攻击面管理近几年发展火热，国内外创业公司如雨后春笋般涌现，同时，一些安全巨头纷纷通过收购的方式来提升自身的攻击面管理能力。比如，2020年12月，Palo Alto Networks以8亿美元收购Expanse；2022年2月，Darktrace以5千万美元收购Cybersprint；2022年6月，IBM收购Randori；2022年9月，CrowdStrike收购Reposify。本文我们将重点关注Palo Alto Networks。

Cortex是Palo Alto Networks的安全运营平台，包含四个子产品：Xpanse、XDR、XSIAM和XSOAR。Xpanse则来自对Expanse的收购，主要用于实现一个用户暴露在互联网上的所有资产的可见性。Cortex Xpanse研究团队在2021年和2022年连续两年发布攻击面威胁报告。本文我们希望从2022年的报告中提炼出Xpanse的分析方法论，以此来分析攻击面管理应该关注哪些内容。

在攻击面管理中强调的是攻击者视角，既然攻击者可以通过外部扫描的方式发现系统的漏洞，那么作为安全厂商，也可以将攻击者视角应用于攻击面管理的产品中，力争能够先于攻击者发现用户面临的风险。如何能够做一个好的攻击面管理产品呢？Xpanse提供了一个很好的思路，先去看看大型组织都面临哪些风险，这些都是真实存在的，可被攻击者利用的风险。Xpanse对100多家全球企业的5000万个IP地址进行了监控，一部分发现用到的数据跨度从2021年3月到2021年9月，一部分跨度从2021年12月到2022年6月。攻击面是持续变化的，单次扫描并不足以有效展示一个组织的攻击面。这就要求在攻击面管理产品中，需要记录历史数据，并且能够分周期进行趋势呈现。报告中提到了6个主要发现，我们将一一对其进行分析。

1． 云依然是重要目标

91%的风险来自云中，这说明上云很容易，但是同时要保障安全很难。

对安全产品来讲，将云上资源与企业用户关联是一个关键能力，关联的云上资源越多，风险发现的越全面，对用户的价值越大。在这一点，作为云服务提供商就有天然的优势，因为用户的IP是由云服务提供商来分配的。

这部分提到了四个风险：不安全的Apache Web服务器、不安全的微软IIS Web服务器、F5 BIG-IP TMUI、不安全的微软Exchange服务器。前三个风险的资产主要位于云上，最后一个风险的资产主要还是位于企业边界。

只要具备HTTP、HTTPS的扫描能力，就可以把大部分暴露在外网的Apache、IIS和Big-IP识别出来。要想更全面的识别Exchange，除了具备HTTP、HTTPS的扫描能力外，还需要具备SMTP、IMAP、IMAPS的扫描能力。

2． “唾手可得的果实”依然存在

Xpanse发现的Top5的风险为：

（1）RDP服务暴露（25%）

RDP常被用于勒索攻击，攻击面管理产品需要具备对RDP协议的扫描能力。

（2）网络和安全基础设施暴露（17%）

网络设备、安全设备暴露在外网，一旦被攻击者获得权限，或可造成严重的影响。攻击面管理产品需要具备对各类网络安全、安全产品的识别能力。

（3）数据库暴露（16.1%）

Xpanse发现接近3000个数据库暴露在互联网上，这些暴露的数据库存在数据数据泄露的风险，而且往往是由于配置不当才暴露在互联网上的。攻击面管理产品需要具备对常用数据库的识别能力，如MySQL、MSSQL、Oracle、Elasticsearch、MongoDB等。

（4）建筑控制系统暴露（13.8%）

Xpanse发现2500多个建筑控制系统暴露在互联网上。攻击面管理产品除了关注IT资产外，还要关注OT资产，这些资产通常不被IT安全系统监控。针对OT类资产，一般可以从管理页面和常见工控协议的角度来进行资产识别。

（5）未加密的登录（4%）

Xpanse发现700多个未加密的登录页面。未加密的登录使得攻击者非常容易窃取凭据，Web页面应采用HTTPS。

3． 软件的生命周期结束意味着您的安全生命周期也结束

32%的企业有使用已经结束生命周期的Apache Web服务器，29%的企业有使用已经结束生命周期的微软Exchange服务器。此外，哪怕软件还在生命周期中，但是如过使用的是未打补丁的版本，同样存在被攻破的可能。如2700个Confluence应用受CVE-2021-26084影响，可被攻击者获取Confluence中的所有内容。

攻击面管理产品需要精准识别各类资产的版本，有了这些基础数据，通过版本匹配即可及时发现多种风险。对于版本的识别若仅依赖主动扫描，未必能够识别准确，可以集成端侧安全产品的资产识别结果，如CWPP、EDR。

4． 各行各业的问题复杂且独特

这个也很容易理解，不同行业会有一些独有的系统，安全建设的节奏也有差异。当攻击面管理产品进入某个行业时，需要对该行业保持敬畏心，通过技术手段发现其特有的协议、应用，不应止步于已有的能力。

5． 攻击面瞬息万变

新的攻击面随着攻击者的新攻击手法、新的资产的暴露、应用的配置不当持续出现，这就要求攻击面管理产品具备对最新威胁的快速响应能力，能够在攻击者攻击用户之前，防患于未然。这时，可以考虑攻击面产品与SOAR联动，实现风险的自动发现和修复。

6． RDP和云的暴露面是持久性的

Xpanse发现有 7 个行业平均每月有超过 7 天的 RDP 活跃暴露，而运输和物流平均有 13.5 天的活跃暴露。这就要求攻击面管理产品的扫描频率不能太低，考虑到投入的资源与回报的平衡，可以考虑提升重点端口和服务的扫描频率。即便如此，也很难覆盖所有端口，这时可以考虑和边界处的流量检测类设备进行联动，当其发现新的活跃IP和端口时，攻击面管理产品进行及时扫描和风险发现。

小结

You can’t protect what you can’t see. 攻击面管理产品的核心就是资产和风险的持续可见性。知己知彼，百战不殆。攻击面管理则是在追求“知己”的全面深入。知彼可以通过攻击者的威胁情报实现。通过攻击面管理，可以帮助用户防患于未然，降低被攻击者攻破的风险。

参考文献

[1] 重磅发布｜《2022年Cortex Xpanse攻击面威胁报告》，微信公众号派拓网络2013年1月4日文章

[2] 2022 Cortex Xpanse Attack Surface Threat Report, https://www.paloaltonetworks.com/resources/research/cortex_xpanse-attack-surface-threat-report