务器，执行端口扫描，并检测该服务器上的漏洞。 但是，它不会搜索指定种子之外的类似的外部发布的 API。 对于 ASN（自治系统编号），利用扫描可识别任何相关的 Netblock (CIDR)，枚举这些 Netblock 中的各个 IP 地址，扫描开放端口并检测漏洞。 在这两种情况下，扫描都着重于与种子相关的基础设施，而不是广泛寻找其他资产类型，例如域或不相关的服务器，除非它们明确地与种子的范围相关。

8. 与使用域或 URL 相比，使用 API、ASN 或网络块作为种子时，扫描结果是否有任何变化？
   
   是，扫描结果确实会根据种子资产的类型而有所不同，因为每种资产都会以不同的方式影响发现和漏洞检测的范围。 例如，当使用域作为种子时，利用扫描可以发现互联网上暴露的凭据泄漏并执行子域枚举 - API，ASN 或 Netblock 种子不具备这些功能，因为它们缺乏此类发现所需的域上下文。 相反，API 和 Netblock 种子更注重服务器级别的洞察（例如端口和漏洞），而 ASN 提供了更广泛的网络级别视图，从而可根据起点产生不同的结果。

9. 是否存在特定场景或用例，在其中将 API 或 ASN 设置为种子对于资产发现或风险检测特别有效？
   
   API 种子的功能与 URL 种子类似，产生可比较的结果，例如服务器详细信息、开放端口以及与该端点相关的漏洞。 这对于查明特定服务中的风险尤其有用。 另一方面，ASN 对于管理数据中心或大型网络基础设施的公司尤其有价值。 这些组织通常优先识别其服务器上的开放端口及其后面运行的服务。 在此背景下，ASN 种子通过提供网络的全面视图表现出色，能够在其拥有的 IP 范围内进行有效的资产发现和风险检测。