關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 資安管理
顯示分類
2025.11.14
標準與框架/資安管理
對手如何利用你EASM策略中的盲點

在當今高度互聯的數位環境中,企業的邊界不再清晰可見,這使得外部攻擊面管理(External Attack Surface Management, EASM)成為網路安全防禦的戰略核心。面對持續不斷的威脅,防禦者必須具備比惡意行為者更為廣泛、更具深度的可視性,才能在漏洞被利用之前及時修復。

安全計畫的有效性取決於您能看到什麼,但更重要的是您看不到什麼,EASM 已成為在攻擊者之前發現安全漏洞的最有價值的工具之一。許多安全團隊僅依賴 Microsoft Defender 來實現企業應用程式安全管理 (EASM),這可能遠遠不夠。事實上,僅憑單一工具往往會產生虛假的安全感,讓許多暴露在網際網路上的資產成為防禦者的盲點。借助 Shodan、Censys 等功能強大且廣泛使用的掃描器,以及定制的掃描器,攻擊者時刻都在探測互聯網,以識別任何暴露的資產。即使是像開放連接埠或配置錯誤(註)的伺服器這樣簡單的問題,都可能向他們發出訊號,表示某個服務處於活動狀態,並可能被利用。

攻擊者首先會攻擊面向網際網路的資產,例如網域名稱、伺服器或連網裝置端點,他們會探測目標的底層基礎設施,以確定是否存在可行的入侵途徑。在更具針對性的攻擊中,惡意攻擊者甚至可能關聯來自多個來源的數據,從而繪製出目標的完整外部足跡,這可能包括暴露的管理面板以及GitHub上洩漏的金鑰,或身分驗證薄弱或缺少的開放API。這種複雜的資訊關聯能力使攻擊者能夠快速找到並利用最薄弱的環節。2025年春季,領先的雲端基礎設施服務供應商Oracle遭遇資料外洩事件,導致數百萬客戶記錄曝光。原因是攻擊者利用一個未管理的子網域獲得了初始存取權限,並在橫向移動之前發現了其他安全漏洞。

這起事件突顯了即使是技術成熟的組織,也難逃攻擊面管理中的常見盲點。EASM最常見的盲點,即便企業安全資產安全管理 (EASM) 受到多麼重視,風險仍然可能發生。這主要是因為影響因素太多。其中最明顯的因素或許是遠距辦公政策的興起,這大大加速了影子 IT 的蔓延。員工使用未經IT部門知曉或管理的個人設備或應用程式進行工作,這些資產脫離了企業EASM的監控範圍,成為攻擊者極佳的切入點。老舊的基礎設施是另一個盲點,老舊的伺服器、網域名稱或測試環境經常會超出其使用壽命。即使它們不再使用,仍然在線且未打補丁。如果沒有安全性更新或適當的組態管理,這些就很容易成為攻擊目標。由於企業之間聯繫緊密,第三方風險是另一個需要關注的缺口。除了在合作開始前進行初步盡職調查之外,企業對合作夥伴如何保障和管理其基礎設施幾乎沒有任何控制權,這種缺乏可見性與控制力的外部連結,成為連帶風險的主要來源。

面對這些持續存在的盲點,人們自然會討論人工智慧是縮小了盲點還是製造了更多盲點?AI無疑是一把雙刃劍。在攻擊面上,AI使得攻擊者能夠自動化偵察、更快速地生成漏洞利用腳本。然而,對於防禦者而言,現代 EASM 平台正利用 AI 提升資產發現能力、改善環境數據關聯性,並根據資產關鍵性和可利用性來優化修復優先級。因此,若能妥善運用,AI對於防禦者縮小盲點的助益是極為顯著的。

為了提升EASM策略的有效性,組織必須超越季度掃描的頻率,採用持續的、自動化的資產發現機制,並將發現到的任何老舊或未使用的基礎設施即時清除。如果您已經實施了 EASM,那麼一些小的調整就能對減少外部暴露產生巨大的影響。一旦機關(構)的 EASM 堆疊配置完畢,最好將其與 SIEM(安全資訊和事件管理)、SOAR(安全協調、自動化與回應)、DRPS(數位風險保護服務)和工單系統整合。通過這種全面整合,安全團隊可以輕鬆分析外部風險暴露情況,並根據風險等級優先實施必要的修復措施,將風險從理論層面轉化為可執行的防禦行動,從而在不斷擴大的數位足跡中建立更具韌性的防禦體系。

註:

資訊安全領域裡,開放連接埠 (Open Ports) 與 配置錯誤 (Misconfiguration) 是常見的弱點來源。

  • 開放連接埠:指系統或網路設備上未受控或不必要的服務端口持續對外開放,可能被攻擊者掃描並利用。
  • 配置錯誤:指系統、應用程式或安全設備在設定上存在疏漏,例如權限過寬、預設帳號未移除、加密未正確啟用等。

這些問題通常源於缺乏安全基線管理或維運人員疏忽,導致攻擊者能夠繞過防護或直接入侵系統。

a)    常見的 5 種威脅(開放連接埠相關)

  • 未必要的服務端口開放:例如 Telnet (23)、FTP (21) 等過時協定仍在使用,容易被攔截或暴力破解。
  • 遠端桌面服務 (RDP, 3389) 暴露:攻擊者可透過暴力破解或漏洞利用直接取得系統控制權。
  • 資料庫端口外洩:MySQL (3306)、MongoDB (27017) 若未設密碼或允許外部連線,可能導致資料外洩。
  • 管理介面未限制存取:Web 管理介面 (如 8080, 8443) 對外開放,攻擊者可嘗試預設帳密登入。
  • SNMP (161) 未安全設定:使用預設 community string(如 "public"),可能讓攻擊者讀取設備資訊。

b)    常見的 5 種配置錯誤

  • 預設帳號或密碼未移除:系統或設備仍使用 "admin/admin" 等弱密碼。
  • 權限設定過寬:使用者或服務帳號擁有超過必要的管理權限。
  • 未啟用加密傳輸:管理介面或 API 使用 HTTP 而非 HTTPS,導致敏感資訊被攔截。
  • 防火牆或安全群組規則錯誤:對外開放過多 IP 範圍或允許所有來源存取。
  • 日誌與監控未正確配置:缺乏異常偵測,導致攻擊行為無法即時發現。

以下是幾個因為「配置錯誤」導致的重大資訊安全事件案例,它們凸顯了錯誤設定在企業與政府系統中的高風險性:

a)    National Public Data (NPD) 大規模外洩事件(2024):背景調查公司 NPD 因系統配置錯誤與弱密碼,導致黑客入侵並外洩近 29 億筆個資。

b)    Microsoft Power Apps 配置錯誤(2021):因 Power Apps 預設配置錯誤,導致 美國 38 個州政府、企業與 NGO 的資料外洩,包含 3,800 萬筆個資(姓名、電話、社保號碼)。

c)    Amazon S3 Bucket 配置錯誤(多起案例):許多企業未正確設定 S3 Bucket 權限,導致敏感資料公開。知名案例包括 Dow Jones、Accenture、Verizon。

d)    MOVEit Transfer 供應鏈攻擊(2023):因配置錯誤與未修補漏洞,攻擊者利用 MOVEit 傳輸系統入侵,造成 全球 2,600 家機構、7,700 萬筆紀錄外洩。

Snowflake 雲端資料倉庫事件(2024):部分客戶未啟用 多因素驗證 (MFA),導致攻擊者利用竊取憑證入侵,造成 AT&T 等企業大量資料外洩。

資料來源:https://hackread.com/how-adversaries-exploit-blind-spots-easm-strategy/
 
分析外部攻擊面管理(EASM)策略中的常見盲點,包括未受管理的子網域、老舊基礎設施與第三方風險。