为什么外周界成为一项单独的任务
外围不再等于 DMZ 中的多个地址。一家大公司拥有域、子域、API、个人帐户、VPN 网关、电子邮件服务、合作伙伴集成、云资源、测试平台、CDN、WAF、DNS 区域、证书和向外的承包商服务。该环境的一部分出现的速度比架构图的更新速度还要快。
此页面对于 CISO、CIO、SOC 团队、基础设施经理、DevOps/AppSec、电子商务所有者、银行和政府服务以及准备渗透测试、网络安全审计、SOC 实施或漏洞管理计划的团队非常有用。
实际意义很简单:首先您需要了解该公司在互联网上实际显示的内容、它的所有者是谁、它对业务的重要性以及哪些发现需要首先关闭。
外面通常会发现什么
被遗忘的资产
旧的子域、测试台、临时管理面板、存档应用程序、遗留 API 和没有明确所有者的承包商资源。
有风险的出版物
打开 VPN、RDP/SSH、数据库、控制面板、调试页面、不必要文件的索引、不正确的 CORS/HTTP 标头和弱 TLS 设置。
漏洞及版本
具有已知 CVE 的服务、过时的组件、配置错误、虚拟补丁迹象、缺乏 WAF/AntiDDoS(这些服务已经对业务至关重要)。
无需流程的变更
出现新的子域、证书更改、开放端口、API 或云资源发布时,不会通知网络安全、SOC 和风险所有者。
关键术语说明
| 学期 | 解码 | 为什么项目中需要它? |
|---|---|---|
| ASM / EASM | 攻击面管理/外部攻击面管理 - 管理攻击面,特别是外部攻击面,可通过互联网访问。 | 帮助在攻击者利用资产、变更和风险之前定期发现它们。 |
| CVE | 常见漏洞和暴露 - 已知漏洞的公共标识符。 | 在设置修复任务时为网络安全、IT、供应商和承包商提供通用语言。 |
| CVSS | 通用漏洞评分系统 - 漏洞的技术严重性等级。 | 作为基本评估很有用,但其本身并不表明漏洞与您的业务的相关程度。 |
| EPSS | 利用预测评分系统 - 在不久的将来现实世界中的漏洞被利用的概率。 | 有助于区分噪音和应更快关闭的内容以及 CVSS、KEV 和资产重要性。 |
| KEV | 已知被利用的漏洞 - 已被攻击者利用的漏洞目录。 | 用于确定修复的优先顺序,特别是当没有足够的资源来立即修复所有问题时。 |
| TLS / DNS / WAF | TLS 保护连接,DNS 链接名称和地址,WAF 在 HTTP 级别保护 Web 应用程序和 API。 | 这些层面的错误常常会将正常的公共服务变成真正的事件。 |
| SOC / SIEM / SOAR | SOC——监控与响应中心; SIEM 收集并关联事件; SOAR 自动响应。 | 来自外围的调查结果不应属于一次性报告,而应纳入操作响应循环。 |
RESTART 如何对外围进行审计
边框
我们修复法律和技术边界:域名、品牌、IP 范围、云、承包商、分支机构、公共帐户、API 和扫描限制。
资产发现
我们收集互联网上可见的表面:DNS、子域、服务、端口、Web/API、TLS 证书、技术、标头、泄漏迹象和影子资产。
风险评分
我们对发现结果进行标准化,删除重复项,将其与所有者、CVE/CVSS/EPSS/KEV、业务关键性、服务可用性和利用可能性相关联。
验证
我们手动检查关键发现:我们将误报与真实风险分开,不会扰乱工业环境的运行,也不会在没有商定界限的情况下用激进的渗透测试取代审计。
任务寄存器
我们为 IT、网络安全、DevOps、应用程序所有者和承包商制定任务:立即关闭哪些内容、将哪些内容转移到需要 WAF、VPN、分段或架构更新的项目。
控制
我们建立了对变更的定期监控和报告:出现了什么、修复了什么、接受风险的地方、哪些例外情况需要管理决策。
这与业务有什么关系?
对于企业来说,外部边界审计的价值不在于发现的端口数量,而在于减少管理的不确定性。经理了解哪些公共服务至关重要,哪些风险可能会阻止销售、个人账户、付款、客户服务或与合作伙伴的集成,以及哪些修复措施真正会影响风险。
突发事件减少
在例行检查期间发现被遗忘的服务或易受攻击的 VPN 比在攻击、停机或数据发布后更好。
明确的任务计划
调查结果将转化为包含所有者、截止日期、严重性和业务关键性的任务,而不是保留为 PDF 报告而不进行任何更改。
准备好渗透测试和 SOC
渗透测试变得更加准确,并且 SOC 接收有关外部资产、优先级和预期事件的背景信息。
审计的可证明性
有资产图、变更历史、可接受的风险、更正、例外情况和管理报告。
世界实践和俄罗斯背景
国际实践中,外围审计符合逻辑 NIST Cybersecurity Framework 2.0:治理、识别、保护、检测、响应、恢复。组织首先了解资产和风险,然后建立保护、监控和响应。 CIS Controls v8 强调库存、配置管理和针对最常见攻击的防护的实用性。
对于确定漏洞的优先级很有用 FIRST EPSS、CVSS 和已利用漏洞的数据。一个 MITRE ATT&CK 有助于将外部侦察、初始访问和攻击者的进一步步骤链接到清晰的风险链中。年度的 Verizon Data Breach Investigations Report 作为典型事件场景以及公共服务、漏洞、凭证和 Web 应用程序的作用的外部基准。
在俄罗斯背景下,外部边界对于包含个人数据、ISPD、CII、GIS、金融服务、电子商务、个人账户和公共 API 的系统尤其重要。它涉及威胁模型、技术控制、日志记录、漏洞管理、网络安全/信息保护系统的采购以及响应准备。
人工智能在外表面审计中的作用
人工智能的用途不是“自动审计员”,而是工程工作的放大器。它可以帮助您映射域、品牌、IP 和证书,对相似的发现进行分组,用人类语言解释风险,在 ITSM/Jira 中起草问题,将 CVE 链接到 EPSS、KEV 和资产关键性,并快速查找两个边界切片之间的变化。
在RESTART项目中,AI环境必须是安全的:未经批准不得将私人数据发送到外部服务,并为关键决策提供日志记录、角色、源验证和人工验证。人工智能可以加快结果分析速度,但风险、操作和补救措施的最终决定权仍由负责的工程师和系统所有者决定。
客户得到什么?
| 人工制品 | 如何使用 |
|---|---|
| 外表面图 | 域、子域、IP、服务、Web/API、TLS、云资源、所有者、重要性和有争议的责任领域。 |
| 风险登记册 | 标准化的结果列表,包含优先级、业务背景、建议以及需要手动验证的标记。 |
| 故障排除任务寄存器 | IT、网络安全、DevOps、AppSec、应用程序所有者和承包商面临的挑战:快速行动、设计修复、例外和截止日期。 |
| 架构指南 | 当您需要 WAF、AntiDDoS、VPN/CIPF、分段、TLS/DNS 更新、关闭旧版、更改 API 发布或连接到 SOC 时。 |
| 管理报告 | 简短的管理图景:什么是关键的,什么是已经解决的,什么决策需要预算、所有者或风险承担。 |
当外周界包含在其他项目中时
外部边界审计可以单独启动,但更多时候它成为相关网络安全任务的第一层。在渗透测试之前,有助于明确范围,而不是在垃圾目标上浪费时间。在漏洞管理中,它提供了真实的公共资产列表。对于 SOC - 添加上下文和优先级。对于网络安全 - 显示哪些出版物、规则和服务需要审查。
常见问题
外部周边审计与渗透测试有何不同?
外部周边审计回答了这个问题:我们可以从互联网上看到什么以及需要优先考虑哪些风险。渗透测试更深入地研究商定的目标和操作场景。在实践中,审计通常在渗透测试之前进行,以便测试的边界更加精确。
您需要访问内部网络吗?
对于基本的 EASM 审计来说,不行:工作是通过可公开访问的界面和商定的外部来源进行的。但所有者验证、关键性和解决方案需要访谈、CMDB/ITSM 数据、DNS、云、WAF/SIEM 和负责的团队。
外周界应该多久检查一次?
对于拥有活跃版本、分支机构、承包商和云的公司来说,一次性检查很快就会过时。合理的格式是在主要版本、审计、渗透测试或架构更改之前定期监控更改和单独检查。
出现误报怎么办?
它们不仅需要被删除,还需要解释:为什么调查结果不适用,谁确认了例外情况,何时修改。这就是 RESTART 将自动资产发现与工程验证和清晰的任务寄存器相结合的原因。
可以从短阶段开始吗?
是的。通常,10-15 个工作日足以收集外部表面的初始地图、突出关键风险、确定快速措施并提出下一步措施:消除、渗透测试、SOC 集成、WAF/AntiDDoS 或 VM 计划。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
