外部攻擊面管理 (EASM) 常見問題解答

Ivanti Neurons for External Attack Surface Management (EASM) 擁有技術合作夥伴關係，可實現資產發現和暴露檢測，並遵守 MITRE ATT&CK 框架、NIST、OWASP 等知名行業標準。

1. 用於資產檢測的協定。
   
   Ivanti Neurons for EASM 工具使用第 4 層和第 7 層協定來偵測資產上的開放埠和暴露風險。 第 4 層包括 UDP、TCP 和 ICMP。 而第 7 層包含一組更大的常用協定和既定準則。

2. 遭洩露的電子郵件是如何被發現的？
   
   Ivanti Neurons for EASM 工具透過分析可公開存取的來源 (例如 DNS 記錄、洩露的資料儲存庫和 OSINT 源) 來發現電子郵件。

3. 如何檢測資料外洩？
   
   Ivanti Neurons for EASM 整合了來自各種可信任安全來源的情報，以識別與組織相關的潛在違規相關暴露風險。 這包括檢測洩漏的憑證、暴露的電子郵件地址和對手可能利用的其他敏感資料。 透過提供對此類風險的早期可見性，Ivanti 可協助組織在威脅出現之前主動保護其攻擊面。 我們從多個經過審查的來源 (包括違規資料庫和安全研究來源) 匯總情報，確保準確性和相關性，同時對收集方法保持嚴格保密。

4. 您如何偵測資產，尤其是橫向領域？
   
   「橫向」一詞源自 MITRE ATT&CK 框架「橫向移動」中使用的原則之一。 Ivanti 結合使用公開資料和安全情報技術來繪製組織的擴展域生態系統。 這確保安全團隊能夠完全瞭解其外部攻擊面，而無需僅依賴內部資產清單。

5. 您如何確定資產是有弱點的的？
   
   Ivanti Neurons for EASM 工具根據多種訊號評估弱點，包括公開揭露的安全漏洞、錯誤組態和過時的軟體版本。 這種方法可確保準確檢測，同時最大限度地減少誤報，為安全團隊提供可操作的洞察，以有效降低風險。

6. EASM 中報告的所有資產都可以供公開發現嗎？ 資產分為私有資產和公用資產。 在這種情況下，「私有」是什麼意思？
   
   是的，所有資產都是公開發現的，但有時由於 DNS 組態錯誤，主機資產 (子網域) 可能會解析為任何內部 IP 範圍。 每當任何資產的 IP 位址解析為任何內部 IP 範圍 (A 類、B 類和 C 類) 時，該資產就會被標記為私有資產。

7. 如果將 API、ASN 或 Netblock 設定為種子，掃描是否專門尋找類似的外部發布的 API 或那些特定的資產類型，還是也識別其他資產類型，例如同一網域內的伺服器和其他伺服器？
   
   當 API 設定為種子時，掃描會識別託管 API 的伺服器，執行連接埠掃描，並偵測該伺服器上的漏洞。 但是，它不會搜尋指定種子之外類似的外部發布的 API。 對於 ASN (自治系統編號)，透過掃描可識別任何相關的 Netblock (CIDR)，列舉這些 Netblock 中的個別 IP 位址，掃描開放埠並偵測漏洞。 在這兩種情況下，掃描都集中在與種子相關的基礎結構，而不是廣泛尋找其他資產類型，例如網域或不相關的伺服器，除非它們明確地與種子的範圍相關。

8. 與使用網域或 URL 相比，使用 API、ASN 或網路區塊作為種子時，掃描結果是否有任何變化？
   
   是的，掃描結果確實會根據種子資產的類型而有所不同，因為每種資產都會以不同的方式影響發現和弱點檢測的範圍。 例如，當使用網域作為種子時，透過掃描可以發現網際網路上暴露的憑證洩露並執行子域枚舉 - API、ASN 或 Netblock 種子不具備這些功能，因為它們缺乏此類發現所需的域上下文。 相反，API 和網路區塊種子更注重伺服器層級的洞察 (例如連接埠和弱點)，而 ASN 提供了更廣泛的網路層級視圖，根據起點產生不同的結果。

9. 是否存在特定場景或用例，將 API 或 ASN 設定為種子對於資產發現或暴露風險檢測特別有效？
   
   API 種子的功能與 URL 種子類似，產生可比較的結果，例如伺服器詳細資訊、開放連接埠以及與該端點相關的漏洞。 這對於找出特定服務中的暴露風險尤其有用。 另一方面，ASN 對於管理資料中心或大型網路基礎結構的公司尤其有價值。 這些組織通常優先識別其伺服器上的開放連接埠及其後面執行的服務。 在此背景下，ASN 種子透過提供網路的全面檢視表現出色，能夠在其擁有的 IP 範圍內進行有效的資產發現和暴露風險檢測。