白皮书：云发现和暴露管理

云发现和暴露管理 PrismaCloud亮点 •杜绝未经许可的山寨云蔓延。识别未知云和影子实例，提高资产清单的准确性。 •评估暴露风险。从攻击者的视角看待环境，了解哪里存在可利用的漏洞。 •汇总未管理的资产并挽救风险。将非托管资产登记到PrismaCloud，实现对云安全态势的完全可视性和控制。 12022CortexXpanse攻击面威胁报告第2.1卷，PaloAltoNetworks，2022年7月19日。 快速创新导致云资产蔓延 就像赛车的发动机一样，云是为动力和速度而设计的。其固有的灵活性和可扩展性为企业带来了成功所需的技术基础，但创新的好处往往会给云安全造成挑战。 在争夺竞争优势的战斗中，企业高度关注通往成功的最快途径，要求更快地开发应用程序，并采用更精简、更敏捷的运营模式。这种一心一意实现业务目标的驱动力往往会导致无意中创建影子工作负载，这是一个不稳定的未知和未托管资产清单，会使企业面临巨大风险。 这种无形的山寨资产清单积累起来有多种原因，包括认为没有时间遵守安全要求、合并和收购，甚至包括人为疏忽。这是一个普遍存在的问题。 根据PaloAltoNetworks的研究，企业中30%到40%的可公开访问攻击面是未知的1，完全不属于安全团队的职权范围。这就为危险的安全盲点和公开暴露的弱点留下了空间，让攻击者得以轻松利用。 那么，企业如何发现影子云工作负载并消除其所带来的风险？以对手的视角审视自己的云环境。 使用CDEM识别山寨资产并降低风险 Prisma®Cloud是PaloAltoNetworks云原生应用程序保护平台(CNAPP)，可从代码到云保护应用程序。平台提供了云发现和暴露管理(CDEM)功能，为安全专业人士打造云环境的由外而内视角，便于发现、评估和减轻未知和未托管的互联网暴露风险。 通过准确发现和归因跨AmazonWebServices、MicrosoftAzure和GoogleCloudPlatform部署的互联网暴露资产，PrismaCloud使安全团队可以轻松调查风险并向应用程序所有者传达风险，以便快速修复问题。PrismaCloud还提供原生工作流程，将非托管资产转换为受云安全态势管理(CSPM)功能持续自动监控保护的托管资产。 有了PrismaCloud，客户可以： •编制全面的资产清单，包括托管资产和非托管资产 •通过从外到内的视角查看公有云中的影子IT资产，确定互联网暴露风险。 •修复隐藏的暴露，改善云安全态势。 图1：云发现和暴露管理工作流程 外部资产发现 典型的安全扫描仅包括云环境中的已知资产。这造成了一种虚假的安全感，忽略了可能导致重大风险的盲点。 为了降低暴露风险，识别暴露在公共互联网上的每项资产至关重要。 扫描整个IPv4空间 PrismaCloud使用受监督的机器学习引擎每周对整个IPv4空间执行两次扫描，提供用于识别互联网暴露的云资产的互联网规模数据。扫描引擎符合CFAA标准，因此不会有网络服务模糊测试、身份验证测试、DDoS测试、数据包操作或渗透测试。PrismaCloud通过提供针对特定端口协议对的专用有效负载来检测全球互联网上的系统和服务。 资产精准分类 一旦PrismaCloud完成扫描，就会对暴露的资产进行所有权分类。 从攻击者的角度看云，新发现的信息会与公共和专有数据集融合，并与全套面向互联网的系统和服务相匹配，从而将它们与特定企业联系起来。 PrismaCloud交叉关联来自各种来源的数据，将资产归属于企业，包括： •IP注册：从所有区域互联网注册数据库中提取IP注册信息，包括ARIN、RIPE、APNIC、LACNIC和 AFRINIC。 •ASN通告：检查分配给企业的自主系统编号(ASN)，这些编号向互联网上的其他路由器通报企业拥有的IP地址范围。 •证书：扫描证书以识别有关企业的信息，包括域名、注册商、企业名称、企业单位和SAN（附加域名），并使用IP范围对其进行验证。 •域名系统(DNS)：主动和被动全局扫描获取域和DNS数据，将信息与DNSIP关联到域记录点。通过从这些不同来源提取数据，PrismaCloud能够编制归属于特定企业的非托管资产的强大清单。 非托管资产清单 为了构建非托管资产清单并获取情境，PrismaCloud查找所有外部可发现的云资源，例如虚拟机、数据库、第三方身份平台和存储桶，并使用域名、电子邮件地址、证书和公共IP地址来识别其所有权。 然后，平台通过将个别成员帐户映射到企业帐户来构建云企业及其帐户的层次结构，并查看所有关联的IP 地址以收集其他信息来丰富非托管资产清单。 PrismaCloud将识别托管在这些IP地址和域上的公开服务，例如远程桌面协议(RDP)、安全外壳(SSH) 和文件传输协议(FTP)，并将发现的结果正确附加到非托管资产。 图2：Prisma云发现和暴露管理仪表板 PrismaCloud每天监控已知资产并提供更快的数据传输，以缩短新风险通知的时间。一旦识别并清点暴露的资产，就会开始暴露风险评估，使安全团队能够确定其工作的优先顺序。 暴露风险识别和优先级排序 一旦所有互联网暴露资产被识别出来并归属于特定公司，就可以对互联网暴露风险进行准确评估。 图3：互联网暴露风险调查结果显示，Apache服务对非托管资产不安全 PrismaCloud可根据12个类别的650多项预定义策略识别暴露风险并确定其优先级。表1提供了一些风险类别示例以及策略示例。 表1：暴露风险类别和策略示例 风险类别 示例 暴露的登录 登录门户或身份验证系统的无意暴露。例如，将OktaSSO管理的管理员门户（允许用户监控和编辑SSO和MFA设置，因此也允许管理员登录页面）暴露在面向公众的互联网上。 错误配置 识别暴露的云原生服务。例如，Kubernetes控制平面（KubernetesAPI服务器）不应直接从互联网访问。严重漏洞与Kubernetes控制平面暴露相关。 无加密 任何未实现加密的服务（即未加密的登录），例如缺少公钥PIN。例如，HTTPPublicKeyPinning(HPKP)使Web客户端将特定的加密公钥与特定的Web服务器相关联，以降低使用伪造证书进行中间人攻击的风险。 潜在的数据丢失 公开暴露的数据库和不安全的文件共享服务，例如未加密的FTP服务器、服务器消息块(SMB)、无人认领的S3存储桶等。 特权访问 用于管理计算资源的任何产品中的所有用户或服务帐户都不应有通配的权限，以避免误用。 远程访问 可利用的漏洞和错误配置，可实现对环境的特权访问，例如RDP、不安全的开放SSH、LDAP等。例如，RDP服务器经常是攻击者的目标。 漏洞 存在CVE或始终被认为存在风险的任何产品/服务/协议。例如，不安全的ApacheWeb服务器包含Log4j等已知漏洞。 证书过期 证书有效期确保了密钥仍然与其颁发给的实体唯一关联。过期的证书表明系统可能未处于主动管理之下，并且该系统上的其他软件组件也可能已过期。 对暴露风险进行优先级排序可以更轻松地修复它们并消除它们造成的威胁。PrismaCloud为企业提供了简化风险补救的可行步骤。 风险补救 发现、识别和优先处理不受管理的互联网暴露风险只是成功的一半。借助PrismaCloud，安全团队还可以使用引导式风险降低工作流程来对发现的问题进行分类和修复。 传达资产情境 一旦安全团队识别出特定的资产暴露详细信息，就可以轻松使用PrismaCloud中的原生工作流程在企业内传达相关风险。PrismaCloud提供以下详细信息： •云帐户名称 •云提供商 •IP地址 •暴露的服务列表 •端口号 •证书详情 •资产所有权归属信息（例如whois服务器、[注册商名称]） •风险发现（证书过期、加密技术薄弱、软件版本过时等）这使得内部团队可以轻松快速地解决暴露风险。 登记帐户用于内部管理 虽然云资产的外部可视性是任何安全策略的关键部分，但企业还需要确保持续的内部洞察和管理。这种可视性和控制可以通过将以前未知和非托管的AWS、GCP和Azure云帐户登记到PrismaCloud平台内置的CSPM功能中来实现。使用资产情境和调查结果，PrismaCloud管理员可以将非托管资产转换为托管资产，并开始获得内部可视性和控制。 PrismaCloud实现可视性和控制 登记帐户后，PrismaCloud即可提供资产、风险和威胁的可视性。平台会自动关联错误配置、漏洞、网络暴露、过度权限、数据风险等，以识别可利用的途径。此外，PrismaCloud还结合了异常情况和Web攻击战术等威胁情境来识别被利用的攻击路径。 使用原生工作流程，安全管理员可以获得详细的风险补救指令，这些指令可以移交给负责云资产的团队。PrismaCloud提供了多种不同的选项来解决风险，例如向应用程序所有者开具工单、自动修复错误配置或向开发人员发送拉取请求。借助PrismaCloud，安全专业人士可以使用情境来了解导致互联网暴露风险的原因，并利用专门构建的修复工作流程，旨在帮助减少安全与开发人员之间的摩擦。 图4：PrismaCloud图显示了资产及其形成攻击路径的相互关联问题 ©2023PaloAltoNetworks,Inc.PaloAltoNetworks是PaloAltoNetworks 免费咨询热线：4009911194 的注册商标。有关本公司的商标列表，请访问： 网址：www.paloaltonetworks.cn https://www.paloaltonetworks.com/company/trademarks.html。此文档中 邮箱：contact_salesAPAC@paloaltonetworks.com 提及的所有其他商标可能是各相应公司的商标。 prisma-cloud-discovery-exposure-management-wp-090723 7 官方微信公众号 关注派拓网络 CDEM用例 云发现和暴露管理可解决各种用例，因此很容易证明对此类解决方案的投资是合理的： •消除影子云部署：检测云中的新虚拟机、数据库或其他资源，使安全团队在出现未经批准的工作负载时立即知道。通过将山寨云资产加入PrismaCloud轻松识别并降低与其相关的风险，实现持续的安全态势管理。 •监控配置更改：检测当以前批准的资源以违反治理和合规政策的方式重新配置时，对现有工作负载的配置更改。 •简化并购：通过识别新增加的云资产并将其集成到托管网络中，改进与并购相关的安全尽职调查，而不会造成意外暴露。 •助推零日响应：评估风险并通过缩短平均检测时间(MTTD)和平均响应时间(MTTR)来减少最新CVE 的暴露，无需额外的分析师。 •改善合规性和审计：利用完整、准确的资产清单来缩短审计时间并节省第三方审计和合规流程的成本。 •提升其他云安全工具的价值：提高云资产覆盖率，从而提高现有云漏洞管理工具（例如CSPM）的投资回报率。 PrismaCloud有何独特之处 降低威胁云安全的风险是每个企业的重中之重。但现实是，您无法保护不知道的东西，大多数企业并不了解所有使自身面临风险的资产。 为了进一步迈向现代云安全，企业应考虑实施PrismaCloudCNAPP。 PrismaCloud的CNAPP不仅提供基本的CSPM功能，消除云盲点并主动解决已知资产的风险，而且还是唯一提供云发现和暴露管理的提供商。 借助PrismaCloud，您的企业最终可以实现对云基础设施的持续扫描，识别可见和隐藏的资产。您还可以全面、统一地了解整个基础设施中的每项资产。 凭借从内到外和从外到内全面了解环境的强大能力，您最终将能够了解所面临威胁的完整范围和情境。这种可视性是针对不断演变的现代威胁保持稳健安全态势的必要条件。 申请免费试用 准备好亲身体验一下PrismaCloud了吗？